Hitachi

Hitachi Advanced Data Binder システム構築・運用ガイド


18.30.4 HADB暗号鍵を更新する場合

HADB暗号鍵の更新手順を次に示します。

手順

  1. データベースのバックアップを取得する

    HADB暗号鍵の更新に失敗した場合に備えて,データベースのバックアップを取得します。

    バックアップの取得方法については,「13.6 バックアップを取得する場合」を参照してください。

  2. HADB暗号鍵を作成する

    暗号管理権限を持っているHADBユーザでadbmkdmkコマンドを実行し,HADB暗号鍵を作成します。

    adbmkdmkコマンドは,プライマリノードで実行してください。

    adbmkdmk -u CADMIN -p CADMINPSW /HADB/.crypto/adb_v2_dmkey

    -uオプションには暗号管理権限を持っているHADBユーザの認可識別子を指定し,-pオプションにはパスワードを指定します。

    また,HADB暗号鍵の出力先ファイル(この例では/HADB/.crypto/adb_v2_dmkey)を指定します。

    重要

    adbmkdmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。作成するHADB暗号鍵のHADB暗号鍵利用パスワードを新たに設定してください。

  3. HADBサーバの稼働モードをメンテナンスモードに変更する

    adbchgsrvmodeコマンドは,プライマリノードで実行してください。

    adbchgsrvmode --maintenance

    HADB暗号鍵の更新処理はデータベースへのアクセスに影響を及ぼすため,HADBサーバの稼働モードを上記のコマンドを実行してメンテナンスモードに変更します。

  4. セカンダリノードおよびワーカーノードのHADBサーバを終了する

    セカンダリノードおよびワーカーノードのHADBサーバの終了方法については,「18.5.2 マルチノード構成のHADBサーバの終了方法」の「(2) 特定のノードのHADBサーバの終了手順」を参照してください。

  5. HADB暗号鍵を更新する

    暗号管理権限を持っているHADBユーザでadbupddmkコマンドを実行し,HADB暗号鍵を更新します。

    adbupddmkコマンドは,プライマリノードで実行してください。

    adbupddmk -u CADMIN -p CADMINPSW           ...[a]
              /HADB/.crypto/adb_dmkey          ...[b]
              /HADB/.crypto/adb_v2_dmkey       ...[c]
    1. 暗号管理権限を持っているHADBユーザの認可識別子とパスワードを指定します。

    2. 使用中のHADB暗号鍵ファイルを絶対パスで指定します。

    3. 2.で作成したHADB暗号鍵ファイルを絶対パスで指定します。

    重要

    adbupddmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。使用中のHADB暗号鍵利用パスワードを入力してください。

    そのあと,KFAA90013-Qメッセージが再度出力されます。2.で新たに設定したHADB暗号鍵利用パスワードを入力してください。

    メモ

    adbupddmkコマンドとほかのコマンドを同時に実行することはできません。

  6. 更新したHADB暗号鍵ファイルをセカンダリノードおよびワーカーノードに配布する

    更新したHADB暗号鍵ファイル(/HADB/.crypto/adb_v2_dmkey)をセカンダリノードおよびワーカーノードのHADB暗号鍵ファイルの保存先ディレクトリに格納してください。

    また,配布したHADB暗号鍵ファイルのパーミッションを400に設定してください。

    chmod 400 /HADB/.crypto/adb_v2_dmkey

    HADB暗号鍵ファイルの配布,およびパーミッションの設定は,HADB管理者で実行してください。

    重要

    セカンダリノードおよびワーカーノードにHADB暗号鍵が正しく配布されていない場合,セカンダリノードまたはワーカーノードでのadbstartコマンドの実行がエラーになります。

  7. 全ノードのサーバ定義を変更する

    サーバ定義のadb_crypto_dmkey_pathオペランドに指定しているHADB暗号鍵ファイルのパスを,更新後のHADB暗号鍵ファイルのパス(/HADB/.crypto/adb_v2_dmkey)に変更してください。

    set adb_crypto_dmkey_path = /HADB/.crypto/adb_v2_dmkey
  8. セカンダリノードおよびワーカーノードのHADBサーバを開始する

    4.でセカンダリノードのHADBサーバを終了した場合は,セカンダリノードのHADBサーバを開始してセカンダリノードをマルチノード構成に復帰させてください。マルチノード構成への復帰手順については,「18.16.3 マルチノード構成へのノードの復帰」を参照してください。

    4.でワーカーノードのHADBサーバを終了した場合は,ワーカーノードのHADBサーバを開始してワーカーノードをマルチノード構成に追加してください。マルチノード構成への追加手順については,「18.18.3 マルチノード構成から削除されたワーカーノードを再度追加する手順」を参照してください。

  9. HADBサーバの稼働モードを元に戻す

    adbchgsrvmodeコマンドは,プライマリノードで実行してください。

    adbchgsrvmode --normal

    上記は,HADBサーバの稼働モードを通常モードに変更する例です。