Este proceso de configuración es crucial para utilizar almacenes de claves externos para gestionar y proteger claves de cifrado para sus bases de datos en sistemas de Exadata. Asegúrese de que la instalación, la configuración de contraseñas y la comunicación sean correctas para un funcionamiento sin problemas.

Consulte al proveedor del almacén de claves externo para obtener pasos de configuración detallados. Los detalles que se describen a continuación proporcionan una visión general de alto nivel de los pasos genéricos necesarios para configurar un almacén de claves externo.

Instalación externa del servidor del almacén de claves: es responsable de instalar y configurar el servidor del almacén de claves externo mediante la documentación proporcionada por el proveedor.

Formato de contraseña de almacén de claves externo: el formato de la contraseña del almacén de claves externo varía según el proveedor.

Configuración de red: asegúrese de que se establece una conexión entre la VM de invitado y el servidor del almacén de claves externo mediante:

• Configurar la red necesaria.
• Abrir los puertos necesarios.
• Activación del protocolo especificado por el proveedor del almacén de claves externo.

Instalación de biblioteca PKCS#11: instale el software relacionado con PKCS#11 y configure la biblioteca PKCS#11 en las máquinas virtuales de acuerdo con la documentación del proveedor del almacén de claves externo.

Limitaciones:

• Solo puede haber una biblioteca PKCS#11 de proveedor en una VM de invitado a la vez.
• Las interfaces de almacén de claves externas no se pueden utilizar para asociar claves a bases de datos de Oracle en Oracle Exadata Database Service on Cloud@Customer.
• Aunque la interfaz de almacén de claves externo le permite ver las claves asociadas a las bases de datos, puede que no soporte la realización de operaciones de gestión de claves directamente desde la interfaz.

Validación de comunicación: verifique que la biblioteca PKCS#11 se pueda comunicar correctamente con el almacén de claves externo. Tenga en cuenta que la automatización en la nube no realiza comprobaciones previas para validar esta conexión. Si no se puede acceder a la clave, la base de datos devolverá un error con los detalles relevantes.

Para obtener más información, consulte https://support.oracle.com/support/?kmExternalId=FAQ2403.

Ahora puede cifrar bases de datos Oracle en Oracle Exadata Database Service on Cloud@Customer almacenando las claves en un almacén de claves externo.

Versiones de base de datos aplicables: 23ai y 19c

Al aprovisionar una base de datos, tiene la opción de elegir entre diferentes soluciones de gestión de claves: Oracle Software Keystore, Oracle Key Vault (OKV) o un almacén de claves externo.

• La solución de gestión de claves seleccionada se aplica a toda la base de datos de contenedores (CDB) y a todas las bases de datos conectables (PDB) que contiene. Si se configura una CDB para utilizar un almacén de claves externo, todas las PDB asociadas también utilizarán el almacén de claves externo. No puede seleccionar diferentes soluciones de gestión de claves a nivel de PDB.
• Si bien la solución de gestión de claves debe ser coherente en la CDB y sus PDB, las distintas PDB de la misma CDB pueden utilizar claves de cifrado distintas, lo que proporciona flexibilidad en el uso de claves en las PDB.

Esta funcionalidad garantiza que las claves de cifrado confidenciales se almacenen de forma segura en un almacén de claves externo, ofreciendo una capa adicional de seguridad para sus bases de datos.

Cuando una base de datos está protegida por un almacén de claves externo, se restringe la adición de una nueva máquina virtual (VM) al cluster.

Si una o más bases de datos de un cluster de VM están configuradas con un almacén de claves externo, se muestra el siguiente mensaje:

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."