Gérer les opérations de clé maître

Cryptez les fichiers trace distribués vers d'autres déploiements GoldenGate à l'aide de clés de cryptage maître. Vous pouvez ensuite importer et exporter des portefeuilles de clés de cryptage maître à utiliser avec d'autres déploiements OCI GoldenGate source et cible.

Remarque : ces informations s'appliquent uniquement aux déploiements de réplication de données.

Si une clé maître est créée dans Oracle GoldenGate, elle génère automatiquement une nouvelle clé de cryptage qui crypte le contenu de la trace chaque fois que GoldenGate crée un fichier trace. La clé maître chiffre la clé de chiffrement.

Avant de commencer

Assurez-vous que les éléments suivants sont disponibles :

• Accès au service Vault et à un coffre créé

  Remarque : aucun coffre privé virtuel n'est requis.

• Ajout des stratégies minimales requises pour qu'OCI GoldenGate utilise le service Vault

• Clé de cryptage maître créée dans le coffre.

  Remarque : seules les clés AES, protégées par logiciel ou HSM sont prises en charge. RSA et ECDSA ne sont pas pris en charge.

Ajouter une clé maître dans la console de déploiement

Pour ajouter une clé maître dans la console de déploiement GoldenGate, procédez comme suit :

1. Lancez la console d'un déploiement GoldenGate à partir de la page de détails du déploiement.

2. Connectez-vous en tant qu'administrateur GoldenGate.

3. Une fois connecté, ouvrez le menu de navigation, sélectionnez Configuration, puis Gestion des clés.

4. Sur la page Gestion des clés, pour les clés maître, sélectionnez Ajouter une clé maître (icône Plus).

Une nouvelle clé principale apparaît dans la liste.

Exporter un portefeuille de clé de cryptage maître à partir d'un déploiement OCI GoldenGate

Si une clé maître est ajoutée dans le déploiement source, veillez à l'exporter et à l'importer dans le déploiement cible.

Pour exporter un portefeuille de clé de cryptage maître, procédez comme suit :

1. Dans la page Deployments, sélectionnez le déploiement à partir duquel exporter le portefeuille de clé de cryptage maître.

2. Sur la page de détails du déploiement, sélectionnez Opérations de clé maître.

3. Dans le menu Actions, sélectionnez Exporter.

4. Dans la boîte de dialogue Exporter :

   1. Dans le champ Name, entrez le nom du portefeuille de clé de cryptage maître.

   2. (Facultatif) Entrez une description pour la distinguer des autres éléments de la liste de portefeuilles.

   3. sélectionnez un compartiment dans la liste déroulante.

   4. Pour Coffre dans <nom-compartiment>, sélectionnez le coffre dans lequel exporter le portefeuille de clé de cryptage maître. Sélectionnez Modifier le compartiment pour en sélectionner un autre.

   5. Pour Clé de cryptage dans <nom du compartiment>, sélectionnez la clé de cryptage appropriée à utiliser. Sélectionnez Modifier le compartiment pour en sélectionner un autre.

5. Sélectionnez Exporter.

Exporter un portefeuille de cryptage de clé maître à partir d'une instance Oracle GoldenGate sur site

Si une clé maître est ajoutée à une instance Oracle GoldenGate source (on-premise ou Marketplace), assurez-vous que vous encodez base64 le fichier cwallet.sso, puis copiez-le dans une clé secrète OCI Vault.

Pour exporter un portefeuille de clé de cryptage maître à partir d'une instance Oracle GoldenGate sur site, procédez comme suit :

1. Connectez-vous en SSH à votre instance Oracle GoldenGate sur site.

2. Remplacez les répertoires par l'emplacement du portefeuille (cwallet.sso).

   Remarque : Oracle recommande d'utiliser une copie de cwallet.sso.

3. Base64 encode le fichier cwallet.sso à l'aide de la commande suivante :

   base64 -w 0 cwallet.sso

4. Copiez la chaîne de sortie.

5. Dans la console Oracle Cloud, ouvrez le menu, sélectionnez Identité et sécurité, puis sélectionnez Coffre.

6. Dans la page Coffres, sélectionnez votre coffre.

7. Sur la page de détails du coffre, sélectionnez Clés secrètes, puis Créer une clé secrète.

8. Dans le panneau Créer une clé secrète, renseignez les champs comme suit :

   1. Pour Créer dans le compartiment, sélectionnez le compartiment dans lequel créer la clé secrète.

   2. Entrez le nom de la clé secrète.

   3. (Facultatif) Entrez une description pour la clé secrète.

   4. Pour Clé de cryptage dans <nom-compartiment>, sélectionnez la clé de cryptage maître créée dans les étapes Avant de commencer. Sélectionnez Modifier le compartiment pour sélectionner une clé de cryptage maître située dans un autre compartiment.

   5. Sélectionnez Génération manuelle de clés secrètes.

   6. Pour Contenu de clé secrète, collez la chaîne codée cwallet.sso base64 à partir de l'étape 3.

9. Sélectionnez Créer une clé secrète.

Le secret apparaît dans la liste Secrets. Vous pouvez désormais importer le portefeuille de clé de cryptage maître vers le déploiement OCI GoldenGate cible, puis sélectionner cette clé secrète.

Importer un portefeuille de clé de cryptage maître dans un déploiement

Pour importer un portefeuille de clé de cryptage maître, procédez comme suit :

1. Dans la page Deployments, sélectionnez le déploiement dans lequel importer le portefeuille de clé de cryptage maître.

2. Sur la page de détails du déploiement, sélectionnez Opérations de clé maître.

3. Dans le menu Actions, sélectionnez Importer.

4. Dans la fenêtre Importer, procédez comme suit :

   1. Pour Clé secrète de portefeuille dans <nom-compartiment>, sélectionnez la clé secrète de portefeuille à importer. Sélectionnez Modifier les compartiments pour sélectionner une clé secrète de portefeuille dans un autre compartiment.

   2. (Facultatif) Sélectionnez Sauvegarder le portefeuille existant pour...

      Si cette option est sélectionnée, sous Portefeuille de sauvegarde :

      1. Pour Nom, entrez un nom pour le portefeuille de sauvegarde.

      2. (Facultatif) Saisissez une description.

      3. Pour Clé de cryptage dans <nom-compartiment>, sélectionnez la clé de cryptage à utiliser. Sélectionnez Modifier le compartiment pour sélectionner une clé de cryptage dans un autre compartiment.

5. Sélectionnez Importer.

Importer un portefeuille de clé de cryptage maître vers une instance GoldenGate on-premise

Veillez à exporter le portefeuille de clé de cryptage maître du déploiement OCI GoldenGate source.

Pour importer un portefeuille de clé de cryptage maître vers une instance GoldenGate on-premise, procédez comme suit :

1. Sur la page Déploiements OCI GoldenGate, sélectionnez le déploiement source.

2. Sur la page de détails du déploiement, sélectionnez Opérations de clé maître.

3. Dans la liste des actions de portefeuille de clé de cryptage maître, sélectionnez le portefeuille exporté. Vous êtes redirigé vers la page de détails de la clé secrète dans votre coffre.

4. Sur la page de détails de la clé secrète, sous Versions, sélectionnez Afficher le contenu de la clé secrète dans le menu Actions.

5. Dans la boîte de dialogue Afficher le contenu de la clé secrète, sélectionnez Afficher le chiffre Base64 décodé.

6. Copiez le contenu de la zone de texte.

7. Connectez-vous en SSH à votre instance Oracle GoldenGate sur site ou Marketplace.

8. Créez un fichier texte (vi ou autre éditeur de texte), puis collez le contenu Secret dans le fichier.

9. Exécutez la commande Base64 sur le fichier que vous avez créé (veillez à remplacer <filename> par le nom de votre fichier texte) :

   base64 -d <filename> > cwallet.sso

10. Copiez ou déplacez cwallet.sso vers le répertoire de portefeuille GoldenGate.

Vous pouvez désormais ajouter et exécuter une réplication pour recevoir le fichier de trace crypté envoyé à partir du déploiement OCI GoldenGate source.