ノート:

Oracle Cloud VMwareソリューションを使用したEntrust KeyControl 5.4の構成

イントロダクション

このチュートリアルでは、Oracle Cloud VMwareソリューション・ソフトウェア定義のデータ・センター(SDDC)クラスタを使用してEntrust KeyControl 5.4ソリューションをデプロイおよび構成する方法の運用概要を示します。このチュートリアルの焦点は、Oracle Cloud VMwareソリューションでEntrust KeyControlを使用するために必要なデプロイ、構成オプション、および方法のステップを説明することです。

OracleおよびVMwareは、Oracle Cloud VMwareソリューションと呼ばれる完全に認定され、サポートされているSDDCソリューションを開発しました。このソリューションは、Oracle Cloud Infrastructure (OCI)を使用して可用性の高いVMware SDDCをホストします。また、オンプレミスのVMware SDDCワークロードをOCIにシームレスに移行することもできます。

ワークロードの暗号化は、データが誤った操作であっても、企業がデータを確実に保護するのに役立ちます。ワークロード暗号化の課題の1つは、異なるプラットフォームでホストされることがあるワークロードに対して数万の暗号化キーの管理を拡張することです。

EntrustについてKeyControl

Entrust KeyControlを使用すると、企業はローテーションと共有される頻度も含め、すべての暗号化キーを安全かつ大規模に管理できます。Entrust KeyControl機能には、次のものがあります。

前提条件

目標

VMwareワークロード内の暗号化を使用するためのOracle Cloud VMwareソリューションでEntrust KeyControl 5.4クラスタをデプロイおよび構成します。

タスク1: 最初のEntrust KeyControlアプライアンスのデプロイ

  1. Oracle Cloud VMware Solution Virtual Center Appliance (VCSA)にログインします。

  2. 右クリックして「OVFテンプレートのデプロイ」を選択します。

    OVFテンプレートのデプロイ

  3. 「ファイルのアップロード」をクリックし、Entrust KeyControl OVAを配置したディレクトリに移動し、それを選択して「開く」をクリックします。

    OVFテンプレートの選択

  4. 「次へ」をクリックします。

  5. Entrust KeyControlアプライアンスの名前を入力し、デプロイメントの場所を選択して、「次」をクリックします。

    名前およびフォルダの選択

  6. VMware vSphereクラスタまたはホストを選択し、「次へ」をクリックします。

    コンピュート・リソースを選択

  7. 詳細を確認し、「次へ」をクリックします。

  8. ライセンス契約に同意し、「次」をクリックします。

  9. リストから必要な構成を選択し、「次へ」をクリックします。

    デプロイメント・サイズ

  10. アプライアンスの適切なストレージおよびディスク形式を選択し、「次へ」をクリックします。

    記憶域の選択

  11. 適切なネットワークを選択し、「Next」をクリックします。

    ネットワークの選択

  12. 必要な情報を指定し、「次」をクリックします。

    アプライアンス・プロパティ

  13. サマリー画面を確認します。すべてが正しいことを確認したら、「終了」をクリックします。

    設定の確認

最初のEntrust KeyControlノードが正常にデプロイされました。

タスク2: 2番目のEntrust KeyControlアプライアンスのデプロイ

ノート:

Entrust KMS HAを達成するには、2つ目のKeycontorノードをデプロイして、KMSソリューションのHA設計を構成する必要があります。タスク1と同じステップを再度実行し、2つ目のEntrust KeyControl仮想アプライアンスをデプロイしてください。

タスク3: 最初のEntrust KeyControlアプライアンスの構成

  1. VMware vCenterで新しくデプロイされたEntrust KeyControlアプライアンスを見つけます。電源を入れ、それに対してコンソールを開きます。

  2. アプライアンスでコマンド行インタフェース(CLI)システムコンソールアカウントユーザー htadminのパスワードを設定します。

  3. [Tab]キーを使用して「OK」に移動し、[Enter]を押します。

    ノート:

    • このパスワードは、Entrust KeyControlシステム・コンソールへのアクセスを制御するため、ユーザーは特権付きEntrust KeyControl管理タスクを実行できます。
    • 「OK」を押すと、ネットワークおよびその他のサブシステムが構成されます。これには、数分かかります。

    HTADMINパスワードの指定

  4. 設定が完了すると、ウィンドウにはアプライアンスの管理IPアドレスが表示されます。次のステップで必要になるため、管理IPアドレスをノートにとります。タブを「OK」に移動し、[Enter]を押します。

タスク4: WebGUIを使用した最初のEntrust KeyControlアプライアンスの構成

  1. Webブラウザを起動し、最初のEntrust KeyControlアプライアンスの管理IPアドレスのIPアドレスまたは完全修飾ドメイン名に移動します。デフォルトのsecrootアカウントのユーザー名とパスワードを使用します。

  2. 「同意する」をクリックして、EULAを受け入れます。

  3. これは最初のKeyControlノードであるため、「スタンドアロン・ノードとして続行」をクリックします。

    KEYCONTROL画面へようこそ

  4. secrootアカウントの新しいパスワードを入力し、必ずパスワードの複雑性規則に従ってください。次に、「パスワードの更新」をクリックします。

    パスワードの変更ダイアログ

  5. Eメール・アドレスおよびEメール・サーバーの関連情報を入力して、Eメールおよびメール・サーバー設定を構成し、「メール設定の更新」をクリックします。

    Eメールおよびメール・サーバー設定ダイアログ

  6. 「管理キーのダウンロード」ページで、テキストを読んで「ダウンロード」をクリックします。

    警告: 管理キーをダウンロードして、後で使用するために安全な場所に保管する必要があります。管理キーがない場合は、後で必要に応じてアプライアンスのリカバリを実行することはできません。

    管理キーのダウンロード・ダイアログ

  7. Entrust KeyControl Vitalsの試行を実行している場合、レポートは無効にできません。そうでない場合は、購入したライセンスの適用後にVitals Reportingを無効にできます。「続行」をクリックします。

    重要なレポート

メインのWebGUIが表示されます。Entrust KeyControlクラスタの最初のノードの構成が正常に終了しました。次のステップに移動し、2番目のノードをクラスタに追加します。

タスク5: クラスタへの2番目のEntrust KeyControlアプライアンスの追加

  1. VMware vCenterで2つ目のデプロイ済Entrust KeyControlアプライアンスを探します。電源を入れてから、コンソールを開きます。

    • コマンド行インタフェース(CLI)システムコンソールアカウントのパスワード、アプライアンスで htadminを設定します。
    • 設定が完了すると、ウィンドウにはアプライアンスの管理IPアドレスが表示されます。次のステップで必要になるため、管理IPアドレスをノートにとっておいてください。
  2. Webブラウザを起動し、2番目のアプライアンスの管理IPアドレスのIPアドレスまたは完全修飾ドメイン名(FQDN)に移動します。デフォルトのsecrootアカウントのユーザー名とパスワードを使用します。

  3. 「同意する」をクリックして、EULAを受け入れます。

  4. これは2番目のEntrust KeyControlアプライアンスであるため、「既存のクラスタに参加」をクリックします。

    KEYCONTROL画面へようこそ

  5. 2番目のノードを構成するためのワークフローが大きく異なることがわかります。情報を確認して、「続行」をクリックします。

    クラスタ結合の開始

  6. 「Generate and Download CSR」をクリックします。これにより、.csr.pemファイルが Downloadsディレクトリに保存されます。このファイルはステップ10で必要になります。

    CSRの生成とダウンロード

  7. 「続行」をクリックします。

    ダウンロードされたCSR

  8. この時点で、新しいブラウザ・ウィンドウまたは新しいタブを開き、最初のEntrust KeyControlノードにログインする必要があります。

    ノードをクラスタに追加

  9. 最初のEntrust KeyControlノードにログインしたら、トップ・メニューで「クラスタ」をクリックします。次に、「アクション」をクリックして、「ノードの追加」を選択します。

    ノードの追加

  10. 「ファイルのロード」をクリックし、ステップ6から.csr.pemファイルを選択します。次に、12文字以上のパスフレーズを入力します。このパスフレーズはステップ13で必要になります。

    • 「バンドルの保存およびダウンロード」をクリックします。zipファイルは Downloadsディレクトリに保存されます。zipファイルには、.p12形式の暗号化SSL証明書と.pem形式のCA証明書の両方が含まれています。

      CSRのロード

  11. 「OK」をクリックし、2番目のノードのブラウザ・ウィンドウまたはブラウザ・タブに戻って、クラスタへの追加処理中です。

    最初のノードに切替え

  12. 「続行」をクリックします。

    「続行」をクリックします。

  13. 「ノード」ページで、次の手順を実行します。

    • 「SSL証明書のアップロード」で、「ファイルのロード」をクリックし、暗号化されたSSL証明書を選択します。SSL証明書は、.pem拡張子を持たないファイルです。

    • 「CA証明書のアップロード」で、「ファイルのロード」をクリックし、CA証明書を選択します。これは、.pemファイル拡張子(cacert.pem)を持つファイルです。

    • ステップ9で作成したパスフレーズを入力します。

    • 「結合」をクリックします。

      証明書のアップロード

  14. 結合の進行状況には、クラスタへのノードの結合に必要なステップが表示されます。2番目のノードは、このプロセス中に再起動されます。

    クラスタ結合の進行状況

  15. ノードが正常に再起動したら、「ログイン」をクリックして、新しく結合されたノードにログインします。最初のEntrust KeyControlノードの構成中に作成した新しいパスワードを使用します。

    ノードの追加に成功しました

ノート: 2番目のノードにログインすると、上部メニューの「クラスタ」ボタンに、緑色の背景を持つ番号2が表示されていることがわかります。「クラスタ」をクリックして、クラスタ内のすべてのノードを表示します。

2ノードのEntrust KeyControl KMSクラスタが正常に作成されました。

承認

著者 - Eran Maor (Principal Cloud Solution Architect)

その他の学習リソース

他のラボをdocs.oracle.com/learnで探すか、Oracle Learning YouTubeチャネルでより無料の学習コンテンツにアクセスします。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品のドキュメントは、Oracle Help Centerを参照してください。