Hitachi

Hitachi Advanced Data Binder システム構築・運用ガイド


13.8 HADB暗号鍵を更新する場合

HADB暗号鍵は,1年を目安に定期的に更新することを推奨します。同じHADB暗号鍵を長期間使い続けると,攻撃者などに暗号の解読時間を与えてしまうおそれがあります。HADB暗号鍵の更新手順を次に示します。

手順

  1. データベースのバックアップを取得する

    HADB暗号鍵の更新に失敗した場合に備えて,データベースのバックアップを取得してください。

    バックアップの取得方法については,「13.6 バックアップを取得する場合」を参照してください。

  2. HADB暗号鍵を新規に作成する

    暗号管理権限を持っているHADBユーザでadbmkdmkコマンドを実行し,HADB暗号鍵を新規に作成してください。

    adbmkdmk -u CADMIN -p CADMINPSW /HADB/.crypto/adb_v2_dmkey

    -uオプションには暗号管理権限を持っているHADBユーザの認可識別子を指定し,-pオプションにはパスワードを指定します。

    また,HADB暗号鍵の出力先ファイル(この例では/HADB/.crypto/adb_v2_dmkey)を指定します。

    重要

    adbmkdmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。新規に作成するHADB暗号鍵のHADB暗号鍵利用パスワードを新たに設定してください。

  3. HADBサーバの稼働モードをメンテナンスモードに変更する

    adbchgsrvmode --maintenance

    HADB暗号鍵の更新処理はデータベースへのアクセスに影響を及ぼすため,HADBサーバの稼働モードを上記のコマンドを実行してメンテナンスモードに変更します。

  4. HADB暗号鍵を更新する

    暗号管理権限を持っているHADBユーザでadbupddmkコマンドを実行し,HADB暗号鍵を更新してください。

    adbupddmk -u CADMIN -p CADMINPSW           ...[a]
              /HADB/.crypto/adb_dmkey          ...[b]
              /HADB/.crypto/adb_v2_dmkey       ...[c]
    1. 暗号管理権限を持っているHADBユーザの認可識別子とパスワードを指定します。

    2. 使用中のHADB暗号鍵ファイルを絶対パスで指定します。

    3. 2.で新規に作成したHADB暗号鍵ファイルを絶対パスで指定します。

    重要

    adbupddmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。使用中のHADB暗号鍵利用パスワードを入力してください。

    そのあと,KFAA90013-Qメッセージが再度出力されます。2.で新たに設定したHADB暗号鍵利用パスワードを入力してください。

    メモ

    adbupddmkコマンドとほかのコマンドを同時に実行することはできません。

  5. サーバ定義を変更する

    サーバ定義のadb_crypto_dmkey_pathオペランドに指定しているHADB暗号鍵ファイルのパスを,更新後のHADB暗号鍵ファイルのパス(/HADB/.crypto/adb_v2_dmkey)に変更してください。

    set adb_crypto_dmkey_path = /HADB/.crypto/adb_v2_dmkey

    このオペランドの指定を変更したあとに,HADBサーバを再起動する必要はありません。

  6. HADBサーバの稼働モードを元に戻す

    adbchgsrvmode --normal

    上記は,HADBサーバの稼働モードを通常モードに変更する例です。

重要

HADB暗号鍵ファイルのパーミッションは変更しないでください。adbmkdmkコマンドでHADB暗号鍵を作成した場合,HADB暗号鍵ファイルのパーミッションはHADB管理者に対してだけ読み取り権限が設定されています。HADB暗号鍵ファイルのパーミッションを変更すると,HADB暗号鍵の漏えいリスクが高まり,機密情報の漏えいにつながるおそれがあります。

マルチノード機能の使用時にHADB暗号鍵を更新する場合は,「18.30.4 HADB暗号鍵を更新する場合」を参照してください。