Dieser Konfigurationsprozess ist für die Verwendung externer Keystores zur Verwaltung und Sicherung von Verschlüsselungsschlüsseln für Ihre Datenbanken auf Exadata-Systemen von entscheidender Bedeutung. Stellen Sie die ordnungsgemäße Installation, Passwortkonfiguration und Kommunikationssetup für einen nahtlosen Betrieb sicher.

Wenden Sie sich an den externen Keystore-Anbieter, um detaillierte Konfigurationsschritte zu erhalten. Die unten beschriebenen Details bieten einen allgemeinen Überblick über die allgemeinen Schritte, die zum Konfigurieren eines externen Keystores erforderlich sind.

Installation des externen Keystore-Servers: Sie sind für die Installation und Konfiguration des externen Keystore-Servers mit der vom Hersteller bereitgestellten Dokumentation verantwortlich.

Kennwortformat für externen Keystore: Das Format des externen Keystore-Kennworts variiert je nach Provider.

Netzwerkkonfiguration: Stellen Sie sicher, dass eine Verbindung zwischen der Gast-VM und dem externen Keystore-Server hergestellt wird, indem Sie:

• Einrichten des erforderlichen Netzwerks.
• Öffnen der notwendigen Ports.
• Das vom externen Keystore-Hersteller angegebene Protokoll wird aktiviert.

PKCS#11-Bibliotheksinstallation: Installieren Sie die PKCS#11-bezogene Software, und konfigurieren Sie die PKCS#11-Bibliothek auf den VMs gemäß der Dokumentation des externen Keystore-Herstellers.

Einschränkungen:

• Es kann jeweils nur eine PKCS#11-Bibliothek eines Herstellers auf einer Gast-VM vorhanden sein.
• Externe Keystore-Schnittstellen können nicht verwendet werden, um Schlüssel mit Oracle-Datenbanken auf Oracle Exadata Database Service on Cloud@Customer zu verknüpfen.
• Die externe Keystore-Schnittstelle ermöglicht Ihnen zwar die Anzeige der Schlüssel, die mit den Datenbanken verknüpft sind, unterstützt jedoch möglicherweise nicht die direkte Ausführung von Schlüsselverwaltungsvorgängen über die Schnittstelle.

Kommunikationsvalidierung: Stellen Sie sicher, dass die PKCS#11-Bibliothek erfolgreich mit dem externen Keystore kommunizieren kann. Beachten Sie, dass die Cloud-Automatisierung keine Vorabprüfungen zur Validierung dieser Verbindung ausführt. Wenn auf den Schlüssel nicht zugegriffen werden kann, gibt die Datenbank einen Fehler mit den relevanten Details zurück.

Weitere Informationen finden Sie unter https://support.oracle.com/support/?kmExternalId=FAQ2403.

Sie können jetzt Oracle-Datenbanken auf Oracle Exadata Database Service on Cloud@Customer verschlüsseln, indem Sie die Schlüssel in einem externen Keystore speichern.

Anwendbare Datenbankversionen: 23ai und 19c

Beim Provisioning einer Datenbank haben Sie die Möglichkeit, zwischen verschiedenen Schlüsselverwaltungslösungen zu wählen: Oracle Software Keystore, Oracle Key Vault (OKV) oder einem externen Keystore.

• Die ausgewählte Schlüsselverwaltungslösung gilt für die gesamte Containerdatenbank (CDB) und alle darin enthaltenen integrierbaren Datenbanken (PDBs). Wenn eine CDB für die Verwendung eines externen Keystores konfiguriert ist, verwenden alle verknüpften PDBs auch den externen Keystore. Sie können auf PDB-Ebene keine anderen Schlüsselverwaltungslösungen auswählen.
• Während die Schlüsselverwaltungslösung in der CDB und ihren PDBs konsistent sein muss, können verschiedene PDBs innerhalb derselben CDB eindeutige Verschlüsselungsschlüssel verwenden, um die Schlüsselverwendung in den PDBs flexibel zu gestalten.

Diese Funktionalität stellt sicher, dass sensible Verschlüsselungsschlüssel sicher in einem externen Keystore gespeichert werden, was eine zusätzliche Sicherheitsebene für Ihre Datenbanken bietet.

Wenn eine Datenbank durch einen externen Keystore geschützt ist, wird das Hinzufügen einer neuen virtuellen Maschine (VM) zum Cluster eingeschränkt.

Wenn eine oder mehrere Datenbanken in einem VM-Cluster mit einem externen Keystore konfiguriert sind, wird die folgende Meldung angezeigt:

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."