ノート:
- このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときは、これらの値をクラウド環境に固有の値に置き換えます。
Oracle Cloud VMwareソリューションを使用したEntrust KeyControl 5.4の構成
イントロダクション
このチュートリアルでは、Oracle Cloud VMwareソリューション・ソフトウェア定義のデータ・センター(SDDC)クラスタを使用してEntrust KeyControl 5.4ソリューションをデプロイおよび構成する方法の運用概要を示します。このチュートリアルの焦点は、Oracle Cloud VMwareソリューションでEntrust KeyControlを使用するために必要なデプロイ、構成オプション、および方法のステップを説明することです。
OracleおよびVMwareは、Oracle Cloud VMwareソリューションと呼ばれる完全に認定され、サポートされているSDDCソリューションを開発しました。このソリューションは、Oracle Cloud Infrastructure (OCI)を使用して可用性の高いVMware SDDCをホストします。また、オンプレミスのVMware SDDCワークロードをOCIにシームレスに移行することもできます。
ワークロードの暗号化は、データが誤った操作であっても、企業がデータを確実に保護するのに役立ちます。ワークロード暗号化の課題の1つは、異なるプラットフォームでホストされることがあるワークロードに対して数万の暗号化キーの管理を拡張することです。
EntrustについてKeyControl
Entrust KeyControlを使用すると、企業はローテーションと共有される頻度も含め、すべての暗号化キーを安全かつ大規模に管理できます。Entrust KeyControl機能には、次のものがあります。
- VMware認定のKey Management Server(KMS):
- VMware vSphere 6.5、6.7、および7.0
- VMware vSphere Trust Authority 7.0
- キー管理相互運用性プロトコル(KMIP)互換暗号化エージェントのユニバーサル・キー管理
- エンタープライズ・スケーラビリティとパフォーマンス
- アクティブ/アクティブの高可用性クラスタで実行可能
- FIPS 140- 2レベル1の検証
- nShield®FIPS 140- 2レベル3 HSMとシームレスに統合し、高レベルの保証を実現
- ワークロードのライフサイクル全体の暗号化とポリシーベースのキー管理、ロールベースのアクセス制御、および製品ワークロードに対するゼロ・ダウンタイムの暗号化
- ワークロードに対応するマルチクラウド暗号化ソリューション
前提条件
- Entrust KeyControl OVA v5.4
- VMware vSphere 6.5以上を実行するOracle Cloud VMwareソリューションの導入
- 2 vCPU、8GB RAM、Entrust KeyControlノード当たり60GBディスク
- 次のようなネットワーク・アドレス情報:
- IPアドレス(ノードごとに1つ)
- サブネット・マスク
- ゲートウェイ・アドレス
- DNSサーバー情報
- 各ノードのDNS登録ホスト名
目標
VMwareワークロード内の暗号化を使用するためのOracle Cloud VMwareソリューションでEntrust KeyControl 5.4クラスタをデプロイおよび構成します。
タスク1: 最初のEntrust KeyControlアプライアンスのデプロイ
-
Oracle Cloud VMware Solution Virtual Center Appliance (VCSA)にログインします。
-
右クリックして「OVFテンプレートのデプロイ」を選択します。
-
「ファイルのアップロード」をクリックし、Entrust KeyControl OVAを配置したディレクトリに移動し、それを選択して「開く」をクリックします。
-
「次へ」をクリックします。
-
Entrust KeyControlアプライアンスの名前を入力し、デプロイメントの場所を選択して、「次」をクリックします。
-
VMware vSphereクラスタまたはホストを選択し、「次へ」をクリックします。
-
詳細を確認し、「次へ」をクリックします。
-
ライセンス契約に同意し、「次」をクリックします。
-
リストから必要な構成を選択し、「次へ」をクリックします。
-
アプライアンスの適切なストレージおよびディスク形式を選択し、「次へ」をクリックします。
-
適切なネットワークを選択し、「Next」をクリックします。
-
必要な情報を指定し、「次」をクリックします。
-
サマリー画面を確認します。すべてが正しいことを確認したら、「終了」をクリックします。
最初のEntrust KeyControlノードが正常にデプロイされました。
タスク2: 2番目のEntrust KeyControlアプライアンスのデプロイ
ノート:
Entrust KMS HAを達成するには、2つ目のKeycontorノードをデプロイして、KMSソリューションのHA設計を構成する必要があります。タスク1と同じステップを再度実行し、2つ目のEntrust KeyControl仮想アプライアンスをデプロイしてください。
タスク3: 最初のEntrust KeyControlアプライアンスの構成
-
VMware vCenterで新しくデプロイされたEntrust KeyControlアプライアンスを見つけます。電源を入れ、それに対してコンソールを開きます。
-
アプライアンスでコマンド行インタフェース(CLI)システムコンソールアカウントユーザー htadminのパスワードを設定します。
-
[Tab]キーを使用して「OK」に移動し、[Enter]を押します。
ノート:
- このパスワードは、Entrust KeyControlシステム・コンソールへのアクセスを制御するため、ユーザーは特権付きEntrust KeyControl管理タスクを実行できます。
- 「OK」を押すと、ネットワークおよびその他のサブシステムが構成されます。これには、数分かかります。
-
設定が完了すると、ウィンドウにはアプライアンスの管理IPアドレスが表示されます。次のステップで必要になるため、管理IPアドレスをノートにとります。タブを「OK」に移動し、[Enter]を押します。
タスク4: WebGUIを使用した最初のEntrust KeyControlアプライアンスの構成
-
Webブラウザを起動し、最初のEntrust KeyControlアプライアンスの管理IPアドレスのIPアドレスまたは完全修飾ドメイン名に移動します。デフォルトのsecrootアカウントのユーザー名とパスワードを使用します。
-
「同意する」をクリックして、EULAを受け入れます。
-
これは最初のKeyControlノードであるため、「スタンドアロン・ノードとして続行」をクリックします。
-
secrootアカウントの新しいパスワードを入力し、必ずパスワードの複雑性規則に従ってください。次に、「パスワードの更新」をクリックします。
-
Eメール・アドレスおよびEメール・サーバーの関連情報を入力して、Eメールおよびメール・サーバー設定を構成し、「メール設定の更新」をクリックします。
-
「管理キーのダウンロード」ページで、テキストを読んで「ダウンロード」をクリックします。
警告: 管理キーをダウンロードして、後で使用するために安全な場所に保管する必要があります。管理キーがない場合は、後で必要に応じてアプライアンスのリカバリを実行することはできません。
-
Entrust KeyControl Vitalsの試行を実行している場合、レポートは無効にできません。そうでない場合は、購入したライセンスの適用後にVitals Reportingを無効にできます。「続行」をクリックします。
メインのWebGUIが表示されます。Entrust KeyControlクラスタの最初のノードの構成が正常に終了しました。次のステップに移動し、2番目のノードをクラスタに追加します。
タスク5: クラスタへの2番目のEntrust KeyControlアプライアンスの追加
-
VMware vCenterで2つ目のデプロイ済Entrust KeyControlアプライアンスを探します。電源を入れてから、コンソールを開きます。
- コマンド行インタフェース(CLI)システムコンソールアカウントのパスワード、アプライアンスで htadminを設定します。
- 設定が完了すると、ウィンドウにはアプライアンスの管理IPアドレスが表示されます。次のステップで必要になるため、管理IPアドレスをノートにとっておいてください。
-
Webブラウザを起動し、2番目のアプライアンスの管理IPアドレスのIPアドレスまたは完全修飾ドメイン名(FQDN)に移動します。デフォルトのsecrootアカウントのユーザー名とパスワードを使用します。
-
「同意する」をクリックして、EULAを受け入れます。
-
これは2番目のEntrust KeyControlアプライアンスであるため、「既存のクラスタに参加」をクリックします。
-
2番目のノードを構成するためのワークフローが大きく異なることがわかります。情報を確認して、「続行」をクリックします。
-
「Generate and Download CSR」をクリックします。これにより、.csr.pemファイルが Downloadsディレクトリに保存されます。このファイルはステップ10で必要になります。
-
「続行」をクリックします。
-
この時点で、新しいブラウザ・ウィンドウまたは新しいタブを開き、最初のEntrust KeyControlノードにログインする必要があります。
-
最初のEntrust KeyControlノードにログインしたら、トップ・メニューで「クラスタ」をクリックします。次に、「アクション」をクリックして、「ノードの追加」を選択します。
-
「ファイルのロード」をクリックし、ステップ6から.csr.pemファイルを選択します。次に、12文字以上のパスフレーズを入力します。このパスフレーズはステップ13で必要になります。
-
「バンドルの保存およびダウンロード」をクリックします。zipファイルは Downloadsディレクトリに保存されます。zipファイルには、.p12形式の暗号化SSL証明書と.pem形式のCA証明書の両方が含まれています。
-
-
「OK」をクリックし、2番目のノードのブラウザ・ウィンドウまたはブラウザ・タブに戻って、クラスタへの追加処理中です。
-
「続行」をクリックします。
-
「ノード」ページで、次の手順を実行します。
-
「SSL証明書のアップロード」で、「ファイルのロード」をクリックし、暗号化されたSSL証明書を選択します。SSL証明書は、.pem拡張子を持たないファイルです。
-
「CA証明書のアップロード」で、「ファイルのロード」をクリックし、CA証明書を選択します。これは、.pemファイル拡張子(cacert.pem)を持つファイルです。
-
ステップ9で作成したパスフレーズを入力します。
-
「結合」をクリックします。
-
-
結合の進行状況には、クラスタへのノードの結合に必要なステップが表示されます。2番目のノードは、このプロセス中に再起動されます。
-
ノードが正常に再起動したら、「ログイン」をクリックして、新しく結合されたノードにログインします。最初のEntrust KeyControlノードの構成中に作成した新しいパスワードを使用します。
ノート: 2番目のノードにログインすると、上部メニューの「クラスタ」ボタンに、緑色の背景を持つ番号2が表示されていることがわかります。「クラスタ」をクリックして、クラスタ内のすべてのノードを表示します。
2ノードのEntrust KeyControl KMSクラスタが正常に作成されました。
関連リンク
- Oracle Cloud VMwareソリューション
- Oracle Cloud VMwareソリューションの導入
- VMware vSphere信頼権限
- Entrust KeyControl機能
- Entrust KeyControl OVA v5.4トライアル
- Entrust KeyControl YouTubeプレイリスト
承認
著者 - Eran Maor (Principal Cloud Solution Architect)
その他の学習リソース
他のラボをdocs.oracle.com/learnで探すか、Oracle Learning YouTubeチャネルでより無料の学習コンテンツにアクセスします。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。
製品のドキュメントは、Oracle Help Centerを参照してください。
Configure Entrust KeyControl 5.4 with Oracle Cloud VMware Solution
F58701-01
June 2022
Copyright © 2022, Oracle and/or its affiliates.