10.5.2 セキュリティ証明書の指定

Oracle Exadata管理者は、必要に応じて新しいセキュリティ証明書を指定できます。

各証明書はキーのペア(公開キーおよび一致する秘密キー)で構成されています。ユーザー生成の自己署名証明書またはCA認証のセキュリティ証明書のいずれかを指定できます。

有効なCA認証のセキュリティ証明書は、ExaCLIによって、プロンプトなしで、証明書の受入れを要求することなく受け入れられます。

特定のセキュリティ証明書を使用するには:

1. ストレージ・サーバーまたはコンピュート・ノードのセキュリティ属性を変更します。

   セキュリティ証明書をアップロードするには、ストレージ・サーバー(cell)またはコンピュート・ノード(dbserver)でsecurityPubKey属性とsecurityPrivKey属性を変更します。

   • securityPubKeyにより、証明書の公開キー・ファイルのURLを指定します。

   • securityPrivKeyにより、証明書の秘密キー・ファイルのURLを指定します。

   それらのキーは、PEMでエンコードされたファイルとして提供する必要があります。各URLでは、http、httpsまたはfileアクセス・スキームを使用できます。

   秘密キーが暗号化されている場合は、securityPrivKeyPW属性を使用してパスワードを指定できます。

   次の例では、セキュリティ証明書をアップロードするコマンドを示します:

   • http URLを使用してキー・ファイルにアクセスするストレージ・サーバー(cell)の例。この例では、パスワード・プロンプトによってcellhost上のcelladministratorユーザーのパスワードが要求されます。

     $ exacli -l celladministrator -c cellhost  -
              -e 'alter cell securityPubKey="http://www.example.com/security/newkey1.pem.crt", -
                  securityPrivKey="http://www.example.com/security/newkey1-private.pem", -
                  securityPrivKeyPW="welcome1"'
     
     Password: *********
     ...

   • ローカルのfile URLを使用してキー・ファイルにアクセスするコンピュート・ノード(dbserver)の例。この例では、パスワード・プロンプトによってdbhost上のdbadministratorユーザーのパスワードが要求されます。

     $ exacli -l dbadministrator -c dbhost  -
              -e 'alter dbserver securityPubKey="file:///root/security/newkey2.pem.crt", -
                  securityPrivKey="file:///root/security/newkey2-private.pem", -
                  securityPrivKeyPW="welcome2"'
     
     Password: *********
     ...

2. ストレージ・サーバーまたはコンピュート・ノードで管理サーバー(MS)を再起動します。

   セキュリティ証明書をクラスタ内の各サーバーに個別にアップロードしたら、新しいセキュリティ証明書が表示されるようにするためにMSを再起動する必要があります。

   次に例を示します:

   • ストレージ・サーバー(cell)でMSを再起動します。

     CellCLI> alter cell restart services ms
     
     Restarting MS services... 
     The RESTART of MS services was successful.

   • コンピュート・ノード(dbserver)でMSを再起動します。

     DBMCLI> alter dbserver restart services ms
     
     Restarting MS services... 
     The RESTART of MS services was successful.