TDE対応データベースのOracle Key VaultのTDEキー

Oracle Key Vaultサーバー構成とは何ですか。

Oracle Key Vaultサーバー構成は、Oracle Key Vaultサーバーに関するメタデータ(IPアドレス、ホスト名、ユーザー名、Oracle Key Vaultサーバーに関する簡単な説明など)を表すOracle Database Applianceエンティティです。Oracle Key Vaultサーバー構成オブジェクトの作成時に、Oracle Key Vaultユーザー・パスワードを指定する必要があります。クライアント自動ログイン・ウォレットは、指定したパスワードで生成されます。

Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースをOracle Database Applianceで作成する4つの異なる方法とは何ですか。

Oracle Database Applianceでは、Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースを作成する次の2つの方法がサポートされています:

Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用したTDE対応データベースの作成: 仮想ウォレットとエンドポイントは、Oracle Database Applianceツールによって作成されるのではなく、ユーザーによってOracle Key Vaultサーバー上に作成されます。Oracle Database Applianceツールでは、データベースの作成時に、作成されたエンドポイントに対応するokvclient.jarファイルをユーザーが指定することのみが想定されています。
ユーザー資格証明を使用したTDE対応データベースの作成: この場合、仮想ウォレットおよびエンドポイントは、Oracle Database ApplianceツールによってOracle Key Vaultサーバー上に作成されます。ユーザーは、必要なOracle Key Vaultサーバーに対応するOracle Key Vaultサーバー構成を作成し、データベースの作成時に指定する必要があります。
TDE対応データベースを手動で作成およびリストアし、Oracle Key Vaultサーバー構成オブジェクトを使用してOracle Database Applianceに登録:データベースは、Oracle Key Vaultを使用してTDEキーを格納し、Oracle Key Vaultサーバー構成オブジェクトを使用して登録できるように、バックアップから手動で作成またはリストアできます。Oracle Key Vaultサーバー構成を使用してデータベースを登録するときに、Oracle Database Applianceツールが新しいランダム・パスワードに変更できるように、現在のTDEパスワードを指定する必要があります。この新しいランダム・パスワードは、Oracle Database Applianceツールによって管理され、ユーザーには知らされません。
TDE対応データベースを手動で作成およびリストアし、Oracle Key Vaultサーバー構成オブジェクトを使用せずにOracle Database Applianceに登録:データベースは、Oracle Key Vaultを使用してTDEキーを格納し、Oracle Key Vaultサーバー構成オブジェクトを使用せずに登録できるように、バックアップから手動で作成またはリストアできます。Oracle Key Vaultサーバー構成を使用せずにデータベースを登録しても、現在のTDEパスワードは変更されません。

TDEデータベースのキーストア・タイプを把握するにはどうすればよいですか。

odacli describe-database -n dbname -jコマンドの出力のkeystoreTypeパラメータ値に、TDEデータベースで使用されるキーストアのタイプが表示されます。

TDE対応データベースがTDE構成にソフトウェア・キーストアまたはOracle Key Vaultのどちらを使用しているかを識別するにはどうすればよいですか。

データベースのkeystoreType属性の値がsoftwareの場合、TDEの構成にソフトウェア・キーストアが使用されたことを意味します。それ以外の場合、同属性の値がOKVである場合、TDEの構成にOracle Key Vaultが使用されたことを意味します。

Oracle Key VaultのエンドポイントとともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Database ApplianceでOracle Key Vaultユーザー資格証明を使用しない場合は、事前に作成された仮想ウォレットおよびエンドポイントを使用するTDE対応データベースの作成オプションを使用できます。

Oracle Key Vaultのユーザーの資格証明とともにOracle Key Vaultを使用してTDE対応データベースを作成するオプションを選択する必要があるのはどのような場合ですか。

Oracle Key Vaultユーザーの資格証明を使用してOracle Database ApplianceがOracle Key Vaultと直接やり取りし、仮想ウォレットおよびエンドポイントを作成する場合は、このオプションを使用します。

どのユーザーがOracle Key Vaultサーバー構成を作成できますか。

マルチユーザー・アクセス対応システムまたはパスワードなしのマルチユーザー・アクセス対応システムでは、odaadminユーザーおよびODA-OKVCONFIGADMINロールを持つユーザーがOracle Key Vaultサーバー構成を作成できます。その後、Oracle Key Vaultサーバー構成は、必要なDBユーザー(つまり、ODA-DBロールを持つユーザー)とodaadminのみで共有できるため、DBユーザーは共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成できます。これにより、Oracle Key Vaultサーバー構成オブジェクトの作成に使用されるOracle Key Vaultサーバー資格証明がDBユーザーと共有されなくなります。ただし、マルチユーザー・アクセス対応システムの場合、Oracle Key Vaultサーバー構成は、データベースを作成するユーザーと同じユーザーによって作成されます。

Oracle Key Vaultサーバー構成を使用してデータベースを作成すると、Oracle Database Applianceツールによってランダムなパスワードが生成され、Oracle Key Vaultサーバーのウォレットに格納されます。ウォレットの名前の形式は、db_unique_name_pass_on_oda-cluster-nameです。データベースが削除されても、このウォレットは削除されません。

ソフトウェア・キーストアを使用するTDEデータベースを、Oracle Key Vaultを使用するように変換できますか。

はい。ソフトウェア・キーストアからOracle Key Vaultに移行する手動ステップを表示するには、ハードウェア・モデルのOracle Database Applianceデプロイメントおよびユーザー・ガイドを参照してください。ODACLIを使用した移行はサポートされていません。

Oracle Database Applianceが通信するために開く必要があるOracle Key Vaultサーバーのポート番号は何ですか。

Oracle Database Applianceは、ポート番号5695を使用してOracle Key Vaultサーバーと通信します。Oracle Database ApplianceがOracle Key Vaultサーバーと通信できるように、ポート番号5695がOracle Key Vaultサーバーで開いていることを確認してください。

Oracle Database Applianceで推奨されているOracle Key Vaultサーバーのバージョンは何ですか。

Oracle Database Applianceでは、Oracle Key Vaultサーバーのバージョンを21.10にすることをお薦めします。

Oracle Database ApplianceでOracle Key Vault機能をサポートするデータベース・バージョンは何ですか。

Oracle Database ApplianceのOracle Key Vault機能は、ベア・メタル・システムとDBシステムの両方で、Oracle Database 19cでサポートされています。

Oracle Database Applianceで使用できるデータベース・ライフサイクル管理操作のうち、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースでサポートされていない操作は何ですか。

データベースのクローニング、アップグレード、登録などのデータベース・ライフサイクル管理操作は、現在、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースではサポートされていません。

Oracle Key Vaultを使用してTDEキーを格納するデータベースの作成中に、TDEパスワードを指定する必要がありますか。

いいえ。TDEパスワードは必要ありません。TDEパスワードは、Oracle Database Applianceツールによってランダムに生成されます。TDEパスワードは、Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用してデータベースを作成するときに指定する必要があります。

ODA-DBロールを持つユーザーにOracle Key Vaultサーバー構成オブジェクトへのアクセス権が付与されると、Oracle Key Vaultサーバー構成オブジェクトを削除できますか。

いいえ。Oracle Key Vaultサーバー構成オブジェクトは、そのオブジェクトを作成したユーザーまたはodaadminユーザーのみが削除できます。ODA-DBロールを持つユーザーは、共有Oracle Key Vaultサーバー構成オブジェクトを使用してTDEデータベースを作成することのみ可能で、共有Oracle Key Vaultサーバー構成オブジェクトを削除することはできません。また、Oracle Key Vaultサーバー構成オブジェクトを削除する前に、作成時にOracle Key Vaultサーバー構成オブジェクトを使用したデータベースを削除する必要があります。

Oracle Database Applianceツールでは、Oracle Key Vaultを使用してTDEキーを格納するデータベースのTDEウォレットのバックアップおよびリカバリはサポートされていますか。

いいえ。Oracle Database Applianceツールでは、TDEウォレットがOracle Database Applianceシステムの外部のOracle Key Vaultサーバーに存在するため、TDEウォレットのバックアップおよびリカバリをサポートしていません。Oracle Key VaultサーバーのOKV ADMINは、TDEウォレットのバックアップおよびリカバリを管理する必要があります。Oracle Key Vaultサーバーを選択すると、クライアント外部のOracle Key VaultサーバーでTDEウォレットを管理することを選択できます。

Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しますか。

いいえ。Oracle Database Applianceツールは、指定されたOracle Key Vault資格証明が、Oracle Key Vaultサーバーで最小権限Create Endpointを持つユーザーに属しているかどうかを識別しません。必ず最小権限が付与されたユーザーの資格証明を使用してください。この最小権限Create Endpointをお薦めするのは、指定された資格証明がOracle Key Vaultサーバーへのデータベースのオンボードにのみ使用でき、Oracle Key Vaultサーバーに対して他の操作が実行されないようにするためです。

Oracle Key Vaultキーストアを使用してTDEデータベースをリストアする前に、TDEウォレットのコピーを作成する必要があるのはなぜですか。

Oracle Database Applianceツールでは、ウォレットがアプライアンスの外部に存在するため、Oracle Key Vaultサーバーにウォレットが格納されている場合、TDEウォレットのバックアップ、リカバリおよびリストアをサポートしません。ただし、Oracle Data Guard構成でデータベースをスタンバイとしてリストアする場合は、プライマリ・データベースのウォレットを指定する必要があります。

Oracle Key Vaultを使用してTDE構成でデータベースを作成するには、Oracle Database ApplianceでNTP構成が必要ですか。

Oracle Database ApplianceとOracle Key Vaultサーバーのクロックが同期していない場合、データベースの作成またはリストア操作が失敗する可能性があるため、Oracle Database ApplianceでNTPを設定することをお薦めします。したがって、時間がサーバー全体で一致していることを確認するか、Oracle Database ApplianceでNTPを使用する必要があります。NTPサーバーを使用する場合は、アプライアンスからサーバーにアクセスでき、/etc/chrony.confファイルのchrony設定がOracle Database ApplianceとOracle Key Vaultサーバーで同じであることを確認します。

TDEウォレットのキーの更新が「ORA-28353: failed to open wallet」エラーで失敗するのはなぜですか。

エラー・コードORA-28353は、TDEパスワードが正しくないことが原因である可能性があります。問題を解決するには、正しいTDEパスワードを使用して操作を再試行してください。このエラーの詳細は、Oracle Databaseエラー・メッセージ・ガイド(https://docs.oracle.com/en/database/oracle/oracle-database/19/errmg/ORA-24280.html)を参照してください。

Oracle Key Vaultをキーストアとして使用するTDE構成を使用したデータベースの作成がエラーで失敗する理由は何ですか。

次のエラーが発生する場合があります:

Internal error encountered: PL/SQL procedure successfully completed.begin
*
ERROR at line 1:
ORA-00600: internal error code, arguments: [kcbtse_populate_tbskey_1], [The
request operation was denied.], [], [], [], [], [], [], [], [], [], []
ORA-06512: at line 2.

TDEマスター暗号化キーの設定時に、データベースの作成が前述のエラーで失敗することがあります。このエラーは、アプライアンスのクロックがOracle Key Vaultサーバーのクロックと同期していない場合に発生し、Oracle Database ApplianceとOracle Key Vaultサーバーの時間の間にラグが発生します。ラグにより、データベースに対してTDEマスター暗号化キーを設定するコマンドが実行される時刻がOracle Key Vaultサーバーの時刻と一致しないため、操作が失敗します。クロックを同期するには、Oracle Database ApplianceでNTPを設定します。NTPの設定時に、NTPサーバーがOracle Database Applianceからアクセス可能であること、およびOracle Database ApplianceとOracle Key Vaultサーバーでchrony設定が同じであることを確認します。

次のコマンドを実行して、NTPを手動で設定します:

systemctl stop chronyd

cat /etc/chrony.conf
server Enter NTP server IP address iburst  
driftfile /var/lib/chrony/drift
makestep 1.0 -1
rtcsync
logdir /var/log/chrony

systemctl start chronyd

systemctl enable chronyd

Oracle Key Vaultをキーストアとして使用するTDE構成を使用したデータベースの作成がエラーで失敗する理由は何ですか。

次のエラーが発生する場合があります:

{ "result" : "Failure", "message" : "Error occurred during install of Oracle Key Vault endpoint software. Check log files for more information. Please cleanup all of the files and directories created by the failed installation attempt before re-install" }.

TDEマスター暗号化キーの設定時に、データベースの作成が前述のエラーで失敗することがあります。このエラーは、アプライアンスのクロックがOracle Key Vaultサーバーのクロックと同期していない場合に発生し、Oracle Database ApplianceとOracle Key Vaultサーバーの時間の間にラグが発生します。ラグにより、エンドポイント・ソフトウェアをインストールするコマンドがOracle Database Applianceで実行され、操作が失敗した場合、Oracle Key Vaultエンドポイントに対して生成された証明書は有効ではありません。クロックを同期するには、Oracle Database ApplianceでNTPを設定します。

次のコマンドを実行して、NTPを手動で設定します:

systemctl stop chronyd

cat /etc/chrony.conf
server Enter NTP server IP address iburst  
driftfile /var/lib/chrony/drift
makestep 1.0 -1
rtcsync
logdir /var/log/chrony

systemctl start chronyd

systemctl enable chronyd

データベースがOracle Key Vaultのエンドポイントを使用して作成された場合、およびデータベースがユーザー資格証明を使用して作成された場合、TDEパスワードはどのように処理されますか。

Oracle Key Vaultのエンドポイントを使用してデータベースを作成する場合、Oracle Database ApplianceではTDEパスワードを指定する必要があります。このパスワードはOracle Database Applianceでは認識されず、TDEパスワードのキー更新や変更などの操作の実行中に同じパスワードを指定する必要があります。データベースがユーザー資格証明を使用して作成されると、TDEパスワードはOracle Database Applianceツールによってランダムに生成され、ユーザーには知らされません。このパスワードは、Oracle Key Vaultサーバーのウォレットに格納されます。TDEパスワードのキー更新や変更などの操作の実行中に、TDEパスワードを指定する必要はありません。

Oracle Key Vaultサーバー構成を使用して、Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースを登録すると、「ORA-28353: failed to open wallet」エラーで失敗します。

このエラーは、誤ったTDEパスワードが指定されている場合に発生することがあります。データベースの登録時に正しいTDEパスワードを指定して、操作を再試行してください。

Oracle Key Vaultを使用してTDEキーを格納するTDE対応データベースが、最初にOracle Key Vaultサーバー構成を使用して登録されました。その後、同じOracle Key Vaultサーバー構成および同じTDEパスワードを使用して同じデータベースを再登録すると、「DCS-12737:Failure to change the TDE password for the database wallet '/etc/OKV/db_unique_name/okv/ssl'」エラーで失敗します。

Oracle Key Vaultサーバー構成を使用してOracle Key Vault TDEデータベースを登録すると、Oracle Database Applianceツールによって、その現在のTDEパスワードが新しいランダム・パスワードに変更されます。この新しいランダム・パスワードは、Oracle Key Vaultサーバー構成を使用してデータベースを再登録するときに指定する必要があります。Oracle Database Applianceツールによって生成されたランダム・パスワードは、Oracle Key Vaultサーバー上に作成されたウォレットに格納されます。格納されているランダム・パスワードを取得するステップを次に示します。パスワードの取得後、取得したパスワードを使用してOracle Key Vaultサーバー構成を使用した再登録操作を再試行できます。マルチユーザー・アクセス対応でない環境の場合は、oracleユーザーに切り替えます。マルチユーザー・アクセスが有効で、パスワードなしのマルチユーザー環境の場合は、Oracle Key Vaultユーザーに切り替えます。

名前がdb_name_pass_on_cluster_nameの形式になるパスワード・ストア・エンドポイントを再登録します。このエンドポイントでは、ランダム・パスワードが格納されているパスワード・ストア・ウォレットがデフォルト・ウォレットとして使用されます。

 /etc/OKV/okv_server_config_name/bin/okv admin endpoint re-enroll --endpoint db_name_pass_on_cluster_name

エンドポイントdb_name_pass_on_cluster_nameに対応するokvclient.jarファイルを、/tmpなどの一時的な場所にダウンロードします。

/etc/OKV/<okv_server_config_name>/bin/okv admin endpoint download --endpoint db_name_pass_on_cluster_name --location /tmp

okvclient.jarファイルがダウンロードされる一時的な場所に移動し、エンドポイントをインストールします。パスワードの入力を求めるプロンプトが表示されたら、[Enter]を押します。

cd /tmp/db_name_pass_on_cluster_name
     
    /opt/oracle/dcs/java/1.8.0_xxx/bin/java -jar okvclient.jar
    Detected JAVA_HOME: /opt/oracle/dcs/java/1.8.0_xxx
    Enter new Key Vault endpoint password (enter for auto-login):
    The endpoint software for Oracle Key Vault installed successfully.
    Deleted the file : /tmp/db_name_pass_on_cluster_name/okvclient.jar

該当する値を置き換えて次のコマンドを実行し、格納されているTDEパスワードに対応するUUIDを取得します。

/etc/OKV/okv_server_config_name/bin/okv managed-object object locate --okv_client_config /tmp/db_name_pass_on_cluster_name/conf/okvclient.ora --output_format "TEXT" --state "ACTIVE" --custom-attribute '[{"name": "x-REFRESH_STATE", "value": "0"}, {"name": "x-key", "value": "db_resource_id-db_unique_name"}]'

UUIDに対応するTDEパスワードを取得します。

/etc/OKV/okv_server_config_name/bin/okv managed-object secret get --output_format "TEXT" --okv_client_config /tmp/db_na

データベースのエンドポイントはいつ更新する必要がありますか。

対応するTDEウォレットが存在するOracle Key Vaultサーバーが新しいバージョンに更新されるたび、およびOracle Key Vaultサーバー上の証明書が更新されるたびに、データベースのエンドポイントを更新する必要があります。

システムで作成されたOracle Key Vault TDEデータベースのリストから選択したデータベースのエンドポイントを更新できますか。

はい。エンドポイントを更新する必要があるデータベースのみをOracle Key VaultクライアントJSONファイルに記述でき、このファイルがエンドポイントの更新要求の入力として使用されます。

一部のデータベースでエンドポイントの更新タスクが失敗した場合でも、エンドポイントの更新ジョブの全体的なステータスに「Success」と表示されるのはなぜですか。

ジョブ実行の間に一部のデータベースが失敗した場合でも、指定されたすべてのデータベースに対してエンドポイントの更新ジョブが実行されるように、ジョブの全体的なステータスは「Success」とマークされます。

一部のデータベースのエンドポイントの更新ジョブが成功し、一部が失敗しました。失敗したデータベースのエンドポイントを更新するにはどうすればよいですか。

入力Oracle Key VaultクライアントJSONファイルで正常なデータベースに対応するエントリを削除し、失敗したデータベースに対応するエントリのみを保持してから、操作を再試行してください。再試行する前に、エンドポイントが再登録され、再登録されたエンドポイントに対応する新しいOracle Key Vaultclient.jarがOracle Key VaultクライアントJSONファイルで指定されていることを確認します。

Oracle Key Vault PKCSライブラリおよびOracle Key Vault RESTクライアント・ライブラリとは何ですか。

/opt/oracle/extapi/64/hsm/oracle/1.0.0/の場所にあるOracle Key Vault PKCSライブラリ(liborapkcs.so)は、Oracle Key Vaultサーバーと通信します。/etc/Oracle Key Vault/<Oracle Key Vault_server_config_name>/libの場所にあるOracle Key Vault RESTクライアント・ライブラリ(Oracle Key Vaultrestcli.jar)は、Oracle Key VaultサーバーへのREST APIコールを行うために使用されます。

Oracle Key Vault PKCSライブラリおよびOracle Key Vault RESTクライアント・ライブラリはいつ更新する必要がありますか。

Oracle Key Vault PKCSライブラリおよびOracle Key Vault RESTクライアント・ライブラリは、対応するOracle Key Vaultサーバーが新しいバージョンに更新されている場合にのみ更新する必要があります。

システムにOracle Key Vaultサーバー構成オブジェクトが作成されていません。Oracle Key Vault RESTクライアント・ライブラリを更新する必要がありますか。

システムにOracle Key Vaultサーバー構成オブジェクトが作成されていない場合、Oracle Key Vaultエンドポイントの更新ジョブは、Oracle Key Vault RESTクライアント・ライブラリの更新タスクをスキップします。

Oracle Key Vault PKCSライブラリの更新時にデータベースの再起動が必要なのはなぜですか。

Oracle Key Vault PKCSライブラリは、システムに存在するすべてのOracle Key Vault TDEデータベースによって共有されるため、Oracle Key Vault PKCSライブラリを更新した後にデータベースを再起動する必要があります。

Oracle Key Vault PKCSライブラリを更新する前に、システムで使用可能なすべてのエンドポイントを更新する必要がありますか。

はい。Oracle Key Vault PKCSライブラリを更新する前に、システムで使用可能なすべてのエンドポイントを更新する必要があります。

Oracle Key Vaultサーバー構成を使用してデータベースを登録するのはどのような場合ですか。

TDEパスワードをユーザーが処理するのではなく、Oracle Database Applianceツール自体で処理する必要がある場合は、Oracle Key Vaultサーバー構成を使用してデータベースを登録できます。現在のTDEパスワードは、Oracle Database Applianceツールによって内部的に新しいランダム・パスワードに変更されます。

Oracle Key Vaultサーバー構成を使用せずにデータベースを登録するのはどのような場合ですか。

TDEパスワードをOracle Database Applianceツールで処理する必要がなく、ユーザー自身がTDEパスワードを処理する場合は、Oracle Key Vaultサーバー構成を使用せずにデータベースを登録できます。登録操作時にTDEパスワードは変更されません。

Oracle Key Vaultサーバー構成を使用してOracle Key Vault TDEデータベースがすでに登録されています。Oracle Key Vaultサーバー構成を使用して、または使用せずにデータベースを再登録できますか。

データベースがOracle Key Vaultサーバー構成を使用して登録されると、そのTDEパスワードが新しいランダム・パスワードに変更されます。このパスワードは、Oracle Database Applianceツールによって維持され、ユーザーには知らされません。現在のTDEパスワードはわからないため、Oracle Key Vaultサーバー構成を使用して、または使用せずに、そのようなデータベースを再登録することはできません。

Oracle Key Vault TDEデータベースがOracle Key Vaultサーバー構成なしですでに登録されています。Oracle Key Vaultサーバー構成を使用して、または使用せずにデータベースを再登録できますか。

はい。Oracle Key Vaultサーバー構成なしで登録されたOracle Key Vault TDEデータベースは、Oracle Key Vaultサーバー構成を使用して、または使用せずに再登録できます。ただし、Oracle Key Vaultサーバー構成を使用して登録すると、現在のTDEパスワードが新しいランダム・パスワードに変更されます。このパスワードは、Oracle Database Applianceツールによって維持され、ユーザーには知らされません。

Oracle Database Appliance高可用性システムに登録されている単一インスタンスのOracle Key Vault TDEデータベースに対して高可用性は有効になりますか。

いいえ。デフォルトでは、Oracle Database Appliance高可用性システムに登録されている単一インスタンスのOracle Key Vault TDEデータベースに対して高可用性は有効になりません。

データベースが以前にOracle Key Vaultサーバー構成オブジェクトを使用して、または使用せずに登録されたかどうかを識別するにはどうすればよいですか。

Oracle Key VaultServerConfigNameデータベース属性が、データベース登録操作時に使用されたOracle Key Vaultサーバー構成オブジェクトの名前に設定されている場合、データベースはOracle Key Vaultサーバー構成オブジェクトを使用して登録されたものです。Oracle Key VaultServerConfigNameデータベース属性がNONEに設定されている場合、データベースはOracle Key Vaultサーバー構成オブジェクトなしで登録されたものです。

Oracle Key Vault TDEデータベースを登録する前に、エンドポイント・ソフトウェア・ファイルを既存の場所から必要な/etc/Oracle Key Vault/<db_unique_name>/Oracle Key Vaultの場所にコピーできますか。

いいえ。登録する前に、エンドポイント・ソフトウェア・ファイルを/etc/Oracle Key Vault/<db_unique_name>/Oracle Key Vaultの場所に再度インストールし、コピーはしないでください。

Oracle Key Vaultサーバー構成オブジェクトを使用してOracle Key Vault TDEデータベースを登録すると、Oracle Database Applianceツールによって、外部ストア自動ログイン・ウォレット(cwallet.sso)が/etc/Oracle Key Vault/db_unqiue_name/tde_sepsの場所に作成されます。なぜ作成されたのですか。削除できますか。

外部ストア自動ログイン・ウォレットは、Oracle Key Vaultサーバー構成オブジェクトを使用してOracle Key Vault TDEデータベースを登録する際に作成されます。これは、Oracle Key Vaultサーバー・オブジェクトを使用したOracle Key Vault TDEデータベースの作成に似ています。これが作成されるのは、Oracle Database ApplianceツールがAdminister Key Managementコマンドの実行で、tde_passwordによって識別される実際のTDEパスワードではなく、identified by EXTERNAL STORE句を使用するためです。この外部ストア自動ログイン・ウォレットを削除すると、Oracle Database Applianceツールによるキー更新などのTDE操作が失敗する可能性があるため、削除しないでください。