1. セキュリティ・ガイド
  2. セキュリティ機能
  3. 暗号化キーの構成と使用

暗号化キーの構成と使用

Enterprise Managerでは、機密データの完全性を守るためにemkeyと呼ばれるサイン・オン検証方法が使用されます。暗号化キーは、リポジトリに格納されているパスワードや優先資格証明などの機密データの暗号化/復号化に使用されるマスター・キーです。emkeyはリポジトリの作成時間に生成され、最初はリポジトリ・データベースに保存されます。初めてOMSをインストールする際、emkeyは資格証明ストアにコピーされ、リポジトリから削除されます(emkeyは初めから保護されています)。バックアップは、OMS_ORACLE_HOME/sysman/config/emkey.oraに作成されます。

emkeyが破損したりバックアップemkey.oraファイルが消失した場合、リポジトリ内の暗号化されたデータはすべて使用不可になります。このため、OMSマシンがクラッシュしたりemkeyが破損した場合に、バックアップしたファイルを使用して環境をリカバリできるように、このファイルのバックアップを他のマシンに作成することを強くお薦めします。

起動時、OMSはemkeyを資格証明ストアとリポジトリから読み取ります。emkeyが見つからない場合または破損している場合、起動に失敗します。キーをEnterprise Managerスキーマとは別に保管することで、スキーマの所有者およびSYSDBAユーザー(データベースのメンテナンス・タスクを行える特権ユーザー)が、リポジトリ内の名前付き資格証明などの機密データにアクセスできないようにします。さらに、キーをスキーマとは別にすることで、リポジトリ・バックアップはアクセスされても、機密データはアクセスされないようにします。また、スキーマの所有者は、OMS/リポジトリOracleホームにアクセスできないようにします。

リポジトリ暗号化アルゴリズム

Advanced Encryption Standard (AES)アルゴリズムは、Enterprise Managerリポジトリ内のデータを暗号化するために使用されます。暗号化キーのサイズは256ビットです。

以前は、Triple Data Encryption Standard (3DES)がリポジトリ・データの暗号化に使用される暗号化アルゴリズムでした。

emkeyの構成

emkeyは、ホストのパスワード、データベースのパスワードなど、Enterprise Manager内の機密性の高いデータを暗号化および複合化するために使用される暗号化キーです。emkey.oraファイルはemkeyのコピーで、リストアのために安全な場所に保存しておく必要があります。

起動時に、Oracle Management Serviceは、emkeyのステータスを確認します。emkeyが適切に構成されている場合、OMSはこれを暗号化および複合化データに使用します。emkeyが適切に構成されていない場合、次のエラー・メッセージが表示されます。

例2-12 emctl start omsコマンド

Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
emctl start oms
Starting HTTP Server ...
Starting Oracle Management Server ...
Checking Oracle Management Server Status ...
Oracle Management Server is not functioning because of the following reason:
The Em Key is not configured properly. Run "emctl status emkey" for more details.

emctlコマンド

emkeyに関連するemctlコマンドを次に示します。

  • emctl status emkey

  • emctl config emkey -copy_to_credstore

  • emctl config emkey -remove_from_repos

  • emctl config emkey -copy_to_file_from_credstore -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_file_from_repos (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> | -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_credstore_from_file -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_repos_from_file (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> | -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>

    例: 使用している環境がサービス名で構成されている場合は例1を使用します。その他のすべての場合は例2を使用します。 

    Example 1
emctl config emkey -copy_to_repos_from_file -repos_conndesc '"(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=<>)(PORT=<>)))(CONNECT_DATA=(SERVICE_NAME=<>)))"' -repos_user <> [-repos_pwd <pwd> ] [-admin_pwd <pwd>] -emkey_file < emkey file>

Example 2
emctl config emkey -copy_to_repos_from_file -repos_host <host> -repos_port <port> -repos_sid <sid> -repos_user <username> [-repos_pwd <pwd> ] [-admin_pwd <pwd>] -emkey_file <emkey file>

emctl status emkey

このコマンドは、emkeyの状態またはステータスを示します。emkeyのステータスに応じて、次のメッセージが表示されます。

  • emkeyが資格証明ストアおよびリポジトリで正しく構成されている場合、次のメッセージが表示されます。

  • emkeyが資格証明ストアで正しく構成され、管理リポジトリから削除されている場合、次のメッセージが表示されます。

  • emkeyが資格証明ストアで破損し、管理リポジトリから削除されている場合、次のメッセージが表示されます。

例2-13 emctl status emkey - 例1

Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EmKey is configured properly, but is not secure. Secure the EMKey by running "emctl config emkey -remove_from_repos"

例2-14 emctl status emkey - 例2

Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey is configured properly.

例2-15 emctl status emkey - 例3

Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey is not configured properly or is corrupted in the credential store and does not exist in the Management Repository. To correct the problem:
1) Get the backed up emkey.ora file.
2) Configure the emkey by running "emctl config emkey -copy_to_credstore_from_file"

emctl config emkey -copy_to_credstore

このコマンドは、emkeyを管理リポジトリから資格証明ストアにコピーします。

例2-16 emctl config emkey -copy_to_credstoreコマンドの出力例

emctl config emkey -copy_to_credstore
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Credential Store.

emctl config emkey -copy_to_file_from_credstore

このコマンドは、emkeyを資格証明ストアから指定のファイルにコピーします。

例2-17 emctl config emkey -copy_to_file_from_credstoreコマンドの出力例

emctl config emkey -copy_to_file_from_credstore -admin_host <host> -admin_port
<port> -admin_user <username> [-admin_pwd <pwd>] [-repos_pwd <pwd>] -emkey_file
<emkey file>
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been copied to file.

emctl config emkey -copy_to_file_from_repos

このコマンドは、emkeyを管理リポジトリから指定のファイルにコピーします。

例2-18 emctl config emkey -copy_to_file_from_reposコマンドの出力例

emctl config emkey -copy_to_file_from_repos (-repos_host <host> -repos_port <port>
-repos_sid <sid> | -repos_conndesc <conn desc>) -repos_user <username> [-repos_pwd
<pwd>] [-admin_pwd <pwd>] -emkey_file <emkey file>
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been copied to file.

ノート: repos_host、repos_port、repos_sidまたはrepos_conndescのいずれかを指定する必要があります。

emctl config emkey -copy_to_credstore_from_file

このコマンドはemkeyをリポジトリから削除します。これは、すぐに使用できるように構成されているemkeyを保護します。

例2-19 emctl config emkey -copy_to_credstore_from_fileコマンドの出力例

emctl config emkey -copy_to_credstore_from_file -admin_host <host> -admin_port <port> -admin_user <username> [-admin_pwd <pwd>] [-repos_pwd <pwd>] -emkey_file <emkey file>
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Credential Store.

emctl config emkey -copy_to_repos_from_file

このコマンドは、emkeyを指定のファイルからリポジトリにコピーします。

例2-20 emctl config emkey -copy_to_repos_from_fileコマンドの出力例

emctl config emkey -copy_to_repos_from_file (-repos_host <host> -repos_port <port>
-repos_sid <sid> | -repos_conndesc <conn desc>) -repos_user <username> [-repos_pwd
<pwd>] [-admin_pwd <pwd>] -emkey_file <emkey file>
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Management Repository. This operation will cause
the EMKey to become unsecure.
After the required operation has been completed, secure the EMKey by running "emctl config emkey -remove_from_repos".

emctl config emkey -remove_from_repos

このコマンドは、リポジトリからemkeyを削除します。

例2-21 emctl config emkey -remove_from_reposコマンドの出力例

emctl config emkey -remove_from_repos
Oracle Enterprise Manager 24ai Release 1  
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
The EMKey has been removed from the Management Repository.

ノート:

emkeyが資格証明ストア内で破損している場合、管理リポジトリから削除できません。

シナリオのインストールおよびアップグレード

この項では、emkeyのシナリオのインストールとアップグレードについて説明します。

管理リポジトリのインストール

管理リポジトリを作成すると、新しいemkeyが強力なランダム番号として生成されます。

最初のOracle Management Serviceのインストール

Oracle Management Serviceをインストールすると、インストーラはemkeyを資格証明ストアにコピーして、リポジトリからemkeyを削除します(emkeyはすぐに保護されます)。

10.2または11.1から12.1へのアップグレード

管理リポジトリは通常どおりアップグレードされます。OMSのアップグレード時に、omsca (OMSコンフィギュレーション・アシスタント)はemkeyを資格証明ストアにコピーし、リポジトリから削除します。omscaは古いOMS Oracleホームにあるemkey.oraファイルからemkeyを読み込み、資格証明ストアにコピーします。

管理リポジトリの再作成

管理リポジトリを再作成すると、新しいemkeyが生成されます。この新しいキーは、資格証明ストア内の既存のemkeyと同期しません。キーを同期するには、次のステップを実行します。

  1. 新しいemkeyを資格証明ストアにコピーするには、emctl config emkey -copy_to_credstoreコマンドを使用します。
  2. バックアップを作成するには、emctl config emkey -copy_to_file_from_reposコマンドまたはemctl config emkey -copy_to_file_from_credstoreコマンドを入力します。
  3. emkeyを保護するには、emctl config emkey -remove_from_reposコマンドを使用します。