C.10 サーバーおよびノードの問題

Oracle Key Vaultの操作時に、一般的なサーバーおよびノード関連のエラーに関する次のトラブルシューティングのヒントを確認します。

• SSLクライアントのエラー・メッセージ
  サーバー・ドメイン名に必要なセキュリティ識別子(SID)名が含まれていない場合、アラートおよびトレース・ログにSSLクライアントのエラー・メッセージが表示されます。
• 整数タイプのカスタム属性に不正な値が返された
  一部のシナリオでは、整数タイプのカスタム属性に無効な値が返されます。
• 電子メール・アラートを受信しない
  SMTPを正常に構成した後でも、管理者はOracle Key Vaultサーバーから電子メール・アラートを受信しません。
• Oracle Key VaultサーバーとNTPサーバーの日時が同期されない
  Oracle Key Vaultの日時が同期していない問題を解決するための2つの方法について学習します。
• FIPSモードの有効化の失敗
  Oracle Key Vault管理コンソールでFIPSの有効化でエラーが発生して失敗します

C.10.1 SSLクライアントのエラー・メッセージ

サーバー・ドメイン名に必要なセキュリティ識別子(SID)名が含まれていない場合、アラートおよびトレース・ログにSSLクライアントのエラー・メッセージが表示されます。

Oracle Key Vaultサーバーのアラート・ログに、次のエラー・メッセージが表示されます。

SSL Client: Server DN does not contain expected SID name

考えられる原因

これらのメッセージは以前のSSL構成からのものです。

解決策

これらのメッセージは無視してください。

C.10.2 整数タイプのカスタム属性に不正な値が返された

一部のシナリオでは、整数タイプのカスタム属性に無効な値が返されます。

この問題のシナリオは、Oracle Key Vaultバージョン21.2.0.0.0以前から作成された値に適用されます。CまたはJava SDKを使用してRESTfulサービス・ユーティリティによって作成された整数タイプのカスタム属性を取得すると、無効な値が返される可能性があります。カスタム属性が無効な値になる可能性もあります。

考えられる原因

Oracle Key Vaultバージョン21.2.0.0.0以前では、RESTfulサービス・ユーティリティを使用して整数型のカスタム属性を追加または変更すると、属性値は、CまたはJAVA SDK、KMIPなどの他のインタフェースで使用される表現とは異なる表現で格納されます。

つまり、RESTfulサービス・ユーティリティを使用して作成または変更された値は、CまたはJAVA SDKおよびKMIPインタフェースでは正しく取得できません。同様に、CまたはJAVA SDKおよびKMIPインタフェースを使用して作成または変更された値は、RESTfulサービス・ユーティリティおよびOracle Key Vault管理コンソールを使用して正しく取得できませんでした。

ノート:

Oracle Key Vault 21.3.0.0.0以降を使用して作成または変更された値は、常に正しく返されます。

次の場合は、整数型のカスタム属性に無効な値が返されます。

• 値はOracle Key Vaultバージョン21.2.0.0.0以前から作成され、Oracle Key Vault 21.3.0.0.0以降へのアップグレード後に変更されていません。
• 値はRESTfulサービス・ユーティリティを使用して作成または変更されましたが、C/、JAVA SDKまたはKMIPクライアント(PKCS#11ライブラリを含む)を使用して取得されています。
• 値はC、JAVA SDKまたはKMIPクライアントを使用して作成または変更されましたが、REST CLIまたはOracle Key Vault管理コンソールを使用して取得されています。

値が同じインタフェースを使用して作成および取得されたときに、正しい値が返されています。

マルチマスター・クラスタでは、この項のOracle Key Vaultバージョンはデプロイメントのクラスタ・バージョンを示します。

解決策

疑わしい値を識別し、その正しい値を設定するには、Oracle Key Vaultバージョン21.3.0.0.0以降へのアップグレード後に次の手順を使用します。整数型のカスタム属性の値は、Oracle Key Vault 21.3.0.0.0より前に作成された場合、ユーティリティ間で使用すると疑わしいとみなされます。これには、正しい表現を使用してすでに格納されている可能性がある値が含まれます。値自体からは表現を決定できないため、このような値はすべて疑わしいとみなされ、修正する必要があります。

1. 整数型のカスタム属性の疑わしい値を特定します。
   1. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

      ssh support@okv_server_IP_address 
      su - root
      

   2. スクリプトを実行して、疑わしい値を含むレポートを生成します。

      /usr/bin/su - okv -c
            /usr/local/okv/bin/gen_custom_attr_suspect_values

      疑わしい値のリストを含むレポートが生成されます。

      /tmp/suspect_values_for_custom_attribute_integer_type.txt

      レポートの各エントリについて、次の値が表示されます。

      • Creating Endpoint: 値を作成したエンドポイント。
      • Unique ID of Object: オブジェクトの一意のID (UUID)。
      • Custom Attribute Name: カスタム属性の名前。
      • Index: 値の索引。
      • SDK Value: C/JAVA SDKインタフェースによって取得される値。
      • REST Value: RESTfulサービス・ユーティリティによって取得される値。

      SDK値とREST値の間では、いずれかの値が正しい値になります。

2. 選択した正しい値で疑わしい値を更新します。
   疑わしいエントリごとに:

   1. SDK値およびREST値を確認します。
   2. 使用可能な2つの値からカスタム属性の正しい値を決定します。いずれかの値がカスタム属性の正しい値になります。

      いずれかの値に「-」が表示される場合があります。このような場合、正しい値は整数として表示される値です。

   3. 選択した正しい値でカスタム値を更新します。任意のインタフェースを使用して、この値を更新できます。

      いずれかの値が「-」と表示されている場合でも、カスタム属性値を更新する必要があります。

      このステップでは、rootユーザーと、疑わしい値を更新できるOracle Key Vaultユーザーとの間の調整が必要になる場合があります。キー管理者ロールを持つユーザーは、すべての疑わしい値を更新できます。また、オブジェクトに対する読取り/書込みアクセス権を持つユーザーまたはエンドポイントは、そのオブジェクトの疑わしいカスタム属性値を変更できます。このようなユーザーは、「Creating Endpoint」に示されているエンドポイント情報を使用して判別できます。

1回の反復ですべての疑わしい値に対して正しい値を設定することで、この手順を完了することをお薦めします。ただし、必要になった場合は、上記の手順を繰り返すことができ、レポートの残りの疑わしい値のみが含まれます。

ステップ1を再度実行し、生成されたレポートに疑わしい値エントリが含まれていないことを確認して、この手順の完了を確認することをお薦めします。

C.10.3 電子メール・アラートを受信していない

SMTPを正常に構成した後でも、管理者はOracle Key Vaultサーバーから電子メール・アラートを受信しません。

考えられる原因

Tomcatサービスの再起動が必要です

解決策

1. sshを介してOracle Key Vaultサーバーまたはノードにログインし、ユーザーをrootに切り替えます。
2. Tomcatサービスを再起動します。

   $service tomcat status 
   $service tomcat stop 
   $service tomcat start

3. Tomcatサービスが稼働しているかどうかを確認します。

   $service tomcat status
   ps -eaf | grep tomcat

4. テスト電子メールを送信し、電子メールが受信されたかどうかを確認します。

C.10.4 Oracle Key VaultサーバーとNTPサーバーの日時が同期されない

Oracle Key Vaultの日時非同期の問題を解決するための2つの方法について学習します。

考えられる原因

Oracle Key Vaultサーバーでの時刻がNTPサーバーでの時刻と一致しません。

解決策

次の手順を実行して、NTPサーバーとOracle Key Vaultサーバーの時刻を同期させます。

1. システム管理者ロールとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」領域で、「NTP」を選択して「System Time」ページを表示します。
4. 「Apply Server」をクリックしてOracle Key VaultサーバーとNTPサーバーのクロックの再同期を実行します。

または、次のステップを実行して、NTPサーバーとOracle Key Vaultサーバーの時刻を同期することもできます:

1. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root

2. 次のコマンドを実行して、Oracle Key Vaultサーバーのクロックの再同期を実行します:

    /bin/chronyc makestep 

C.10.5 FIPSモードの有効化の失敗

Oracle Key Vault管理コンソールで、FIPSの有効化でエラーが発生して失敗します

例

FIPSの有効化中に、Oracle Key Vault管理コンソールに、FIPSモードの有効化に失敗したというエラーが表示されます。

考えられる原因

Oracle Key Vaultサーバーがリリース21.5またはそれより前のリリースからアップグレードされ、アップグレード前にFIPSが無効でした。

解決策

1. SSHを使用して、supportユーザーとしてOracle Key Vaultサーバーにログインして、suを実行してユーザーをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root
   

2. 次のコマンドを実行します。

   /usr/local/okv/bin/okv_fps_disable

3. rebootコマンドを使用して、Oracle Key Vaultサーバーを再起動します。
4. sysadminユーザーでOracle Key Vault管理コンソールにログインし、FIPSを再度有効にします。