1. 管理者ガイド
  2. Oracle Key Vaultプラットフォーム証明書の管理

E Oracle Key Vaultプラットフォーム証明書の管理

この章では、期限切れになる前にプラットフォーム証明書を監視およびローテーションして、Oracle Key Vaultプラットフォーム証明書を管理する方法について説明します。

  • Oracle Key Vaultプラットフォーム証明書の概要
    Oracle Key Vaultプラットフォーム証明書は、新しいノードをOracle Key Vaultマルチマスター・クラスタに追加するとき、またはシステムをプライマリ・スタンバイ・デプロイメントに追加するときに使用されます。プラットフォーム証明書は、クラスタの読取り/書込みノード間でREDOを送信するときにも使用されます。
  • Oracle Key Vaultプラットフォーム証明書の有効期限の監視
    アラートを事前に設定し、Oracle Key Vaultプラットフォーム証明書の有効期限を監視して、期限切れになる前にローテーションできます。
  • プラットフォーム証明書のローテーション
    Oracle Key Vaultシステムにログインし、一連のコマンドを実行して、プラットフォーム証明書をローテーションする必要があります。

E.1 Oracle Key Vaultプラットフォーム証明書の概要

Oracle Key Vaultプラットフォーム証明書は、新しいノードをOracle Key Vaultマルチマスター・クラスタに追加するとき、またはシステムをプライマリ・スタンバイ・デプロイメントに追加するときに使用されます。プラットフォーム証明書は、クラスタの読取り/書込みノード間でREDOを送信するときにも使用されます。

これらは、クラスタ内の読取り/書込みノード間でREDOを送信するときにも使用されます。これらの証明書は、Oracle Key Vaultサービス証明書とは異なり、有効期限が異なります。また、それらは、Oracle Key Vaultサービス証明書とは異なるプロセスで管理されます。Oracle Key Vaultプラットフォーム証明書が期限切れになるまでにローテーションしない場合、Oracle Key Vaultマルチマスター・クラスタに新しいノードは追加できません。Oracle Key Vaultの読取り/書込みノード間のREDO送信も影響を受ける可能性があるため、読取り/書込みペアの各ノードは読取り専用制限モードになります。期限切れのプラットフォーム証明書があるOracle Key Vaultシステムはアップグレードできません。Oracle Key Vaultプラットフォーム証明書は、期限切れになる前にローテーションする必要があります。

Oracle Key Vaultプラットフォーム証明書をローテーションしても、Oracle Key Vaultサービス証明書はローテーションされず、Oracle Key Vaultとのエンドポイント通信には影響しません。同様に、Oracle Key Vaultサービス証明書をローテーションしても、プラットフォーム証明書はローテーションされません。

親トピック: Oracle Key Vaultプラットフォーム証明書の管理

E.2 Oracle Key Vaultプラットフォーム証明書の有効期限の監視

アラートを事前に設定し、Oracle Key Vaultプラットフォーム証明書の有効期限を監視して、期限切れになる前にローテーションできます。

親トピック: Oracle Key Vaultプラットフォーム証明書の管理

E.2.1 プラットフォーム証明書の有効期限の確認

プラットフォーム証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

  1. システム管理者としてOracle Key Vault管理コンソールにログインします。マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、ナビゲーション・サイドバーから「Status」を選択します。
  3. プラットフォーム証明書の有効期限を判断するには、「Platform Certificates Expiration Date」フィールドを選択します。
  4. 「Platform Certificates Expiring In」フィールドをチェックして、証明書の有効期限が切れるまでの残り日数を確認します。
    Oracle Key Vaultでは、プラットフォーム証明書の有効期限がアラートしきい値期間内になると、そのプラットフォーム証明書の有効期限アラートが生成されます。

    ノート:

    表示される有効期限は、新しいマルチマスター・クラスタ・ノードの追加時またはプライマリ・スタンバイ・デプロイメントの構成時、およびREDO送信に使用されるプラットフォーム証明書の有効期限の最小値です。

親トピック: Oracle Key Vaultプラットフォーム証明書の有効期限の監視

E.2.2 プラットフォーム証明書の有効期限アラートを使用したプラットフォーム証明書の有効期限の監視

有効期限アラートをリマインダとして設定して、期限切れになる前にプラットフォーム証明書をローテーションできます。

プラットフォーム証明書が期限切れになると、マルチマスター・クラスタ内の読取り/書込みノード間、またはプライマリ・スタンバイ・デプロイメントのプライマリ/スタンバイ間でREDO送信が失敗し、システムが読取り専用制限モードになる可能性があります。また、Oracle Key Vaultクラスタへの新しいノードの追加が妨げられ、Oracle Key Vaultシステムのアップグレードが妨げられる場合もあります。Oracle Key Vaultプラットフォーム証明書の有効期限より前にローテーションしてください。このシナリオを回避するために、Oracleでは、期限切れになる前にOracle Key Vaultプラットフォーム証明書をローテーションするように、プラットフォーム証明書の有効期限アラートをリマインダとして構成することをお薦めします。このアラートは、Oracle Key Vaultサービス証明書(CA、サーバー/ノードおよびエンドポイント証明書)の有効期限の監視とは別のものです。

親トピック: Oracle Key Vaultプラットフォーム証明書の有効期限の監視

E.3 プラットフォーム証明書のローテーション

Oracle Key Vaultシステムにログインし、一連のコマンドを実行して、プラットフォーム証明書をローテーションする必要があります。

マルチマスター・クラスタの場合は、クラスタ内の異なるノード上で異なるステップの実行が必要になることがあります。プライマリ・スタンバイ環境の場合、プライマリとスタンバイの両方でステップの実行が必要になることがあります。

親トピック: Oracle Key Vaultプラットフォーム証明書の管理

E.3.1 スタンドアロンOracle Key Vaultサーバーでのプラットフォーム証明書のローテーション

スタンドアロンOracle Key Vaultサーバー上のプラットフォーム証明書をローテーションして、有効期限に近い既存の証明書を新しい証明書に置き換えます。

  1. supportユーザーとしてOracle Key VaultシステムにSSH接続します。
    ssh support@OKV_SERVER_IP_ADDRESS
  2. ユーザーrootに切り替えます。
    su - root
  3. 次のように、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書の有効性をチェックします:
    openssl x509 -noout -enddate -in /usr/local/dbfw/etc/ca.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost_internal.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/cert.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/avs/avs_apex_client.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost.crt

    表示される日付が、いずれかの証明書の有効期限が切れているか、またはまもなく期限切れになる(プラットフォーム証明書アラートで示される)ことを示している場合は、次の手順を実行して証明書をローテーションする必要があります:

    • リリース21.1、21.2、21.3、21.4および21.5のOracle Key Vaultシステムの場合、バグ34378212Oracle Audit Vault and Database Firewallパッチをダウンロードします。ダウンロードしたzipファイルをOracle Key VaultサーバーにSCPして、ファイルを解凍します:
      scp <downloaded_patch_file> support@OKV_SERVER_IP_ADDRESS:/tmp
ssh support@OKV_SERVER_IP_ADDRESS
su - root
cd /tmp
unzip <zip_file_for_patch_34378212> -d /tmp
mkdir /root/gensslcert
cp /tmp/gensslcert.avs.tar.gz /root/gensslcert
cd /root/gensslcert
tar xvfz gensslcert.avs.tar.gz
export GENSSLCERT_HOME="/root/gensslcert"
echo $GENSSLCERT_HOME
    • Oracle Key Vaultシステムがリリース21.6以降の場合は、次のコマンドを実行します:
      export GENSSLCERT_HOME="/usr/local/bin/"
echo $GENSSLCERT_HOME
    • 次のコマンドを実行して、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書を再生成します:
      "$GENSSLCERT_HOME"/gensslcert destroy-certs create-ca
  4. 次のコマンドを実行して、必要なサービスを再起動します:
    systemctl reload httpd
systemctl restart controller
  5. 次のコマンドを使用して、プラットフォームCA証明書バンドルを更新します:
    cat /usr/local/dbfw/etc/ha_partner.crt /usr/local/dbfw/etc/ca.crt > /etc/pki/tls/certs/dbfw-ca.crt
systemctl reload httpd
systemctl restart controller
systemctl start monitor
  6. 次のステップを実行して、REDO送信に使用されるプラットフォーム証明書の有効性を確認します。有効性は、1つのマルチマスター・クラスタ・ノードでチェックするだけで十分です。
    su oracle
cd /var/lib/oracle/dbfw/network/admin/avwallet
orapki wallet display -wallet  /var/lib/oracle/dbfw/network/admin/avwallet -complete
orapki wallet export -wallet . -dn "DC=com,CN=avserver,OU=db,O=oracle -cert /tmp/avserver_check_cert_validity.cert
openssl x509 -in /tmp/avserver_check_cert_validity.cert -subject -enddate -noout

    証明書の有効期限が切れているか、まもなく期限切れになる場合は、8からのステップを使用して証明書をローテーションする必要があります。

  7. 次のコマンドを使用して、rootユーザーに戻します:
    exit
  8. Oracle Key Vaultリリース21.1から21.4のプラットフォームREDO送信証明書のローテーションに関するヘルプについては、Oracle Supportにお問い合せください。Oracle Key Vaultリリース21.5以降では、次のコマンドを実行して、プラットフォームREDO送信証明書を再生成してください。
    cd /opt/avdf/lib/ruby/avdf
ruby update_agent_cert_task.rb
  9. 次のコマンドを実行して、再生成された証明書の有効性を確認します:
    openssl x509 -startdate -enddate -noout -in /usr/local/dbfw/etc/ca.crt
openssl x509 -startdate -enddate -noout -in /etc/pki/tls/certs/localhost_internal.crt
openssl x509 -startdate -enddate -noout -in /usr/local/dbfw/etc/cert.crt
openssl x509 -startdate -enddate -noout -in /usr/local/dbfw/etc/avs/avs_apex_client.crt
openssl x509 -startdate -enddate -noout -in /etc/pki/tls/certs/localhost.crt
  10. 次のコマンドを使用して、ユーザーoracleに切り替え、REDO送信証明書の有効性を確認します:
    su oracle
cd /var/lib/oracle/dbfw/network/admin/avwallet
orapki wallet display -wallet  /var/lib/oracle/dbfw/network/admin/avwallet -complete
orapki wallet export -wallet . -dn "DC=com,CN=avserver,OU=db,O=oracle -cert /tmp/avserver_check_cert_validity.cert
openssl x509 -in /tmp/avserver_check_cert_validity.cert -subject -startdate -enddate -noout
  11. 次のコマンドを使用して、ユーザーrootに戻します:
    exit
  12. 次のコマンドを使用して、システム上のデータベース・サービスを再起動します:
    systemctl restart dbfwdb
  13. Oracle Key Vault管理コンソールからプラットフォーム証明書の有効性を確認します。

親トピック: プラットフォーム証明書のローテーション

E.3.2 マルチマスター・クラスタ環境でのプラットフォーム証明書のローテーション

マルチマスター・クラスタ環境でプラットフォーム証明書をローテーションする方法について学習します。

親トピック: プラットフォーム証明書のローテーション

E.3.2.1 読取り/書込みマルチマスター・クラスタ・ノードでのプラットフォームCA証明書のローテーション

読取り/書込みマルチマスター・クラスタ・ノードでプラットフォーム証明書をローテーションして、有効期限に近い既存の証明書を新しい証明書に置き換えます。

この項では、ノードAとノードBは、特定の読取り/書込みペアの2つのノードを参照します。これらのステップは、読取り/書込みペアの各セットで順番に実施します。

  1. (ノードA)ユーザーsupportとしてノードAにSSH接続します:
    ssh support@OKV_NODEA_IP
  2. (ノードA)ノードAでユーザーrootに切り替えます:
    su - root
  3. 次のコマンドを使用して、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書の有効性をチェックします:
    openssl x509 -noout -enddate -in /usr/local/dbfw/etc/ca.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost_internal.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/cert.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/avs/avs_apex_client.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost.crt

    表示される日付が、いずれかの証明書の有効期限が切れているか、またはまもなく期限切れになる(プラットフォーム証明書アラートで示される)ことを示している場合は、次の手順を使用して証明書をローテーションする必要があります:

    • (ノードA)
      • リリース21.1、21.2、21.3、21.4および21.5のOracle Key Vaultシステムの場合、バグ34378212Oracle Audit Vault and Database Firewallパッチをダウンロードします。ダウンロードしたzipファイルをOracle Key VaultシステムにSCPして、次のコマンドでファイルを解凍します:
        scp <zip_file_for_patch_34378212> support@OKV_NODEA_IP:/tmp
ssh support@OKV_NODEA_IP
su - root
cd /tmp
unzip <zip_file_for_patch_34378212> -d /tmp
mkdir /root/gensslcert
cp /tmp/gensslcert.avs.tar.gz /root/gensslcert
cd /root/gensslcert
tar xvfz gensslcert.avs.tar.gz
export GENSSLCERT_HOME=/root/gensslcert
echo $GENSSLCERT_HOME
      • Oracle Key Vaultシステムがリリース21.6以降の場合は、次のコマンドを実行します:
        export GENSSLCERT_HOME="/usr/local/bin/"
echo $GENSSLCERT_HOME
      • リリース21.1以降の場合はノードAで次のコマンドを実行して、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書を再生成します:
        "$GENSSLCERT_HOME"/gensslcert destroy-certs create-ca
systemctl reload httpd
systemctl restart controller
  4. (ノードA) SCPを使用して、再生成された証明書のコピーをノードBに転送します:
    scp /usr/local/dbfw/etc/ca.crt support@OKV_NODEB_IP:/tmp/ha_partner.crt
  5. (ノードB)
    • リリース21.1、21.2、21.3、21.4および21.5のOracle Key Vaultシステムの場合、バグ34378212Oracle Audit Vault and Database Firewallパッチをダウンロードします。ダウンロードしたzipファイルをOracle Key VaultシステムにSCPして、次のコマンドでファイルを解凍します:
      scp <zip_file_for_patch_34378212> support@OKV_NODEB_IP:/tmp
ssh support@OKV_NODEB_IP
su - root
cd /tmp
unzip <zip_file_for_patch_34378212> -d /tmp
mkdir /root/gensslcert
cp /tmp/gensslcert.avs.tar.gz /root/gensslcert
cd /root/gensslcert
tar xvfz gensslcert.avs.tar.gz
export GENSSLCERT_HOME=/root/gensslcert
echo $GENSSLCERT_HOME
    • Oracle Key Vaultシステムがリリース21.6以降の場合は、次のコマンドを実行します:
      export GENSSLCERT_HOME="/usr/local/bin/"
echo $GENSSLCERT_HOME
  6. (ノードB) ノードBで次のコマンドを実行します:
    cp /tmp/ha_partner.crt /usr/local/dbfw/etc/ha_partner.crt
systemctl reload httpd
systemctl restart controller
"$GENSSLCERT_HOME"/gensslcert destroy-certs create-ca
systemctl reload httpd
systemctl restart controller
  7. (ノードB) SCPを使用して、再生成された証明書のコピーをノードAに転送します:
    scp /usr/local/dbfw/etc/ca.crt support@OKV_NODEA_IP:/tmp/ha_partner.crt
  8. (ノードA) supportユーザーとしてノードAにSSH接続し、ユーザーrootに切り替えます:
    ssh support@OKV_NODEA_IP
su - root
  9. (ノードA) ノードAで次のコマンドを実行します:
    cp /tmp/ha_partner.crt /usr/local/dbfw/etc/ha_partner.crt
systemctl reload httpd
systemctl restart controller
cat /usr/local/dbfw/etc/ha_partner.crt /usr/local/dbfw/etc/ca.crt > /etc/pki/tls/certs/dbfw-ca.crt
systemctl reload httpd
systemctl restart controller
systemctl restart monitor
  10. (ノードB) supportユーザーとしてノードBにSSH接続し、ユーザーrootに切り替えます:
    ssh support@OKV_NODEB_IP
su - root
  11. (ノードB) ノードBで次のコマンドを実行します:
    cat /usr/local/dbfw/etc/ha_partner.crt /usr/local/dbfw/etc/ca.crt > /etc/pki/tls/certs/dbfw-ca.crt
systemctl reload httpd
systemctl restart controller
Systemctl restart monitor

    マルチマスター・クラスタ内の読取り/書込みノードの各ペアでステップ1から11を繰り返します。

E.3.2.2 読取り専用マルチマスター・クラスタ・ノードでのプラットフォームCA証明書のローテーション

このトピックで説明するステップを使用して、読取り専用Oracle Key Vaultマルチマスター・クラスタ・ノードごとにプラットフォーム証明書をローテーションする方法について学習します。

  1. ユーザーsupportで、ノードにSSH接続します。
    ssh support@OKV_NODE_IP
  2. rootユーザーに切り替えます。
    su - root
  3. 次のコマンドを使用して、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書の有効性をチェックします:
    openssl x509 -noout -enddate -in /usr/local/dbfw/etc/ca.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost_internal.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/cert.crt
openssl x509 -noout -enddate -in /usr/local/dbfw/etc/avs/avs_apex_client.crt
openssl x509 -noout -enddate -in /etc/pki/tls/certs/localhost.crt
  4. Oracle Key Vaultリリース21.1から21.5の場合、バグ34378212Oracle Audit Vault and Database Firewallパッチをダウンロードします。ダウンロードしたzipファイルをOracle Key VaultサーバーにSCPして、次のコマンドでファイルを解凍します:
    scp <zip_file_for_patch_34378212> support@OKV_NODE_IP_ADDRESS:/tmp
ssh support@OKV_NODE_IP_ADDRESS
su - root
cd /tmp
unzip <zip_file_for_patch_34378212> -d /tmp
mkdir /root/gensslcert
cp /tmp/gensslcert.avs.tar.gz /root/gensslcert
cd /root/gensslcert
tar xvfz gensslcert.avs.tar.gz
    export GENSSLCERT_HOME="/root/gensslcert"
echo $GENSSLCERT_HOME
    • Oracle Key Vaultシステムがリリース21.6以降の場合は、次のコマンドを実行します: 
      export GENSSLCERT_HOME="/usr/local/bin/"
echo $GENSSLCERT_HOME
  5. 次のコマンドを実行して、マルチマスター・クラスタへの新規ノードの追加時、またはプライマリ・スタンバイ・デプロイメントの構成時に使用されるプラットフォーム証明書を再生成します:
    "$GENSSLCERT_HOME"/gensslcert destroy-certs create-ca
  6. httpdおよびcontrollerサービスを再ロードして再起動します。
    systemctl reload httpd
systemctl restart controller
  7. プラットフォームCA証明書バンドルを更新します:
    cat /usr/local/dbfw/etc/ha_partner.crt /usr/local/dbfw/etc/ca.crt > /etc/pki/tls/certs/dbfw-ca.crt
systemctl reload httpd
systemctl restart controller
systemctl start monitor

    マルチマスター・クラスタのそれぞれの読取り専用ノードでこれらのステップを繰り返します。

E.3.2.3 任意の1つのマルチマスター・クラスタ・ノードでのREDO送信に使用されるプラットフォーム証明書のローテーション

マルチマスター・クラスタ環境では、REDO送信用のプラットフォーム証明書の有効期限が近いか、有効期限切れの場合に、マルチマスター・クラスタの1つのノードでそのプラットフォーム証明書をローテーションして、その証明書を他のすべてのマルチマスター・クラスタ・ノードに転送する必要があります。

REDO送信プラットフォーム証明書の有効期限を確認し、必要に応じて証明書をローテーションするには、次のステップに従います。
  1. REDO送信プラットフォーム証明書をローテーションするマルチマスター・クラスタの1つのノードを選択します。
  2. supportユーザーとしてOracle Key VaultノードにSSH接続します。
    ssh support@OKV_NODE_IP_ADDRESS
  3. rootユーザーに切り替えます。
    su - root
  4. 次のコマンドを使用して、REDO送信に使用されるプラットフォーム証明書の有効性を確認します。これは、1つのマルチマスター・クラスタ・ノードでチェックするだけで十分です。
    su oracle
cd /var/lib/oracle/dbfw/network/admin/avwallet
orapki wallet display -wallet  /var/lib/oracle/dbfw/network/admin/avwallet -complete
orapki wallet export -wallet . -dn "DC=com,CN=avserver,OU=db,O=oracle" -cert /tmp/avserver_check_cert_validity.cert
openssl x509 -in /tmp/avserver_check_cert_validity.cert -subject -enddate -noout

    証明書の有効期限が切れているか、まもなく期限切れになる場合は、後続のステップを使用して証明書をローテーションする必要があります。

  5. 次のコマンドを使用して、ユーザーrootに戻します:
    exit
  6. 次のコマンドを使用して、引き続きユーザーrootで、REDO送信に使用されるプラットフォーム証明書をローテーションします:
    cd /opt/avdf/lib/ruby/avdf
ruby update_agent_cert_task.rb
  7. 次のコマンドを使用して、ユーザーoracleに切り替え、証明書の有効性を確認します:
    su oracle
cd /var/lib/oracle/dbfw/network/admin/avwallet
orapki wallet display -wallet  /var/lib/oracle/dbfw/network/admin/avwallet -complete
orapki wallet export -wallet . -dn "DC=com,CN=avserver,OU=db,O=oracle" -cert /tmp/avserver_check_cert_validity.cert
openssl x509 -in /tmp/avserver_check_cert_validity.cert -subject -startdate -enddate -noout
  8. Oracle Key Vaultリリース21.1から21.4のプラットフォームREDO送信証明書のローテーションに関するヘルプについては、Oracle Supportにお問い合せください。Oracle Key Vaultリリース21.5以降では、次のコマンドを実行して、プラットフォームREDO送信証明書を再生成してください。
    cd /opt/avdf/lib/ruby/avdf
ruby update_agent_cert_task.rb
  9. 次のコマンドを使用して、システム上のデータベース・サービスを再起動します:
    systemctl restart dbfwdb
  10. Oracle Key Vault管理コンソールからプラットフォーム証明書の有効性を確認します。
  11. 「他のマルチマスター・クラスタ・ノードへのローテーションされたREDO送信プラットフォーム証明書の転送」の項で説明しているステップを使用して、ローテーションされたREDO送信プラットフォーム証明書をその他すべてのマルチマスター・クラスタ・ノードへ転送します。
E.3.2.4 他のマルチマスター・クラスタ・ノードへのローテーションされたREDO送信プラットフォーム証明書の転送

1つのマルチマスター・クラスタ・ノードでローテーションした後に、REDO送信プラットフォーム証明書を他のマルチマスター・クラスタ・ノードに転送する方法について学習します。

  1. REDO送信プラットフォーム証明書がローテーションされたOracle Key Vaultノードに、supportユーザーでSSH接続します。
    ssh support@OKV_NODE_IP_ADDRESS
  2. rootユーザーに切り替えます。
    su - root
  3. 次のステップを使用して、ローテーションされたプラットフォーム証明書を含むバンドルを作成します:
     cd /var/lib/oracle/dbfw/network/admin/avwallet
 zip -r avwallet_regenerated.zip *
  4. SCPを使用して、バンドルを他のすべてのマルチマスター・クラスタ・ノードにコピーします。
    scp avwallet_regenerated.zip support@<OKV_OTHER_CLUSTER_NODE_IP_ADDRESS>:/tmp
  5. 他の各マルチマスター・クラスタ・ノードで、次の一連のステップを繰り返します:
    1. 再生成されたREDO送信証明書が転送されたOracle Key Vaultノードに(supportユーザーで)SSH接続します。
      ssh support@OKV_OTHER_CLUSTER_NODE_IP_ADDRESS
    2. rootユーザーに切り替えます。
      su - root
    3. 次のコマンドを使用して、SCPを使用してコピーしたavwallet_regenerated zipファイルを解凍します:
      cd /tmp
unzip avwallet_regenerated.zip -d avwallet_regenerated
chmod -R 775 avwallet_regenerated
    4. 次のコマンドを使用して、古いプラットフォーム証明書のバックアップを作成します:
      cd /var/lib/oracle/dbfw/network/admin
cp -Rp avwallet avwallet_expired
    5. 新しいウォレットを、権限を必ず保持してコピーします:
      cp /tmp/avwallet_regenerated/* avwallet/
    6. 次のコマンドを使用して、サービスを再起動します:
      service dbfwlistener restart
service dbfwdb restart
    7. 次のコマンドを使用して、ユーザーoracleに切り替え、証明書の有効性を確認します:
      su oracle
cd /var/lib/oracle/dbfw/network/admin/avwallet
orapki wallet display -wallet  /var/lib/oracle/dbfw/network/admin/avwallet -complete
orapki wallet export -wallet . -dn "DC=com,CN=avserver,OU=db,O=oracle" -cert /tmp/avserver_check_cert_validity.cert
openssl x509 -in /tmp/avserver_check_cert_validity.cert -subject -startdate -enddate -noout

    Oracle Key Vault管理コンソールからプラットフォーム証明書の有効性を確認します。