Gestisci chiavi di cifratura master in Oracle Key Vault

Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente che risiedono in Oracle Key Vault (OKV) su Autonomous Database.

1. Creare un endpoint OKV, un wallet e una chiave master TDE.
   1. Accedere all'istanza OKV.

      • Copiare l'indirizzo IP pubblico o l'indirizzo IP privato nella pagina dei dettagli dell'istanza di OKV e incollarlo in un browser.

      • Nella pagina di login dell'istanza OKV, immettere il nome utente e la password.

   2. Creare e registrare un endpoint OKV.
      • Fare clic su Endpoint nella home page di OKV.
      • Fare clic su Aggiungi nella pagina dei dettagli degli endpoint e immettere un nome per l'endpoint.
      • Consente l'impostazione predefinita di tutte le altre impostazioni e fare clic su Registra.

        Ad esempio:
        
        Descrizione dell'immagine sec_okv_epregister.png
        

        Per ulteriori informazioni, vedere Aggiunta, eliminazione o riavvio degli endpoint.

   3. Crea wallet

      Il wallet OKV contiene la chiave di cifratura primaria TDE.

      • Nella home page OKV andare alla pagina Keys & Wallets.
      • Per Wallet nella pagina Keys & Wallet, fare clic su Crea.
      • Immettere il nome del wallet nel campo Nome e fare clic su Salva.

        Ad esempio:

        
        
        
        Descrizione dell'immagine sec_okv_wallet.png
        
        

        Per ulteriori informazioni, vedere Creazione di un wallet virtuale.

   4. Creare una chiave di cifratura principale TDE nel wallet.
      • Selezionare Keys & Secrets e fare clic su Crea.
      • Per Chiavi applicazione, selezionare Chiave di cifratura principale TDE.
      • Per Estraibile, selezionare Vero.
      • Assicurarsi che la data di disattivazione sia vuota.

        Ad esempio:

        
        
        
        Descrizione dell'immagine sec_okv_key.png
        
        
      • Per Appartenenza a wallet, fare clic su Seleziona wallet.
      • Dall'elenco visualizzato dei wallet, selezionare il wallet creato nel passo precedente e fare clic su Chiudi.
      • Fare clic su Crea. La chiave di cifratura principale TDE viene creata e visualizzata in Contenuto wallet.
   5. Modificare l'endpoint per impostare il wallet creato in precedenza come wallet predefinito.
      • Passare alla pagina dei dettagli dell'endpoint.
      • Nel riquadro Wallet predefinito, selezionare Scegli wallet.
      • Nella pagina Scegli wallet selezionare il wallet creato in precedenza e fare clic su Seleziona.
      • Fare clic su Salva.
   6. Abilita servizi RESTful.
      Nota
      
      Per eseguire correttamente il comando curl, in un passo successivo, per scaricare il wallet, è necessario abilitare i servizi Restful nell'istanza OKV.

      • Nella home page OKV, selezionare la scheda Sistema.
      • Nel riquadro di navigazione a sinistra fare clic su Impostazione.
      • In Configurazione di sistema selezionare Restful services.
      • Fare clic su Tutto, quindi su Salva.
2. Eseguire il provisioning di un'istanza di Autonomous Database con le impostazioni necessarie riportate di seguito.
   1. Per Scegliere l'accesso di rete, selezionare Solo accesso endpoint privato.
   2. Per la rete cloud virtuale, selezionare la VCN in cui è in esecuzione questa istanza di database.
   3. Per Subnet, selezionare la subnet privata in cui è in esecuzione l'istanza di database.
   4. Per Network security groups (NSGs), selezionare il gruppo di sicurezza.
   5. Per le impostazioni Chiave di cifratura, il valore predefinito è Cifratura mediante una chiave gestita da Oracle. Queste impostazioni vengono modificate in chiavi gestite dal cliente in OKV, al termine di questi passi dei prerequisiti. Le chiavi gestite dal cliente sono disabilitate durante il provisioning dell'istanza. Per informazioni dettagliate, vedere Usa chiavi di cifratura gestite dal cliente in Autonomous Database con Oracle Key Vault.
3. Connettersi all'istanza di Autonomous Database e creare una directory per il wallet OKV.
   1. Connettersi all'istanza di Autonomous Database dell'endpoint privato come utente ADMIN.
      Ad esempio, connettersi all'istanza di database OKVDEMO1:

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Creare un oggetto directory nell'istanza di Autonomous Database.
      Ad esempio:

      SQL> create directory okv_dir as 'okvdir';

   3. Verificare che la directory sia stata creata.
      Ad esempio, le istruzioni seguenti creano l'oggetto directory OKV_DIR e nei risultati dell'istruzione vengono visualizzati il nome della directory (OKV_DIR) e il percorso della directory (/u03/dbfs/<path data>/data/okvdir).

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Scaricare il wallet dell'endpoint nell'oggetto directory creato nell'istanza di Autonomous Database. Questo wallet non è il wallet TDE virtuale in OKV che contiene la chiave di cifratura principale TDE. Questo wallet contiene i certificati necessari per stabilire una connessione mTLS 1.2 tra OKV e Autonomous Database.
   1. Scaricare il wallet per l'endpoint dall'istanza OKV.
      Eseguire il comando seguente da un'istanza di computazione che si trova sulla stessa rete di OKV:

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Posizione:

      • OKV server è il nome di dominio o l'indirizzo IP privato completamente qualificato interno, trovato nella pagina dei dettagli dell'istanza OKV.

      • Enrollment Token è il token di registrazione per l'endpoint trovato nella pagina Endpoint.

      Ad esempio:

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Dopo aver scaricato il wallet, l'endpoint nell'istanza OKV viene modificato da REGISTERED a ENROLLED.

   2. Caricare il wallet nello storage degli oggetti.

      Caricare il file wallet dal computer locale nel bucket di storage degli oggetti utilizzando Carica oggetto. Per ulteriori informazioni, vedere Caricamento di un oggetto in un bucket.

   3. Nello storage degli oggetti, generare un URL PAR (Pre-Authenticated Request) per il file wallet caricato. Per ulteriori informazioni, vedere Creazione di una richiesta preautenticata nello storage degli oggetti.
   4. Dalla VM, connettersi all'istanza di database come utente ADMIN.
   5. Nell'istanza di database, eseguire la procedura DBMS_CLOUD.GET_OBJECT per scaricare il wallet dallo storage degli oggetti alla directory del wallet dell'istanza di database.
      Ad esempio:

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Posizione:

        • object_uri è l'URL PAR generato per il file wallet nello storage degli oggetti.
        • directory_name è il nome della directory wallet creata nell'istanza di database.

        Per ulteriori informazioni, vedere GET_OBJECT Procedura e funzione.

   6. Elimina il wallet dallo storage degli oggetti.

Mostra i passi per cifrare Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in Oracle Key Vault (OKV).

1. Eseguire i passi dei prerequisiti della chiave di cifratura gestita dal cliente richiesti, se necessario. Per i dettagli, vedere Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente in Oracle Key Vault.
2. Nella pagina Dettagli per l'istanza di Autonomous Database, fare clic su Altre azioni e selezionare Gestisci chiave di cifratura.

   
   
   Descrizione dell'immagine sec_okv_manage.png
   

   Nota
   
   

   Se si stanno già utilizzando chiavi gestite dal cliente in OKV e si desidera ruotare le chiavi TDE, attenersi alla procedura riportata di seguito e selezionare una chiave diversa (selezionare una chiave diversa dalla chiave di cifratura principale attualmente selezionata). Tuttavia, non puoi utilizzare una chiave OKV utilizzata in precedenza sulla stessa istanza di Autonomous Database.

3. Nella pagina Gestisci chiave di cifratura selezionare Cifra utilizzando una chiave gestita dal cliente.
4. Nell'elenco a discesa Tipo di chiave selezionare Oracle Key Vault (OKV).

   Nella finestra di dialogo Gestisci chiave di cifratura vengono visualizzate le opzioni di Oracle Key Vault (OKV).
   
   Descrizione dell'immagine sec_okv.png
   

5. Immettere le informazioni riportate di seguito.

   • UUID OKV: immettere l'identificativo univoco della chiave principale TDE per la chiave presente nell'istanza OKV.

     Per trovare questo valore:

     1. Accedere all'istanza OKV e selezionare Keys & Wallets.

     2. Fare clic sul nome del wallet predefinito per l'endpoint di Autonomous Database.

     3. Scorrere fino a Sommario wallet e copiare l'Identificativo univoco nella colonna Dettagli.

        Ad esempio:

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Fare clic sul nome dell'endpoint, quindi fare clic su Scarica (formato PEM) di colore verde. Verrà scaricato "CA.pem" nel computer.

        Estrarre il DN del certificato con un comando come:

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Ad esempio:

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Fare clic sul nome del wallet predefinito per l'endpoint di Autonomous Database.

     5. Scorrere fino a Accesso ai contenuti del wallet e copiare il identificativo univoco.

        .

        
        
        Descrizione dell'immagine sec_okv_uuid.png
        

     6. Incollare l'identificativo univoco nel campo UUID OKV.

   • URI server OKV: immettere il nome dominio interno completamente qualificato o l'IP privato trovato nella pagina dei dettagli dell'istanza OKV.

     Ad esempio, se si utilizza una VM OCI per ospitare OKV, questo valore può essere trovato nella pagina dei dettagli dell'istanza OKV in VNIC primaria:

     
     
     Descrizione dell'immagine sec_okv_fqdn.png
     

   • DN certificato: immettere il nome distinto (DN) del certificato.
   • ID certificato (Facoltativo): immettere l'ID certificato o lasciare vuoto.
     Nota
     
     Questo campo è facoltativo se si utilizza OKV versioni 21.9 e successive. Se si utilizza OKV versioni inferiori alla 21.9, è necessario l'ID del certificato.
   • Nome directory: immettere il nome della directory in cui viene salvato il wallet nell'istanza di Autonomous Database.
6. Fare clic su Salva.