Schlüssel mit einem externen Keystore verwalten

Dieser Konfigurationsprozess ist entscheidend für die Verwendung externer Keystores zum Verwalten und Sichern von Verschlüsselungsschlüsseln für Ihre Datenbanken auf Exadata-Systemen. Stellen Sie eine ordnungsgemäße Installation, Passwortkonfiguration und Kommunikationssetup für einen nahtlosen Betrieb sicher.

Installation von externem Keystore-Server: Sie sind für die Installation und Konfiguration des externen Keystore-Servers in der vom Hersteller bereitgestellten Dokumentation verantwortlich.

Externes Keystore-Kennwortformat: Das Format des Kennworts für den externen Keystore variiert je nach Provider.

Netzwerkkonfiguration: Stellen Sie sicher, dass eine Verbindung zwischen der Gast-VM und dem externen Keystore-Server hergestellt wird, indem Sie:

• Einrichten des erforderlichen Netzwerks.
• Öffnen der notwendigen Ports.
• Das vom externen Keystore-Anbieter angegebene Protokoll wird aktiviert.

Installation der PKCS#11-Bibliothek: Installieren Sie die PKCS#11-bezogene Software, und konfigurieren Sie die PKCS#11-Bibliothek auf den VMs entsprechend der Dokumentation des externen Keystore-Herstellers.

Einschränkungen:

• Auf einer Gast-VM kann jeweils nur eine PKCS#11-Library eines Herstellers vorhanden sein.
• Externe Keystore-Schnittstellen können nicht verwendet werden, um Schlüssel mit Oracle-Datenbanken auf Oracle Exadata Database Service on Dedicated Infrastructure zu verknüpfen.
• Während die externe Keystore-Schnittstelle Ihnen die Anzeige der mit den Datenbanken verknüpften Schlüssel ermöglicht, unterstützt sie möglicherweise die Ausführung von Schlüsselverwaltungsvorgängen nicht direkt über die Schnittstelle.

Kommunikationsvalidierung: Stellen Sie sicher, dass die PKCS#11-Bibliothek erfolgreich mit dem externen Keystore kommunizieren kann. Beachten Sie, dass die Cloud-Automatisierung keine Vorabprüfungen durchführt, um diese Verbindung zu validieren. Wenn der Schlüssel nicht zugänglich ist, gibt die Datenbank einen Fehler mit den relevanten Details zurück.

Sie können jetzt Oracle-Datenbanken auf Oracle Exadata Database Service on Dedicated Infrastructure verschlüsseln, indem Sie den Masterverschlüsselungsschlüssel (MEK) in einem externen Keystore speichern.

Anwendbare Datenbankversionen: 23ai und 19c

Beim Provisioning einer Datenbank können Sie zwischen verschiedenen Schlüsselverwaltungslösungen wählen: Oracle-Software-Keystore, Oracle Key Vault (OKV) oder einem externen Keystore.

• Die ausgewählte Schlüsselverwaltungslösung gilt für die gesamte Containerdatenbank (CDB) und alle darin enthaltenen integrierbaren Datenbanken (PDBs). Wenn eine CDB für die Verwendung eines externen Schlüsselspeichers konfiguriert ist, verwenden alle zugehörigen PDBs auch den externen Keystore. Sie können keine anderen Schlüsselmanagementlösungen auf PDB-Ebene auswählen.
• Während die Schlüsselverwaltungslösung über die CDB und ihre PDBs hinweg konsistent sein muss, können verschiedene PDBs innerhalb derselben CDB unterschiedliche Verschlüsselungsschlüssel verwenden, was die Schlüsselauslastung in allen PDBs flexibel macht.

Diese Funktionalität stellt sicher, dass sensible Verschlüsselungsschlüssel sicher in einem externen Keystore gespeichert werden. Dadurch wird eine zusätzliche Sicherheitsebene für Ihre Datenbanken bereitgestellt.

Weitere Informationen finden Sie unter https://support.oracle.com/support/?kmExternalId=FAQ2403.

Wenn eine Datenbank durch einen externen Keystore geschützt wird, ist das Hinzufügen einer neuen virtuellen Maschine (VM) zum Cluster eingeschränkt.

Wenn eine oder mehrere Datenbanken in einem VM-Cluster mit einem externen Keystore konfiguriert sind, wird die folgende Meldung angezeigt:

While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.