Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente che risiedono in Oracle Key Vault (OKV) su Autonomous Database.

1. Creare un endpoint OKV, un wallet e una chiave principale TDE.
   1. Accedere all'istanza OKV.

      • Copiare l'indirizzo IP pubblico o l'indirizzo IP privato nella pagina dei dettagli dell'istanza di OKV e incollarlo in un browser.

      • Nella pagina di login dell'istanza OKV, immettere il nome utente e la password.

   2. Creare e registrare un endpoint OKV.
      • Fare clic su Endpoint nella home page di OKV.
      • Fare clic su Aggiungi nella pagina dei dettagli degli endpoint e immettere un nome per l'endpoint.
      • Consente l'impostazione predefinita di tutte le altre impostazioni e fare clic su Registra.

        Ad esempio:
        
        Descrizione della figura sec_okv_epregister.png
        

        Per ulteriori informazioni, vedere Aggiunta, eliminazione o nuova iscrizione degli endpoint.

   3. Crea wallet

      Il wallet OKV contiene la chiave di cifratura principale TDE.

      • Nella home page di OKV, passare alla pagina Chiavi e wallet.
      • Per Wallet nella pagina Chiavi e wallet, fare clic su Crea.
      • Immettere il nome del wallet nel campo Nome e fare clic su Salva.

        Ad esempio:

        
        
        
        Descrizione dell'immagine sec_okv_wallet.png
        
        

        Per ulteriori informazioni, vedere Creazione di un wallet virtuale.

   4. Creare una chiave di cifratura principale TDE nel wallet.
      • Selezionare Chiavi e segreti, quindi fare clic su Crea.
      • Per Chiavi applicazione, selezionare Chiave di cifratura principale TDE.
      • Per Estraibile, selezionare True.
      • Assicurarsi che la data di disattivazione sia vuota.

        Ad esempio:

        
        
        
        Descrizione dell'immagine sec_okv_extractable.png
        
        
      • Per Appartenenza al wallet, fare clic su Seleziona wallet.
      • Dalla lista di wallet visualizzata, selezionare il wallet creato nel passo precedente e fare clic su Chiudi.
      • Fare clic su Crea. La chiave di cifratura principale TDE viene creata e visualizzata in Sommario wallet.

        Ad esempio:

        
        
        
        Descrizione dell'immagine sec_okv_key.png
        
        
   5. Modificare l'endpoint per rendere il wallet creato in precedenza il wallet predefinito.
      • Andare alla pagina dei dettagli dell'endpoint.
      • Nel riquadro Wallet predefinito, selezionare Scegli wallet.
      • Nella pagina Scegli wallet, selezionare il wallet creato in precedenza e fare clic su Seleziona.
      • Fare clic suSalva.
   6. Abilita servizi Restful.
      Nota
      
      Per eseguire correttamente il comando curl in un passo successivo, è necessario abilitare nell'istanza OKV i servizi Restful per scaricare il wallet.

      • Nella home page OKV, selezionare la scheda Sistema.
      • Nel riquadro di navigazione a sinistra fare clic su Impostazione.
      • In Configurazione di sistema, selezionare Servizi di riserva.
      • Fare clic su Tutto, quindi su Salva.
2. Eseguire il provisioning di un'istanza di Autonomous Database con le impostazioni necessarie riportate di seguito.
   1. Per Scegliere l'accesso di rete, selezionare Solo accesso agli endpoint privati.
   2. Per la rete cloud virtuale, selezionare la VCN in cui è in esecuzione questa istanza di database.
   3. Per Subnet, selezionare la subnet privata in cui è in esecuzione questa istanza di database.
   4. Per Gruppi di sicurezza di rete (NSG), selezionare il gruppo di sicurezza.
   5. Per le impostazioni della chiave di cifratura, l'impostazione predefinita è Cifratura mediante una chiave gestita da Oracle. Queste impostazioni vengono modificate in chiavi gestite dal cliente in OKV, una volta completati questi passi dei prerequisiti. Le chiavi gestite dal cliente vengono disabilitate durante il provisioning dell'istanza. Per i dettagli, consulta la sezione relativa all'uso delle chiavi di cifratura gestite dal cliente su Autonomous Database con Oracle Key Vault.
3. Connettersi all'istanza di Autonomous Database e creare una directory per il wallet OKV.
   1. Connettersi all'istanza di Autonomous Database dell'endpoint privato come utente ADMIN.
      Ad esempio, connettersi all'istanza di database OKVDEMO1:

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Creare un oggetto directory nell'istanza di Autonomous Database.
      Ad esempio:

      SQL> create directory okv_dir as 'okvdir';

   3. Verificare che la directory sia stata creata.
      Ad esempio, le istruzioni seguenti creano l'oggetto directory OKV_DIR e nei risultati dell'istruzione vengono visualizzati il nome della directory (OKV_DIR) e il percorso della directory (/u03/dbfs/<path data>/data/okvdir).

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Scaricare il wallet dell'endpoint nell'oggetto directory creato nell'istanza di Autonomous Database. Questo wallet non è il wallet TDE virtuale in OKV che contiene la chiave di cifratura principale TDE. Questo wallet contiene i certificati necessari per stabilire una connessione mTLS 1.2 tra OKV e Autonomous Database.
   1. Scaricare il wallet per l'endpoint dall'istanza OKV.
      Eseguire il comando seguente da un'istanza di computazione che si trova sulla stessa rete di OKV:

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Where:

      • OKV server è il nome di dominio o l'indirizzo IP privato completamente qualificato interno, trovato nella pagina dei dettagli dell'istanza OKV.

      • Enrollment Token è il token di registrazione per l'endpoint trovato nella pagina Endpoint.

      Ad esempio:

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Dopo aver scaricato il wallet, l'endpoint nell'istanza OKV viene modificato da REGISTERED a ENROLLED.

   2. Caricare il wallet nello storage degli oggetti.

      Caricare il file del wallet dal computer locale nel bucket di storage degli oggetti utilizzando Carica oggetto. Per ulteriori informazioni, vedere Caricamento di un oggetto in un bucket.

   3. Nello storage degli oggetti, generare un URL PAR (Pre-Authenticated Request) per il file wallet caricato. Per ulteriori informazioni, vedere Creazione di una richiesta precedente all'autenticazione nello storage degli oggetti.
   4. Dalla VM, connettersi all'istanza di database come utente ADMIN.
   5. Nell'istanza di database, eseguire la procedura DBMS_CLOUD.GET_OBJECT per scaricare il wallet dallo storage degli oggetti alla directory del wallet dell'istanza di database.
      Ad esempio:

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Where:

        • object_uri è l'URL PAR generato per il file wallet nello storage degli oggetti.
        • directory_name è il nome della directory wallet creata nell'istanza di database.

        Per ulteriori informazioni, vedere GET_OBJECT Procedure.

   6. Eliminare il wallet dallo storage degli oggetti.

Mostra i passi per cifrare Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in Oracle Key Vault (OKV).

1. Se necessario, eseguire i passi necessari per i prerequisiti della chiave di cifratura gestita dal cliente. Per i dettagli, vedere Prerequisiti per l'utilizzo delle chiavi di cifratura gestite dal cliente in Oracle Key Vault.
2. Nella pagina Dettagli per l'istanza di Autonomous Database, fare clic su Altre azioni e selezionare Gestisci chiave di cifratura.

   
   
   Descrizione dell'immagine sec_okv_manage.png
   

   Nota
   
   

   Se si stanno già utilizzando chiavi gestite dal cliente in OKV e si desidera ruotare le chiavi TDE, attenersi alla procedura riportata di seguito e selezionare una chiave diversa (selezionare una chiave diversa dalla chiave di cifratura principale attualmente selezionata). Tuttavia, non è possibile utilizzare una chiave OKV utilizzata in precedenza nella stessa istanza di Autonomous Database.

3. Nella pagina Gestisci chiave di cifratura, selezionare Cifra utilizzando una chiave gestita dal cliente.
4. Nell'elenco a discesa Tipo di chiave, selezionare Oracle Key Vault (OKV).

   Nella finestra di dialogo Gestisci chiave di cifratura vengono visualizzate le opzioni di Oracle Key Vault (OKV).
   
   Descrizione dell'immagine sec_okv.png
   

5. Immettere le informazioni riportate di seguito.

   • UUID OKV: immettere l'identificativo univoco della chiave principale TDE per la chiave presente nell'istanza OKV.

     Per trovare questo valore:

     1. Accedere all'istanza OKV e selezionare Keys & Wallets.

     2. Fare clic sul nome del wallet predefinito per l'endpoint di Autonomous Database.

     3. Scorrere fino a Sommario wallet e copiare l'Identificativo univoco nella colonna Dettagli.

        Ad esempio:

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Fare clic sul nome dell'endpoint, quindi fare clic su Scarica (formato PEM) di colore verde. Verrà scaricato "CA.pem" nel computer.

        Estrarre il DN del certificato con un comando come:

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Ad esempio:

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Fare clic sul nome del wallet predefinito per l'endpoint di Autonomous Database.

     5. Scorrere fino a Accesso ai contenuti del wallet e copiare il identificativo univoco.

        .

        
        
        Descrizione dell'immagine sec_okv_uuid.png
        

     6. Incollare l'identificativo univoco nel campo UUID OKV.

   • URI server OKV: immettere il nome dominio interno completamente qualificato o l'IP privato trovato nella pagina dei dettagli dell'istanza OKV.

     Ad esempio, se si utilizza una VM OCI per ospitare OKV, questo valore può essere trovato nella pagina dei dettagli dell'istanza OKV in VNIC primaria:

     
     
     Descrizione dell'immagine sec_okv_fqdn.png
     

   • DN certificato: immettere il nome distinto (DN) del certificato.
   • ID certificato (Facoltativo): immettere l'ID certificato o lasciare vuoto.
     Nota
     
     Questo campo è facoltativo se si utilizza OKV versioni 21.9 e successive. Se si utilizzano versioni OKV inferiori alla 21.9, l'ID certificato è obbligatorio.
   • Nome directory: immettere il nome della directory in cui viene salvato il wallet nell'istanza di Autonomous Database.
6. Fare clic su Salva.