10.5.2 CA認証済セキュリティ証明書の使用

Oracle Exadata Database Machineの管理者は、環境で必要な場合にCA認証済セキュリティ証明書を提供できます。

有効なCA認証のセキュリティ証明書は、ExaCLIによって、プロンプトなしで、証明書の受入れを要求することなく受け入れられます。各証明書はキーのペア(公開キーおよび一致する秘密キー)で構成されています。

1. ストレージ・サーバーまたはデータベース・サーバーのセキュリティ属性を変更します。

   CA認証済セキュリティ証明書アップロードするには、ストレージ・サーバーまたはデータベース・サーバーでsecurityPubKeyおよびsecurityPrivKey属性を変更します。

   • securityPubKeyにより、証明書の公開キー・ファイルのURLを指定します。

   • securityPrivKeyにより、証明書の秘密キー・ファイルのURLを指定します。

   それらのキーは、PEMでエンコードされたファイルとして提供する必要があります。各URLでは、http、httpsまたはfileアクセス・スキームを使用できます。

   秘密キーが暗号化されている場合は、securityPrivKeyPW属性を使用してパスワードを指定できます。

   次の例では、CA認証済セキュリティ証明書をアップロードするコマンドを示します。

   • http URLを使用してキー・ファイルにアクセスするストレージ・サーバーの例。この例では、パスワード・プロンプトによってcellhost上のcelladministratorユーザーのパスワードが要求されます。

     $ exacli -l celladministrator -c cellhost  -
              -e 'alter cell securityPubKey="http://www.example.com/security/newkey1.pem.crt", -
                  securityPrivKey="http://www.example.com/security/newkey1-private.pem", -
                  securityPrivKeyPW="welcome1"'
     
     Password: *********
     ...

   • ローカルのfile URLを使用してキー・ファイルにアクセスするデータベース・サーバーの例。この例では、パスワード・プロンプトによってdbhost上のdbadministratorユーザーのパスワードが要求されます。

     $ exacli -l dbadministrator -c dbhost  -
              -e 'alter dbserver securityPubKey="file:///root/security/newkey2.pem.crt", -
                  securityPrivKey="file:///root/security/newkey2-private.pem", -
                  securityPrivKeyPW="welcome2"'
     
     Password: *********
     ...

2. ストレージ・サーバーまたはデータベース・サーバーで管理サーバー (MS)を再起動します。

   CA認証済セキュリティ証明書をクラスタ内の各サーバーに個別にアップロードしたら、新しいセキュリティ証明書が表示されるようにするためにMSを再起動する必要があります。

   次に例を示します:

   • ストレージ・サーバーでMSを再起動します。

     CellCLI> alter cell restart services ms
     
     Restarting MS services... 
     The RESTART of MS services was successful.

   • データベース・サーバーでMSを再起動します。

     DBMCLI> alter dbserver restart services ms
     
     Restarting MS services... 
     The RESTART of MS services was successful.