資格証明ウォレットおよび暗号化キーストアの構成

すべてのデータベース・バックアップ・ピースは、copy-to-tape操作またはarchive-to-cloud操作の前にDEK暗号化されます。

次のステップでは、リカバリ・アプライアンスのすべてのノードで使用される共有ウォレットを作成します。ウォレットには、個別のDEKキーを暗号化するTDEマスター・キーが格納されます。

1. リカバリ・アプライアンスの資格証明ウォレットを作成します。キーストアの新しいパスワードの入力とウォレットの入力を求められます。リカバリ・アプライアンス暗号化キーストアにアクセスするための資格証明は、このウォレットに保存されます。

   [root@myComputeNodeX ~]# racli add credential_wallet
   
   Fri Jan 1 08:56:27 2018: Start: Add Credential Wallet
   Enter New Keystore Password: <OKV_endpoint_password>
   Confirm New Keystore Password:
   Enter New Wallet Password: <ZDLRA_credential_wallet_password> 
   Confirm New Wallet Password:
   Re-Enter New Wallet Password:
   Fri Jan 1 08:56:40 2018: End: Add Credential Wallet
   

   コマンドのオプションの詳細は、racli add credential_walletを参照してください。

2. リカバリ・アプライアンス暗号化キーストアを構成します。このキーストアには、リカバリ・アプライアンス・クライアント・データベースごとに1つ以上のTDEマスター・キーと、リカバリ・アプライアンスのTDEマスター・キーが含まれています。クライアントごとのTDEマスター・キーは、クラウドにコピーされるバックアップ・ピースを暗号化するために使用されます。

   注意:

   キーストアをアクティブ化するためにリカバリ・アプライアンス・データベースが再起動され、短い停止が計画されます。

   [root@myComputeNodeX ~]# racli add keystore --type hsm --restart_db
   
   Updating log /opt/oracle.RecoveryAppliance/log/racli.log
   Fri Jan 1 08:57:03 2018: Start: Configure Wallets
   Fri Jan 1 08:57:04 2018: End: Configure Wallets
   Fri Jan 1 08:57:04 2018: Start: Stop Listeners, and Database
   Fri Jan 1 08:59:26 2018: End: Stop Listeners, and Database
   Fri Jan 1 08:59:26 2018: Start: Start Listeners, and Database
   Fri Jan 1 09:02:16 2018: End: Start Listeners, and Database

   コマンドのオプションの詳細は、racli add keystoreを参照してください。

リカバリ・アプライアンスのすべてのノードが使用する共有ウォレットが作成されます。ここには、個々のDEKキーを暗号化するTDEマスター・キーが格納されています。