9 Oracle Key Vaultエンドポイントのアップグレード

この章では、エンドポイントのアップグレードを計画し、様々なシナリオでエンドポイントをアップグレードする方法について説明します。

9.1 Oracle Key Vaultエンドポイントのアップグレードについて

このトピックでは、Oracle Key Vaultエンドポイントのアップグレード・プロセスについて説明します。

Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。

Oracle Key Vaultクライアント・ソフトウェアには下位互換性があります。古いバージョンのOracle Key Vaultクライアント・ソフトウェアは、アップグレードされたOracle Key Vaultサーバーで完全に機能しますが、Oracle Key Vaultの一部の新機能は現在のクライアント・ソフトウェアでのみ使用可能です。たとえば、抽出不可能なTDEマスター・キーを使用するには、その機能をサポートするリリースにエンドポイント・ソフトウェアをアップグレードする必要があります。

親トピック: Oracle Key Vaultエンドポイントのアップグレード

9.2 エンドポイントのアップグレードの計画

エンドポイントのアップグレードの計画により、停止時間が最小限に抑えられ、スムーズなアップグレード・プロセスが促進されます。

注意深い計画により、停止時間が最小限に抑えられ、Oracle Key Vaultエンドポイントのスムーズなアップグレード・プロセスが促進されます。計画で主に検討する事項は次のとおりです:
  • アップグレード・アプローチの選択: マイナー・バージョンのアップグレードでは、通常、エンドポイント・ソフトウェアの更新で十分です。メジャー・バージョンのアップグレードでは、再エンロールが必要になる場合があります。
  • スケジュールおよび調整: 特にTDE対応データベースで使用されるライブラリを更新するためにデータベースの停止時間が必要な場合に、ビジネスへの影響を最小限に抑えるために、ピーク以外の時間帯にアップグレード・アクティビティを計画します。
  • 停止時間がほぼゼロのオプションの活用: Oracle AI Database 26ai以降では、停止時間をさらに短縮または排除するために、停止時間がほぼゼロのアップグレード・スキームを使用します。

親トピック: Oracle Key Vaultエンドポイントのアップグレード

9.3 エンドポイントのアップグレードに関する考慮事項

次のトピックでは、エンドポイント・ソフトウェアをアップグレードするか、エンドポイントを再エンロールして、エンドポイントをアップグレードする方法について説明します。また、Oracle AI Database 26ai以降で使用するエンドポイント・ソフトウェアをインストールするために設定する必要があるオプションに関する情報も含まれています。

親トピック: Oracle Key Vaultエンドポイントのアップグレード

9.3.1 エンドポイント・ソフトウェアのアップグレードまたはエンドポイントの再エンロール

エンドポイント・ソフトウェアをアップグレードするか、エンドポイントを再エンロールすることで、エンドポイントをアップグレードできます。

エンドポイント・ソフトウェアをアップグレードしても、既存のエンドポイント証明書やエンドポイント構成ファイルokvclient.oraには影響しません。エンドポイントを再エンロールすると、既存のエンドポイント証明書が無効になり、新しいエンドポイント証明書およびokvclient.oraがインストールされます。マイナー・バージョン(たとえば、21.xから21.yへ)のアップグレードについてはエンドポイント・ソフトウェアをアップグレードし、メジャー・バージョン間(たとえば、18.xから21.yへ)のアップグレードの際にはエンドポイントの再エンロールを検討することをお薦めします。

TDE対応データベースのエンドポイントを再エンロールする前に、データベースを停止する必要があります。

TDE対応データベース・エンドポイントのソフトウェアを更新する場合、データベースの停止時間を排除または最小化できます。

親トピック: エンドポイントのアップグレードに関する考慮事項

9.3.2 Oracle AI Database 26ai以降のエンドポイント・ソフトウェア

Oracle Key Vaultには、Oracle AI Database 26ai以降で使用する新しいエンドポイント・ソフトウェアが付属しています。

Oracle AI Database 26ai以降の新しいエンドポイント・ソフトウェアは、OpenSSLライブラリを使用してFIPSモードで実行されているデータベースと、改善されたバージョンのローカル自動ログイン・ウォレットをサポートするために必要となります。Oracle AI Database 26ai以降の新しいエンドポイント・ソフトウェアには、追加のライブラリが含まれており、Linux-x64プラットフォームでのみサポートされています。

Oracle AI Database 26ai以降で使用するエンドポイント・ソフトウェアをインストールするには、インストール時に次のオプションを指定します:

  • okvclient.jarファイルを使用してインストールする場合は、-arch db23aiオプションを使用します。
  • okv admin endpoint provisionコマンドを使用してインストールする場合は、--arch db23aiオプションを使用します。

親トピック: エンドポイントのアップグレードに関する考慮事項

9.4 TDE対応データベースのエンドポイント・アップグレードの理解

このトピックでは、TDE対応エンドポイントのアップグレード・プロセスについて説明します。

TDE対応データベースのエンドポイントをアップグレードする場合は、次の手順を実行します:

  • エンドポイント・ソフトウェアを更新するか、エンドポイントを再エンロールします。
  • root.shまたはroot.batスクリプトを実行して、PKCS#11ライブラリをインストールします。

Oracle Databaseでは、$OKV_HOME/libディレクトリのPKCS#11ライブラリは使用されません。PKCS#11ライブラリは、標準の場所、またはOracle Key Vaultのリリース固有の場所(Oracle AI Database 26ai以降の場合)にインストールできます。

親トピック: Oracle Key Vaultエンドポイントのアップグレード

9.4.1 標準の場所にあるPKCS#11ライブラリの使用

このトピックでは、標準の場所にあるPKCS#11ライブラリを使用する方法について説明します。

デフォルトでは、Oracle Databaseは標準の場所にあるPKCS#11ライブラリを使用します:
/opt/oracle/extapi/64/hsm/oracle/1.0.0/liborapkcs.so

標準の場所にあるPKCS#11ライブラリを更新するには、引数なしでroot.sh (またはroot.bat)スクリプトを実行します。

このスクリプトでは、Oracle AI Database 26aiのエンドポイント・ソフトウェアに含まれる追加のライブラリも、Oracle Key Vaultのバージョン固有の場所にコピーします。
/opt/oracle/extapi/64/pkcs11/okv/<okv_version>/lib
標準の場所にあるPKCS#11ライブラリを使用するデータベースには、次の制限が適用されます:
  • 同じホスト上のそのようなすべてのデータベースでは、同じバージョンのエンドポイント・ソフトウェアを使用する必要があります。
  • PKCS#11ライブラリを標準の場所にインストールする前に、ホスト上のそのようなすべてのデータベースを停止する必要があります。
  • root.shまたはroot.batスクリプトを実行する前に、ホスト上のそのようなすべてのデータベースのエンドポイント・ソフトウェアをアップグレードします。エンドポイントは1つずつアップグレードできますが、すべてのエンドポイントがアップグレードされるまで、root.shまたはroot.batスクリプトを実行しないでください。エンドポイント・ソフトウェアのアップグレード中に、データベースを停止する必要はありません。停止は、root.shまたはroot.batスクリプトを実行する前にのみ必要となります。このスクリプトは、ホストごとに1回のみ実行する必要があります。
  • この方法は、データベース・パラメータPKCS11_LIBRARY_LOCATIONをサポートしていないデータベースの場合に使用します。

親トピック: TDE対応データベースのエンドポイント・アップグレードの理解

9.4.2 Oracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリの使用

このトピックでは、Oracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリを使用する手順について説明します。

Oracle AI Database 26ai以降の場合、liborapkcs.soライブラリをOracle Key Vaultのリリース固有の場所にインストールすることをお薦めします。

推奨の場所にライブラリをインストールするには、--okv_pkcs11_library_locationオプションを指定してroot.shスクリプトを実行します:
root.sh --okv_pkcs11_library_location
これにより、liborapkcs.soライブラリおよびその他のライブラリがOracle Key Vaultのリリース固有の場所にインストールされます:
/opt/oracle/extapi/64/pkcs11/okv/<okv-version>/lib
たとえば、リリース21.12のOracle Key Vaultのリリース固有の場所は次のとおりです:
/opt/oracle/extapi/64/pkcs11/okv/21.12.0.0.0/lib

Oracle Key Vaultリリース固有のパスにあるPKCS#11ライブラリを使用するには、PKCS11_LIBRARY_LOCATIONデータベース・パラメータを新しいライブラリの場所に設定します。このステップを実行すると、データベースの再起動が必要なのは、標準の場所からOracle Key Vaultのリリース固有のパスに初めて切り替えるときの1回のみになります。

後続のエンドポイント・アップグレードでは、リリース固有のパスにある新しいPKCS#11ライブラリに切り替えるときに、データベースを停止する必要はありません。ADMINISTER KEY MANAGEMENT SWITCHOVERコマンドを実行して、更新されたライブラリの使用を開始します。

次の利点は、Oracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリを使用する場合に適用されます:
  • エンドポイントの停止時間がほぼゼロのアップグレードを実装できます。
  • 同じホスト上の複数のエンドポイントをアップグレードする場合、他のエンドポイントに影響を与えずに、各エンドポイントを個別にアップグレードできます。各リリースで、リリース固有のパスにPKCS#11ライブラリをインストールするのは1回だけです。
  • 同じホスト上のTDE対応データベースでは、異なるバージョンのOracle Key Vaultエンドポイント・ソフトウェアを使用できます。

親トピック: TDE対応データベースのエンドポイント・アップグレードの理解

9.5 停止時間がほぼゼロのエンドポイント・アップグレード

Oracle AI Database 26ai以降で使用されるエンドポイントの場合は、データベースの停止時間がほぼゼロでアップグレードできます。

エンドポイント・アップグレードは、初期設定時にデータベースを1回停止する必要があるだけであるため、停止時間がほぼゼロと呼ばれます。後続のエンドポイント・アップグレードでは、データベースを停止する必要はなく、事実上、停止時間なしでエンドポイントをアップグレードできます。

停止時間がほぼゼロのエンドポイント・アップグレードを実装するには、次の操作を行う必要があります:
  1. Oracle Key Vaultリリース固有のディレクトリにPKCS#11ライブラリをインストールします。
  2. リリース固有の場所にあるPKCS#11ライブラリを使用するようにデータベースを構成します。

親トピック: Oracle Key Vaultエンドポイントのアップグレード

9.5.1 Oracle Key Vaultのリリース固有の場所へのPKCS#11ライブラリのインストール

このトピックでは、liborapkcs.soライブラリをインストールして、停止時間がほぼゼロのエンドポイント・アップグレードを実装する方法について説明します。

停止時間がほぼゼロのエンドポイント・アップグレードを利用するには、liborapkcs.soライブラリをOracle Key Vaultのリリース固有の場所にインストールします。

これを行うには、次を実行します:
root.sh --okv_pkcs11_library_location
これにより、OKVリリース固有の場所にliborapkcs.soライブラリおよびその他のライブラリがインストールされます:
/opt/oracle/extapi/64/pkcs11/okv/<okv-version>/lib

Oracle Key Vaultのリリース固有の場所に最新のliborapkcs.soライブラリをインストールしても、以前のOracle Key Vaultバージョンのliborapkcs.soライブラリは上書きされません。ライブラリの以前のバージョンを現在使用しているデータベースは、エンドポイント・ソフトウェアのアップグレードの影響を受けません。

親トピック: 停止時間がほぼゼロのエンドポイント・アップグレード

9.5.2 カスタムの場所にあるPKCS#11ライブラリを使用するためのデータベースの構成

このトピックでは、Oracle AI Database 26ai以降で停止時間がほぼゼロのエンドポイント・アップグレードを有効にする方法について説明します。

Oracle AI Database 26ai以降で停止時間がほぼゼロのエンドポイント・アップグレードを有効にするには、PKCS11_LIBRARY_LOCATIONデータベース・パラメータを設定して、指定した場所にあるPKCS#11ライブラリを使用するようにデータベースを構成する必要があります。
  1. ALTER SYSTEM権限を持つユーザーとして、CDBルートにログインします。
  2. 静的初期化パラメータPKCS11_LIBRARY_LOCATIONを、Oracle Key Vaultリリース固有のライブラリの場所にあるliborapkcs.soライブラリを指すように設定します。たとえば:
    ALTER SYSTEM SET
PKCS11_LIBRARY_LOCATION=’/opt/oracle/extapi/64/pkcs11/okv/21.12.0.0.0/lib/liborapkcs.so’ SCOPE=SPFILE SID=’*’;
  3. データベースを再起動してパラメータを有効にします。

    再起動後、データベースは指定したOracle Key Vaultリリース固有のパスにあるPKCS#11ライブラリの使用を開始します。

    データベースは、停止することなく新しいPKCS#11ライブラリに切り替わるように設定されました。

親トピック: 停止時間がほぼゼロのエンドポイント・アップグレード

9.5.3 後続のエンドポイント・アップグレードのためのライブラリの切替え

このトピックでは、データベースの停止時間なしで後続のエンドポイント・アップグレードを完了する方法について説明します。

PKCS11_LIBRARY_LOCATIONパラメータを使用して、指定した場所にあるPKCS#11ライブラリを使用するようにデータベースがすでに構成されている場合、データベースの停止時間なしで後続のエンドポイント・アップグレードを完了できます。
  1. 新しいエンドポイント・ソフトウェアをインストールします。
  2. アップグレードされたエンドポイントのroot.shファイルを使用して、新しいPKCS#11ライブラリをOracle Key Vaultのリリース固有の場所にインストールします:
    root.sh -–okv_pkcs11_library_location

    新しいPKCS#11ライブラリは、Oracle Key Vaultのバージョンごとに1回のみインストールします。

  3. データベースで変更を開始して、新しいライブラリに切り替えます:
    ADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARY 
‘/opt/oracle/extapi/64/pkcs11/okv/<new-okv-version>/lib/liborapkcs.so’ 
FOR ALL CONTAINERS;
SQLコマンドADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARYは、システムの停止時間を発生させずに、現在のPKCS#11ライブラリから新しいPKCS#11ライブラリに切り替えるようにデータベースに指示します。このコマンドを実行すると、データベースのフォアグラウンド・プロセスとバックグラウンド・プロセスが新しいライブラリに段階的に切り替わります。

データベース・ビューV$PKCS11_PATHを使用すると、各データベース・プロセスで使用されているPKCS#11ライブラリを監視できます。

親トピック: 停止時間がほぼゼロのエンドポイント・アップグレード

9.6 エンドポイントのアップグレード

エンドポイント・ソフトウェアを更新するか、エンドポイントを再エンロールすることで、エンドポイントをアップグレードできます。

次の手順は、エンドポイントをアップグレードする方法を示しています。
  1. 標準の場所にあるPKCS#11ライブラリを使用するTDE対応データベースの場合同じホスト上のすべてのエンドポイントを一緒にアップグレードする必要があります

    これらのエンドポイントのアップグレードに進む前に、ステップ6の手順を確認します。

    エンドポイント・ソフトウェアを更新するか、エンドポイントを再エンロールすることで、エンドポイントをアップグレードできます。エンドポイント・ソフトウェアを更新するには、ステップ2から4を実行します。

    または、ステップ5を実行してエンドポイントを再エンロールします。

  2. エンドポイント・ソフトウェア(okvclient.jar)をダウンロードし、次のように既存のエンドポイントのディレクトリ・パスにインストールします:
    1. Oracle Key Vault管理コンソールのログイン画面に移動します。
    2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
    3. 「Download Endpoint Software Only」セクションで、ドロップダウン・リストから適切なプラットフォームを選択します。
    4. 「Download」ボタンをクリックして、okvclient.jarファイルをダウンロードします。
  3. アップグレードしようとしている既存のエンドポイントのインストール場所へのパスを指定します。たとえば、/etc/ORACLE/KEYSTORES/okvです(ここで、/etc/ORACLE/KEYSTORESはデータベースのWALLET_ROOT、または$ORACLE_BASE/okv/$ORACLE_SIDのソフトリンクが指す場所です)。
  4. Oracle Database 21c以前で使用されるエンドポイントまたはその他のTDE以外のエンドポイントの場合は、次のコマンドを実行してエンドポイント・ソフトウェアをインストールします:
    java -jar okvclient.jar -d existing_endpoint_directory_path
    たとえば:
    java -jar okvclient.jar -d /etc/ORACLE/KEYSTORES/okv
    Oracle AI Database 26ai以降で使用されるエンドポイントの場合、インストール中に-arch db23aiオプションを含めます:
    java -jar okvclient.jar -d existing_endpoint_directory_path -arch db23ai
    たとえば:
    java -jar okvclient.jar -d /etc/ORACLE/KEYSTORES/okv -arch db23ai
    Oracle AI Database 26aiの新しいエンドポイント・ソフトウェアには、追加のライブラリが含まれており、Linux-x64プラットフォームでのみサポートされています。
  5. 次のステップを実行して、エンドポイント・ソフトウェアを再エンロールします。これにより、新しいエンドポイント証明書も生成されます。エンドポイントを再エンロールする最も簡単な方法は、RESTfulサービス・ユーティリティの次のコマンドを使用する方法です:
    1. 次のRESTfulサービス・ユーティリティ・コマンドを使用して、エンドポイントを再エンロールします: 
      okv admin endpoint re-enroll
    2. OKV_HOMEディレクトリをバックアップし、OKV_HOMEの下のファイルを削除します: 
      cp -R ${OKV_HOME}_bkp_`date +%Y%m%d`
    3. $OKV_HOMEディレクトリに移動し、すべてのファイルを削除します。
    4. Oracle Database 21c以前またはTDE以外のエンドポイントで使用されるエンドポイントの場合:
      次のRESTfulサービス・ユーティリティ・コマンドを使用して、エンドポイント・ソフトウェアをダウンロードしてインストールします:
      okv admin endpoint provision

      Oracle AI Database 26ai以降で使用されるエンドポイントの場合:

      --arch db23aiオプションを指定して次のRESTfulサービス・ユーティリティ・コマンドを使用し、エンドポイント・ソフトウェアをダウンロードしてインストールします: 
      okv admin endpoint provision --arch db23ai

    エンドポイントを再エンロールすると、新しいokvclient.jarファイルが生成され、そのファイルがOKV_HOMEディレクトリにインストールされますが、エンドポイントとそのデフォルト・ウォレットとの関係は維持されます。

    ノート:

    RESTfulサービス・ユーティリティを使用せずにエンドポイントを再エンロールするには、エンドポイントを再エンロールする方法で説明されている手順に従います。
  6. 更新されたPKCS#11ライブラリ・ファイルをインストールします。

    このステップは、Oracle Key VaultによるオンラインTDEマスター暗号化キーの管理のためにのみ必要です。エンドポイントがOracle Key VaultによるオンラインTDEマスター暗号化キー管理を使用する場合は、エンドポイント・ソフトウェアのアップグレード中にPKCS#11ライブラリをアップグレードする必要があります。

    PKCS#11ライブラリは、Oracle Databaseのバージョンに応じて、標準の場所またはOracle Key Vaultのリリース固有の場所にインストールできます。

    • Oracle Database 21c以前の場合:
      PKCS#11ライブラリを標準の場所にインストールします:
      /opt/oracle/extapi/64/hsm/oracle/1.0.0/liborapkcs.so
      PKCS#11ライブラリを標準の場所にインストールする前に、次の操作を行う必要があります:
      1. 標準の場所にあるPKCS#11ライブラリを使用するそのホスト上のすべてのデータベースのエンドポイント・ソフトウェアのアップグレードを完了します。
      2. そのホスト上のそのようなすべてのデータベースを停止します。
        • データベースの停止は、root.shまたはroot.batスクリプトを実行する前にのみ必要となります。このスクリプトは、PKCS#11ライブラリを標準の場所にインストールするために、ホストごとに1回のみ実行する必要があります。
        • エンドポイント・ソフトウェアのアップグレード中にデータベースを停止する必要はありません。
      UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。
      sudo /etc/ORACLE/KEYSTORES/okv/bin/root.sh

      または

      su - root
/etc/ORACLE/KEYSTORES/okv/bin/root.sh
      Windowsプラットフォーム:エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。使用中のデータベースのバージョンを指定するよう求められます。
      bin\root.bat
    • Oracle AI Database 26ai以降の場合:
      Oracle AI Database 26ai以降の場合、最新のPKCS#11ライブラリliborapkcs.soをOracle Key Vaultのリリース固有の場所にインストールすることをお薦めします:
      /opt/oracle/extapi/64/pkcs11/okv/<okv_version>/lib
      たとえば、Oracle Key Vault 21.12リリースの場合、場所は次のとおりです:
      /opt/oracle/extapi/64/pkcs11/okv/21.12.0.0.0/lib

      ホスト上のTDE対応データベースの複数のエンドポイントをアップグレードする場合は、最新のOracle Key Vault PKCS#11ライブラリをエンドポイント・ソフトウェアのバージョンごとに1回のみインストールする必要があります。

      UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。--okv_pkcs11_library_locationオプションを指定して、Oracle Key Vaultのリリース固有の場所にライブラリをインストールします:
      sudo /etc/ORACLE/KEYSTORES/okv/bin/root.sh –-okv_pkcs11_library_location
      su - root
/etc/ORACLE/KEYSTORES/okv/bin/root.sh --okv_pkcs11_library_location

      Oracle Key Vaultのリリース固有の場所に最新のliborapkcs.soライブラリをインストールする前に、そのホスト上のデータベースを停止する必要はありません。

      ホストに複数のTDE対応データベース(26ai以降)がある場合、リリース固有の場所にあるPKCS#11ライブラリを使用するようにエンドポイントを構成していれば、エンドポイントを異なるタイミングで個別にアップグレードできます。

      ノート:

      Oracle AI Database 26aiでは、標準の場所へのliborapkcs.soライブラリのインストールもサポートされています。ただし、これはお薦めしません。
  7. Oracle AI Database 26ai以降の場合は、Oracle Key Vaultのリリース固有の場所にある新しいPKCS#11ライブラリを使用するようにデータベースを構成します。

    構成手順は、データベースがリリース固有の場所にあるPKCS#11ライブラリを使用するように初めて構成されるかどうかによって異なります。データベースの起動が必要となるのは、この初期のワンタイム構成中のみです。後続のエンドポイントのアップグレードでは、データベースは停止することなく、新しいPKCS#11ライブラリに切り替えることができます。

    標準の場所からリリース固有の場所への最初のPKCS#11ライブラリの切替え

    標準の場所にあるPKCS#11ライブラリを現在使用しているデータベースの場合、PKCS11_LIBRARY_LOCATIONデータベース・パラメータを設定して、リリース固有の場所にあるライブラリを使用するように切り替えます。
    1. ALTER SYSTEM権限を持つユーザーとして、CDBルートにログインします。
    2. 静的初期化パラメータPKCS11_LIBRARY_LOCATIONを、Oracle Key Vaultリリース固有のライブラリの場所にあるliborapkcs.soライブラリを指すように設定します。
      たとえば:
      ALTER SYSTEM SET PKCS11_LIBRARY_LOCATION=’/opt/oracle/extapi/64/pkcs11/okv/21.12.0.0.0/lib/liborapkcs.so’ SCOPE=SPFILE SID=’*’;
    3. データベースを再起動してパラメータを有効にします。

      再起動後、データベースは、指定したOracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリの使用を開始します。

    あるリリース固有のバージョンから別のバージョンへのPKCS#11ライブラリの切替え

    Oracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリをすでに使用しているデータベースの場合、新しいライブラリを使用するように切り替えるためにデータベースを再起動する必要はありません。そのようなデータベースのエンドポイント・アップグレードは、停止時間なしで完了できます。

    変更を開始して、新しいライブラリを使用するようにデータベースを切り替えるには、次を実行します:
    ADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARY ‘/opt/oracle/extapi/64/pkcs11/okv/<new-okv-version>/lib/liborapkcs.so’ FOR ALL CONTAINERS

    SQLコマンドADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARYは、システムの停止時間を発生させることなく、現在のPKCS#11ライブラリから新しいPKCS#11ライブラリに切り替えるようにデータベースに指示します。このコマンドを発行すると、データベースのフォアグラウンド・プロセスおよびバックグラウンド・プロセスが、段階的に新しいライブラリに切替えられます。

    データベース・ビューV$PKCS11_PATHを使用すると、各データベース・プロセスで使用されているPKCS#11ライブラリを監視できます。

    ノート:

    ホスト上のすべてのエンドポイントをアップグレードし、すべてのTDE対応データベースが新しいPKCS#11ライブラリに切り替わったことを確認したら、ホストから古いバージョンのPKCS#11ライブラリを削除します。古いライブラリを削除する前に、バックグラウンドで行われるライブラリの切替えがすべてのTDE対応データベースで完了していることを確認します。データベース・ビューV$PKCS11_PATHを使用すると、各データベース・プロセスで使用されているPKCS#11ライブラリを監視できます。
  8. SDKソフトウェアを更新します。
    SDKソフトウェアをすでにデプロイしている場合は、Oracle Key Vaultリリース21.12へのアップグレードの完了後、同じ場所にSDKソフトウェアを再デプロイすることをお薦めします。これにより、アップグレード元となるOracle Key Vaultバージョン以降に導入された新しいSDK APIにアクセスできます。
    1. Oracle Key Vault管理コンソールのログイン画面に移動します。
    2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
    3. 「Download Software Development Kit」セクションで、サイトに適した言語およびプラットフォームを選択します。
    4. 「Download」ボタンをクリックして、SDK zipファイルを入手します。
    5. SDKソフトウェアがすでにデプロイされている既存の場所を特定します。
    6. SDK zipファイルを保存したディレクトリに移動します。
    7. SDK zipファイルを解凍します。
      たとえば、LinuxでJava SDK zipファイルを解凍するには、次のコマンドを使用します。
      unzip -o okv_jsdk.zip -d existing_endpoint_sdk_directory_path

      C SDK zipファイルの場合は、次のコマンドを使用します:

      unzip -o okv_csdk.zip -d existing_endpoint_sdk_directory_path
    8. このページを終了しないでください。
  9. 前のリリースでRESTfulサービス・ユーティリティをデプロイした場合は、最新のokvrestclipackage.zipファイルを再デプロイします。

    最新のokvrestclipackage.zipファイルを使用すると、アップグレード元のOracle Key Vaultバージョン以降に導入された新しいRESTfulサービス・ユーティリティ・コマンドにアクセスできます。

    wgetまたはcurlを使用して、okvrestclipackage.zipファイルをダウンロードできます。
    wget --no-check-certificate https://Oracle_Key_Vault_IP_address:5695/ okvrestclipackage.zip
    curl -O -k https://Oracle_Key_Vault_IP_address:5695/okvrestclipackage.zip
  10. 標準の場所にあるPKCS#11ライブラリを使用しているTDE対応データベースの場合、このホスト・マシン上のすべてのTDE対応データベースのOracle Key Vaultエンドポイントのアップグレードが完了したら、Oracle Databaseを起動します。

    Oracle Key Vaultのリリース固有の場所にあるPKCS#11ライブラリを使用するデータベースの場合、各エンドポイントを個別にアップグレードでき、必要なデータベースの再起動が前述のステップ7でアップグレード・プロセスの一部として実行されます。そのようなデータベースの場合は、追加のデータベースの再起動は必要ありません。

    この段階で、エンドポイントが完全にアップグレードされます。

  11. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Real Application Clusters (Oracle RAC)環境を使用している場合は、各Oracle RACノードで次のステップを実行します。
    1. 各Oracle RACノードでエンドポイントのアップグレードを実行します。
    2. 対称キーの抽出可能属性値を設定します。
      デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定します。次のように、抽出可能属性値を設定できます。
      • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
      • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
      • 既存の対称キーの抽出可能属性を変更します。

      Oracle Key Vault管理者ガイドを参照してください。

    3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、Oracle RACノードでキー更新操作を実行します。次の構文を使用します。
      ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
[FORCE KEYSTORE][USING TAG 'tag_name'] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH BACKUP [USING backup_identifier']];

      TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

  12. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Data Guard環境を使用している場合は、プライマリおよびスタンバイ・データベースで次のことを行います。
    1. プライマリおよびスタンバイ・データベースでエンドポイントのアップグレードを実行します。
    2. 対称キーの抽出可能属性値を設定します。
      デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定する必要があります。次のように、抽出可能属性値を設定できます。
      • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
      • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
      • 既存の対称キーの抽出可能属性を変更します。
      Oracle Key Vault管理者ガイドを参照してください。
    3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、プライマリおよびスタンバイ・データベースでキー更新操作を実行します。次の構文を使用します。 
      ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
[FORCE KEYSTORE]
[USING TAG 'tag_name'] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH BACKUP [USING 'backup_identifier'']];

      TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

親トピック: Oracle Key Vaultエンドポイントのアップグレード