1. インストレーションおよびアップグレード・ガイド
  2. スタンドアロンOracle Key Vaultサーバーのアップグレード

6 スタンドアロンOracle Key Vaultサーバーのアップグレード

このアップグレードには、関連付けられたエンドポイント・ソフトウェアを制御するOracle Key Vaultサーバー・ソフトウェアおよびユーティリティが含まれます

6.1 スタンドアロンOracle Key Vaultサーバーのアップグレードについて

Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。

ただし、以前のOracle Key Vaultリリースからダウンロードしたエンドポイント・ソフトウェアは、引き続き、アップグレードされたOracle Key Vaultサーバーとともに機能します。古いエンドポイント・ソフトウェアはアップグレードしたOracle Key Vaultサーバーで引き続き動作しますが、新しいエンドポイント機能は動作しない可能性があることに注意してください。

アップグレードは、次に示す順序で実行する必要があります。最初にOracle Key Vaultのフル・バックアップを実行し、Oracle Key Vaultサーバーをアップグレードし、エンドポイント・ソフトウェアをアップグレードして、最後に、アップグレードしたサーバーに対して再度フル・バックアップを実行します。アップグレードする場合は、Oracle Key Vaultサーバーの再起動が必要になることに注意してください。

アップグレード中の限られた時間、エンドポイントではOracle Key Vaultサーバーを使用できません。永続キャッシュ機能を有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

アップグレードを始める前に、アップグレードするための詳細情報を『Oracle Key Vaultリリース・ノート』で参照してください。

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.2 ステップ1: アップグレード前のサーバーのバックアップ

Oracle Key Vaultサーバーをアップグレードする前に、アップグレードに失敗した場合にデータをリカバリできるように、リモート宛先に1回限りのバックアップを実行します。

注意:

このステップはスキップしないでください。アップグレードの実行前にサーバーをバックアップして、データを安全かつリカバリ可能な状態にします。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.3 ステップ2: スタンドアロンOracle Key Vaultのアップグレード前タスクの実行

Oracle Key Vaultにスムーズにアップグレードするために、アップグレードするサーバーを準備する必要があります。

  1. Oracle Key Vaultがインストールされているサーバーで、ユーザーsupportとしてログインしてから、rootユーザーに切り替えます。
  2. サーバーがアップグレードの最小ディスク領域要件(6 GBの空きディスク領域)を満たしていることを確認します。
  3. Oracle Key Vault管理コンソールの「Download Diagnostics」ページから「Clear」をクリックして、診断を無効にする必要があります。

    ノート:

    「Clear」ボタンは、Oracle Key Vaultリリース21.6以降からアップグレードする場合に使用できます。Oracle Key Vaultリリース21.5以前からのアップグレードでは、以前のユーティリティのcleanメソッドを使用する必要があります。これを行うには、/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --cleanコマンドと/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --removeコマンドを実行します。

  4. ブート・パーティションのサイズを確認します。問題のあるいずれかのノードに500 MB未満のブート・パーティションがある場合は、そのシステムを新しいリリースにアップグレードできません。このサイズは、次のようにして確認できます。
    1. /bootパーティションをマウントします。
      # mount /boot
    2. 次のコマンドで指定したSize列を確認します。
      # df -h /boot
    3. /bootパーティションをアンマウントします。
      # umount /boot
    このコマンドで指定したブート・パーティションが488 MB未満である場合は、現在のリリースにアップグレードできません。現在の構成のバックアップを、現在のシステムと同じリリースを新規にインストールしたシステムにリストアし、かわりにそれを新しいリリースにアップグレードすることをお薦めします。
  5. Oracle Key VaultでBIOSブート・モードを使用している場合は、ディスク・サイズが2 TBを超えないようにしてください。この場合、現行リリースにアップグレードすることはできません。現在の構成のバックアップを2 TB未満のサイズのディスクを持つシステムにリストアし、かわりに新しいリリースにアップグレードすることをお薦めします。
  6. 使用可能なディスク領域を増やす必要がある場合は、/usr/local/okv/sslにある一時jarファイルを削除します。その際には注意が必要です。/usr/local/okv/sslのjarファイル以外のファイルを誤って削除すると、Oracle Key Vaultサーバーは機能しなくなります。
  7. vg_rootサイズを拡張して、ディスク領域を増やします。
    アップグレードを実行する前に、vg_rootを拡張してディスク領域を増やす必要があります。
  8. フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。
  9. 次の仕様に従い、停止時間を計画します。
    Oracle Key Vaultの使用 停止時間の必要性

    ウォレットのアップロードまたはダウンロード

    なし

    Javaキーストアのアップロードまたはダウンロード

    なし

    Transparent Data Encryption (TDE)直接接続

    はい(永続キャッシュを使用する場合は、いいえ)

    プライマリ・スタンバイ・デプロイメントにおけるプライマリ・サーバーのアップグレード

    はい(永続キャッシュを使用する場合は、いいえ)
  10. 停止時間の計画。
    Oracle Key Vaultでオンライン・マスター暗号化キーを使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。
  11. Oracle Key Vaultシステムでsyslog宛先が構成されている場合は、リモートsyslog宛先がOracle Key Vaultシステムからアクセス可能であり、ログが正しく転送されることを確認してください。リモートsyslog宛先にOracle Key Vaultシステムからアクセスできない場合、アップグレード処理が通常より大幅に遅くなる可能性があります。
  12. Oracle Audit VaultがOracle Key Vaultリリース21.2以前と統合されていた場合は、次の手順を実行してOracle Audit Vault統合を無効化し削除します。
    1. Oracle Audit Vault統合の無効化: Oracle Key Vault管理コンソールにシステム管理者としてログインし、「System」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。「Monitoring and Alerts」ペインで、「Audit Vault」を選択します。表示される「Audit Vault integration」ペインで、AVDFを無効にします。「Save」をクリックします。
    2. ユーザーsupportとしてSSHを介してOracle Key Vaultサーバーにログインし、ユーザーsurootに切り替えてから、ユーザーsuoracleに切り替えます。
    3. 次のコマンドを実行して、エージェントを停止します。
      agent_installation_directory/bin/agentctl stop
    4. Oracle Audit Vault ServerコンソールにOracle Audit Vault管理者としてログインします。
    5. 対応するエージェントとターゲットを削除します。
    6. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    7. Oracle Audit Vaultエージェントのインストール・ディレクトリを削除します。
  13. HSMをルート・オブ・トラストとして使用しているときにアップグレードを実行する場合は、必要になる可能性のある追加のステップについて、Oracle Key Vaultルート・オブ・トラストHSM構成ガイドを参照してください。
  14. アップグレードを開始する前に、Oracle Key Vaultサーバー証明書の有効期限が切れていないこと、または有効期限が近くないことを確認します。
    Oracle Key Vaultサーバー証明書の有効期限が切れるまでの時間は、Oracle Key Vault管理コンソールの「Configure Alerts」ページで「OKV Server Certificate Expiration」設定を選択して確認できます。

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.4 ステップ3: リリース21.9アップグレード用にvg_rootを拡張するためのディスク領域の追加

Oracle Key Vaultリリース12.2または18から21にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。

以前のOracle Key Vaultリリース21.xからアップグレードしていて、vg_rootをすでに拡張している場合は、このステップをバイパスできます。
この手順を開始する前に、すべてのエンドポイントで永続キャッシュが有効で使用中であることを確認します。
  1. アップグレードを実行するサーバーにログインし、rootとしてユーザーを切り替えます。
  2. Oracle Key Vaultの永続キャッシュ設定が設定されていることを確認します。
    この手順の後半のステップでサーバーを停止する必要があるため、永続キャッシュが有効になっていることを確認する必要があります。Oracle Key Vaultサーバーを停止すると、停止時間が発生します。停止時間を回避するために、永続キャッシュをオンにすることをお薦めします。
  3. vgsコマンドを実行して、空き領域の量を決定します。
    vgs

    VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

  4. 新しいディスクを追加するには、サーバーの電源を切ります。
    /sbin/shutdown -h now
  5. 容量が100 GB以上の新しいディスクをサーバーに追加します。
  6. サーバーを起動します。
  7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
  8. Oracle Key Vaultサービスを停止します。
    service tomcat stop;
service httpd stop;
service kmipus stop;
service kmip stop;
service okvogg stop;
service javafwk stop;
service monitor stop;
service controller stop;
service dbfwlistener stop;
service dbfwdb stop;
service rsyslog stop;
  9. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
    fdisk -l
    この段階では、使用可能なパーティションはありません。
  10. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。
    fdisk /dev/sdb

    表示されるプロンプトで、次のコマンドを順番に入力します。

    • 新しいパーティションを意味するn
    • プライマリを意味するp
    • パーティション番号の1
    • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
    • 書き込んで終了するためのw
  11. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。
    pvcreate /dev/sdb1

    出力は、次のようになります。

    Physical volume "/dev/sdb1" successfully created
  12. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdb1の場合は、次のように実行します。
    vgextend vg_root /dev/sdb1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended
  13. vgsコマンドを再度実行して、(追加されたディスクのサイズに応じて) VFreeに100 GB以上の増加が示されていることを確認します。
    vgs

    出力は、次のようになります。

    VG      #PV #LV #SN Attr   VSize   VFree
vg_root   2  12   0 wz--n- 598.75g <121.41g
  14. Oracle Key Vaultサーバーを再起動します。
    /sbin/reboot

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.5 ステップ4: Oracle Key Vaultサーバーのアップグレード

スタンドアロンOracle Key Vaultサーバー・デプロイメントをアップグレードできます。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.5.1 Oracle Key Vaultサーバーのアップグレードについて

スタンドアロン・デプロイメントでは、単一のOracle Key Vaultサーバーをアップグレードする必要があります。

永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

ノート:

RAMが4 GBのシステムからアップグレードする場合は、アップグレード前にまず、特定のハードウェアの手順に従って12 GB以上のRAMを追加してください。エンドポイントの停止時間が発生しないように、そのような操作を試行する前に、永続キャッシュが有効になっており、十分に大きい値に設定されていることを確認してください。

関連トピック

親トピック: ステップ4: Oracle Key Vaultサーバーのアップグレード

6.5.2 スタンドアロンOracle Key Vaultサーバーのアップグレード

スタンドアロン・デプロイメント内の単一のOracle Key Vaultサーバーが機能テストのためにテスト環境と開発環境で使用される場合があります。

  1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    このステップを完了することなく先に進まないでください。
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  3. SSHアクセスが有効になっていることを確認します。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  4. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
    このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
  5. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
    アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を防ぐために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認してください。tmuxコマンドの使用により、ネットワークの切断によってアップグレードが中断されるのを防止できます。セッションが終了した場合は、次のように再開します。
    root# tmux a
  6. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

    ノート:

    アップグレードISOファイルは、eDeliveryからダウンロードしたインストールISOファイルではありません。Oracle Key Vault 21.9アップグレード・ソフトウェアは、https://updates.oracle.com/download/35951559.htmlからダウンロードできます。 
    root# scp user_name@remote_host:remote_path/okv-upgrade-21.9.0.0.0.iso /var/lib/oracle/

    この指定内容についての説明は次のとおりです。

    • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
    • remote_pathはISOアップグレード・ファイルのディレクトリです。このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
  7. rootとして、mountコマンドを使用して、アップグレードをアクセス可能にします。
    root# mount -o loop,ro /var/lib/oracle/okv-upgrade-21.9.0.0.0.iso /images
  8. clean allコマンドを使用してキャッシュをクリアします。
    root# yum -c /images/upgrade.repo clean all
  9. upgrade.rbコマンドを使用してアップグレードを適用します。
    root# ruby /images/upgrade.rb --confirm

    システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

    Reboot now to continue the upgrade process.

    エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

    ノート:

    FIPS対応のアップグレードの場合は、UEFIブートベースのOracle Key Vaultシステムで障害が発生し、次のメッセージが表示されます。

    Failed to apply update: The Oracle Key Vault upgrade has detected issues with FIPS mode.Please consult the Oracle Key Vault upgrade documentation or contact Oracle Support.

    6.5.2.1項で示されている手順に従って、FIPSの非一貫性を修正する必要があります。

  10. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。
    # reboot

    アップグレードISOファイルを/var/lib/oracleディレクトリにコピーしたと仮定すると、アップグレード後に初めてコンピュータを再起動したときに、/var/lib/oracle/okv-upgrade-21.9.0.0.0.isoが自動的にマウントされ、アップグレード・プロセスが終了します。(ISOが自動的にマウントされない場合は、アップグレード・プロセスによって、ISOの再アタッチを求めるプロンプトが表示されます。)これには数時間かかる場合があります。この間システムを停止しないでください。

    アップグレードは、「Oracle Key Vault Server version. This appliance was upgraded from previous_release_versionというテキストが画面に表示されると完了します。リビジョンには、アップグレードされたリリースが反映されます。

  11. Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「Status」を選択します。
    3. 最新のリリース番号のバージョンが表示されていることを確認します。
      リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
  12. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをスタンドアロン・サーバーに再インストールします。
  13. Oracle Key Vaultシステムを再起動します。
    root# /sbin/reboot
  14. 先ほどアップグレードされたOracle Key VaultサーバーからアップグレードISOを削除します。
    たとえば:
    root# /bin/rm -f /var/lib/oracle/okv-upgrade-21.9.0.0.0.iso
  15. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

関連トピック

親トピック: ステップ4: Oracle Key Vaultサーバーのアップグレード

6.5.2.1 アップグレード前のシステム非一貫性の修正

最新のOracle Key Vaultリリースにアップグレードする前に、システムの非一貫性を修正できます。

アップグレード・パスにOracle Key Vaultリリース21.1または21.2が含まれており、Oracle Key Vaultリリース21.1または21.2でのシステムの実行中にFIPSモードを有効または無効にしていると、Oracle Key Vault 21.9へのアップグレードでエラーが発生する場合があります。このエラーは、Oracle Key Vault内のすべてのコンポーネントがFIPSに関して同じモードでない(つまり、すべて有効でもすべて無効でもない)ことが原因です。すべてのシステム・コンポーネントが、同様のFIPSモードで動作している必要があります。つまり、アップグレードを続行する前に、コンポーネントすべてが、FIPSモード有効であるか無効である必要があります。

Oracle Key VaultでFIPSモードに一貫性がない場合は、アップグレード時に次のエラーが発生します。

 # ruby /images/upgrade.rb --confirm

Power loss during upgrade may cause data loss. Do not power
off during upgrade.
Verifying boot partition before upgrade 
Failed to apply update: 
The Oracle Key Vault upgrade has detected issues with FIPS mode. 
Please consult the Oracle Key Vault upgrade documentation or contact Oracle Support.

アップグレードする前に、FIPSの不整合状態を修正する手順に従ってください。

  1. ユーザーsupportとしてOracle Key VaultシステムにSSH接続してから、ユーザーrootに切り替えます。
    ssh support@<Oracle_Key_Vault_IP_address> 
su - root
  2. 次のコマンドを実行します。
    su - oracle -c "/usr/local/okv/bin/fips_nzzt_enable"
su - oracle -c "/usr/local/okv/bin/fips_ogg_enable"
FIPS_ENABLED in /usr/local/okv/etc/okv_security.conf updated from "0" to "1":
sed -i "/^FIPS_ENABLED=/cFIPS_ENABLED=\"1\"" /usr/local/okv/etc/okv_security.conf
  3. システムを再起動します。
  4. 再起動が完了したら、システムをアップグレードします。

6.6 ステップ5: スワップ領域を拡張するためのディスク領域の追加(必要な場合)

必要に応じて、スワップ領域を拡張します。Oracle Key Vaultリリース21.9では、2 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。

システムがこの要件を満たしていない場合は、次の手順に従ってスワップ領域を拡張します。swapon -sコマンドを実行して、使用しているスワップ領域の量を確認できます。デフォルトでは、リリース18.1より前のOracle Key Vaultリリースは、約4 GBのスワップ領域でインストールされていました。リリース18.1以降へのアップグレードが完了したら、Oracle Key Vaultをアップグレードしたサーバーに割り当てられているスワップ領域を増やすことをお薦めします。Oracle Key Vaultの新しいインストールには十分なスワップ領域が自動的に構成されます。ただし、以前のリリースからアップグレードし、システムに必要な量のスワップ領域が構成されていない場合、特にアップグレードしたサーバーをマルチマスター・クラスタの最初のノードに変換することを意図している場合、ディスク領域を手動で追加してスワップ領域を拡張する必要があります。
  1. Oracle Key Vaultをアップグレードしたサーバーにログインし、rootとして接続します。
  2. スワップ領域の現在の量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。この例は、システムのスワップ領域が4 GBであることを示しています。

    Filename Type Size Used Priority
/dev/dm-0 partition 4194300 3368 -1

    ディスクのサイズが1 TBを超える場合は、64 GBのスワップ領域が必要です。

  3. vgsコマンドを実行して、使用可能な空き領域の量を決定します。
    vgs

    VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

  4. 新しいディスクを追加するには、サーバーの電源を切ります。
    /sbin/shutdown -h now
  5. VFree値が64 GBを超えるサイズのサーバーに新しいディスクを追加します。
  6. サーバーを起動します。
  7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
  8. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
    fdisk -l

    この段階では、使用可能なパーティションはありません。

  9. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdcという名前のディスク・デバイスを作成するには、次のようにします。
    fdisk /dev/sdc

    表示されるプロンプトで、次のコマンドを順番に入力します。

    • 新しいパーティションを意味するn
    • プライマリを意味するp (プライマリ・パーティションの場合)
    • パーティション番号の1
    • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
    • 書き込んで終了するためのw
  10. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdc1にしたディスク・デバイスの場合は、次のようにします。
    pvcreate /dev/sdc1

    出力は、次のようになります。

    Physical volume "/dev/sdc1" successfully created
  11. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdc1の場合は、次のように実行します。
    vgextend vg_root /dev/sdc1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended
  12. vgsコマンドを再度実行して、VFreeに64 GBの増加が示されていることを確認します。
    vgs
  13. スワッピングを無効にします。
    [root@my_okv_server support]# swapoff -v /dev/vg_root/lv_swap
  14. スワップ領域を拡張するには、lvresizeコマンドを実行します。
    [root@my_okv_server support]# lvresize -L +60G /dev/vg_root/lv_swap

    出力は、次のようになります。 

    Size of logical volume vg_root/lv_swap changed from 4.00 GiB (128 extents) to 64.00 GiB (2048 extents)
Logical volume lv_swap successfully resized.
  15. 新しく追加したスワップ領域をフォーマットします。
    [root@my_okv_server support]# mkswap /dev/vg_root/lv_swap

    出力は、次のようになります。

    mkswap: /dev/vg_root/lv_swap: warning: don't erase bootbits sectors
on whole disk. Use -f to force.
Setting up swapspace version 1, size = 67108860 KiB
no label, UUID=fea7fc72-0fea-43a3-8e5d-e29955d46891
  16. スワッピングを再度有効にします。
    [root@my_okv_server support]# swapon -v /dev/vg_root/lv_swap
  17. 使用可能なスワップ領域の容量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。

    Filename Type Size Used Priority 
/dev/dm-0 partition 67108860 0 -1
  18. Oracle Key Vaultサーバーを再起動します。
    /sbin/reboot

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.7 ステップ6: 古いカーネルの削除(必要な場合)

アップグレード後に残された古いカーネルをクリーン・アップすることをお薦めします。

古いカーネルは使用されませんが、一部のコード分析ツールによって問題としてマークされることがあります。
  1. Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. /bootがシステムにマウントされていない場合はマウントします。
    1. /bootがマウントされているかどうかを確認します。/bootがマウントされている場合は、次のコマンドで情報を表示できます。
      df -h /boot;
    2. /bootがマウントされていない場合はマウントします。
      /bin/mount /boot;

      EFIベースのシステムについては、/boot/efiがまだマウントされていない場合はマウントが必要になることがあります。 

      /bin/mount /boot/efi
  4. インストールされているカーネルと実行中のカーネルを確認してください。
    1. インストールされているすべてのカーネルを検索します。
      rpm -q kernel-uek | sort;

      次の出力例は、2つのカーネルがインストールされていることを示しています。

      kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64
kernel-uek-5.4.17-2136.329.3.1.el8uek.x86_64
    2. 最新のカーネルを確認します。
      uname -r;

      次の出力は、その時点でインストールされていたカーネル・バージョンの例を示しています。

      5.4.17-2136.329.3.1.el8uek.x86_64

      この例では、5.4.17-2136.329.3.1.el8uek.x86_64を最新バージョンと仮定しています(現在はこれよりも新しいバージョンを入手できる場合があります)。前述のコマンドからの出力に基づいて、古いカーネル(kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64)を削除します。最新のカーネルより前のすべてのカーネルを削除してください。

  5. 古いカーネルとそれに関連するRPMを削除します。

    たとえば、kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64を削除するには、次のようにします

    # yum --disablerepo=* remove `rpm -qa|grep kernel-uek-5.4.17-2136.318.7.2.el8uek`

    出力は、次のようになります。 

      Resolving Dependencies
-->   Running transaction check
---> Package kernel-uek.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
---> Package kernel-uek-devel.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
--> Finished Dependency Resolution
Dependencies resolved.
================================================================================
 Package Arch Version Repository Size
================================================================================
Removing:
 kernel-uek x86_64 5.4.17-2136.318.7.2.el8uek @avdf-base-os 135 M

Transaction Summary
================================================================================
Remove 1 Package

Freed space: 135 M
Is this ok [y/N]:
  6. 「y」を入力して、削除出力を受け入れます。
  7. 最新のカーネルより古いすべてのカーネルについて、ステップ4以降のステップを繰り返します。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.8 ステップ7: SSH関連のDSAキーの削除(必要な場合)

アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. SSHを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  3. SSHを使用してOracle Key Vaultのsupportアカウントにログインします。
    ssh support@OracleKeyVault_serverIPaddress
  4. rootユーザーに切り替えます。
    su - root
  5. /etc/sshディレクトリに移動します。
    cd /etc/ssh
  6. 次のキーの名前を変更します。
    mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.retire
mv ssh_host_dsa_key ssh_host_dsa_key.retire
  7. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.9 ステップ8: パッチ更新の確認

追加のパッチが環境に適用可能かどうかを確認します。Oracle Key Vaultリリースのインストールまたはアップグレード後にパッチを確認することをお薦めします。

Oracle Key Vaultのパッチをダウンロードして更新するには:
  1. https://support.oracle.comにログインします。
  2. 「パッチと更新版」タブを選択します。
  3. 「製品またはファミリ(拡張)」タブを選択します。

    ノート:

    デフォルトでは、「番号/名前またはバグ番号(簡易)」オプションが選択されています。
  4. 製品ドロップダウン・リストから「Oracle Key Vault」を選択します。
  5. リリースドロップダウン・リストから現在のリリース番号を選択します。
  6. 「検索」をクリックします。検索結果が表示されます。
  7. 「パッチ名」列で、リリースに適用可能なパッチ番号をクリックします。

    ノート:

    「リリース」列でリリースを確認できます。

    対応する「パッチnumberページが表示されます。

  8. 「README」をクリックして、ブラウザにREADMEファイルを開きます。
  9. 「ダウンロード」をクリックして、「ファイルのダウンロード」ページを開きます。
  10. 「ファイル・メタデータのダウンロード」リンクをクリックします。
  11. 「ダウンロード」をクリックして、XMLメタデータ・ファイルをダウンロードします。

ノート:

Oracle Key Vaultリリース21.9へのアップグレード後にパッチ37492574を適用することをお薦めします。このパッチは、リリース21.9へのアップグレード後に誤った設定で動作している可能性がある、Oracle Key Vault内部の特定のプロセスの構成を修正します。また、このパッチは、今後の(リリース21.9からそれ以降のバージョンのOracle Key Vaultへの)アップグレードが失敗するのを防ぎます。Oracle Key Vaultデプロイメント内のすべてのシステムが21.9に正常にアップグレードされた後に、このパッチを適用します。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.10 ステップ8: エンドポイント・ソフトウェアのアップグレード

アップグレードの一環として、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。

ノート:

Oracle Key Vault 21.9.0.0.0では、証明書のローテーション後に、パスワードで保護されたエンドポイントが「Server Connect Failed」エラーでOracle Key Vaultデプロイメントへの接続に失敗することがあります。この問題に対する修正は、バグ37006283のパッチとして入手できます。システムのアップグレードが完了した後で、エンドポイント・ソフトウェアをアップグレードする前に、このパッチをOracle Key Vault 21.9.0.0.0システムに適用します。
Oracle Key Vaultクライアント・ソフトウェアをアップグレードするための最も簡単な方法は、エンドポイントを再エンロールすることです。再エンロールすると、新しいokvclient.jarファイルが生成されます。ただし、エンドポイントとその(デフォルトの)ウォレットとの関係は維持されます。再エンロールは、okv admin endpoint re-enrollコマンドと okv admin endpoint provisionコマンドを使用して完全にスクリプト化できます。

TDEキー管理にOracle Key Vaultを使用するエンドポイントで新しいOracle Key Vault機能(抽出不可能なTDEマスター・キーなど)を利用できるようにするには、Oracle Key Vaultの新リリースに合わせてアップグレードする必要があります。

  1. オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。
  2. 次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar)をダウンロードします。
    1. Oracle Key Vault管理コンソールのログイン画面に移動します。
    2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
    3. 「Download Endpoint Software Only」セクションで、ドロップダウン・リストから適切なプラットフォームを選択します。
    4. 「Download」ボタンをクリックします。
  3. アップグレードしようとしている既存のエンドポイント・インストールへのパス(たとえば、/etc/ORACLE/KEYSTORES/okv)を識別します(/etc/ORACLE/KEYSTORESはデータベースのWALLET_ROOTであるか、または$ORACLE_BASE/okv/$ORACLE_SIDのソフトリンクで指します)。
  4. 次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。
    java -jar okvclient.jar -d existing_endpoint_directory_path

    たとえば:

    java -jar okvclient.jar -d /etc/ORACLE/KEYSTORES/okv
  5. 更新されたPKCS#11ライブラリ・ファイルをインストールします。
    このステップは、Oracle Key VaultによるオンラインTDEマスター暗号化キーの管理のためにのみ必要です。エンドポイントがOracle Key VaultによるオンラインTDEマスター暗号化キー管理を使用する場合は、エンドポイント・ソフトウェアのアップグレード中にPKCS#11ライブラリをアップグレードする必要があります。
    • UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。
      $ sudo /etc/ORACLE/KEYSTORES/okv/bin/root.sh

      または

      $ su - root
# /etc/ORACLE/KEYSTORES/okv/bin/root.sh
    • Windowsプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。使用中のデータベースのバージョンを指定するよう求められます。
      bin\root.bat
  6. SDKソフトウェアを更新します。
    SDKソフトウェアをすでにデプロイしている場合は、Oracle Key Vaultリリース21.9へのアップグレードの完了後、同じ場所にSDKソフトウェアを再デプロイすることをお薦めします。これにより、アップグレード元のOracle Key Vaultバージョン以降に導入された新しいSDK APIにアクセスできます。
    1. Oracle Key Vault管理コンソールのログイン画面に移動します。
    2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
    3. 「Download Software Development Kit」セクションで、サイトに適した言語およびプラットフォームを選択します。
    4. 「Download」ボタンをクリックして、SDK zipファイルを入手します。
    5. SDKソフトウェアがすでにデプロイされている既存の場所を特定します。
    6. SDK zipファイルを保存したディレクトリに移動します。
    7. SDK zipファイルを解凍します。

      たとえば、LinuxでJava SDK zipファイルを解凍するには、次のコマンドを使用します。

      unzip -o okv_jsdk.zip -d existing_endpoint_sdk_directory_path

      C SDK zipファイルの場合は、次のコマンドを使用します。

      unzip -o okv_csdk.zip -d existing_endpoint_sdk_directory_path
    8. このページを終了しないでください。
  7. 前のリリースでRESTfulサービス・ユーティリティをデプロイした場合は、最新のokvrestclipackage.zipファイルを再デプロイします。
    最新のokvrestclipackage.zipファイルを使用すると、アップグレード元のOracle Key Vaultバージョン以降に導入された新しいRESTfulサービス・ユーティリティ・コマンドにアクセスできます。

    ノート:

    Oracleでは、Oracle Key Vaultリリース21.9へのアップグレード後にパッチ36843467を適用することをお薦めします。このパッチは、RESTfulサービス・ユーティリティのclient_walletパラメータの処理に関連する問題を修正して、ユーザー資格証明を取得します。okvrestclipackage.zipをダウンロードする前に、このパッチを適用する必要があります。
    wgetまたはcurlを使用して、okvrestclipackage.zipをダウンロードできます。
    wget --no-check-certificate https://Oracle_Key_Vault_IP_address:5695/okvrestclipackage.zip

curl -O -k https://Oracle_Key_Vault_IP_address:5695/okvrestservices.jar
  8. このホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのアップグレードが完了したら、Oracleデータベースを起動します。

    Oracle Key Vaultクライアント・ソフトウェアをアップグレードするための最も簡単な方法は、エンドポイントを再エンロールすることです。再エンロールすると、新しいokvclient.jarファイルが生成されます。ただし、エンドポイントとその(デフォルトの)ウォレットとの関係は維持されます。

  9. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Real Application Clusters (Oracle RAC)環境を使用している場合は、各Oracle RACノードで次のステップを実行します。
    1. 各Oracle RACノードでエンドポイントのアップグレードを実行します。
    2. 対称キーの抽出可能属性値を設定します。
      デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定する必要があります。次のように、抽出可能属性値を設定できます。
      • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
      • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
      • 既存の対称キーの抽出可能属性を変更します。
      Oracle Key Vault管理者ガイドを参照してください。
    3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、1つのOracle RACノードでキー更新操作を実行します。次の構文を使用します。
      ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
[FORCE KEYSTORE]
[USING TAG 'tag_name'] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password;

      TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

  10. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Data Guard環境を使用している場合は、プライマリおよびスタンバイ・データベースで次のことを行います。
    1. プライマリおよびスタンバイ・データベースでエンドポイントのアップグレードを実行します。
    2. サイトでこのことが必要とされる場合は、対称キーの抽出可能属性値を設定します。
      デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定する必要があります。次のように、抽出可能属性値を設定できます。
      • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
      • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
      • 既存の対称キーの抽出可能属性を変更します。
      Oracle Key Vault管理者ガイドを参照してください。
    3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、プライマリ・データベースでキー更新操作を実行します。 
      ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
[FORCE KEYSTORE]
[USING TAG 'tag_name'] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password;

      TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

    ノート:

    • root.shまたはroot.batスクリプトを実行して最新のOracle Key Vault PKCS#11ライブラリをインストールする必要があるのは、マスター暗号化キー管理にOracle Key Vaultを使用する複数のTDE対応Oracleデータベースがあるホスト・マシンで1回のみです。
    • 必ず、同じホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのアップグレードが完了した後にのみ、root.shまたはroot.bat スクリプトを実行してください。
    • このホストにあるすべてのTDE対応Oracleデータベースが停止していることを確認してください。
    • オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.11 ステップ10: アップグレードしたOracle Key Vaultサーバーのバックアップ

アップグレードが正常に完了した後、サーバー・バックアップおよびユーザー・パスワード・タスクを実行する必要があります。

  1. アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。
  2. 前のステップで定義した新しい宛先への新しい定期増分バックアップをスケジュールします。
  3. Oracle Key Vault管理パスワードを変更します。
    パスワード・ハッシュは、以前のリリースよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワードのsupportrootに影響があります。アップグレードした後、よりセキュアなハッシュを活用するために、Oracle Key Vaultの管理パスワードを変更する必要があります。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード