18.30.4 HADB暗号鍵を更新する場合
HADB暗号鍵の更新手順を次に示します。
手順
-
データベースのバックアップを取得する
HADB暗号鍵の更新に失敗した場合に備えて,データベースのバックアップを取得します。
バックアップの取得方法については,「13.6 バックアップを取得する場合」を参照してください。
-
HADB暗号鍵を作成する
暗号管理権限を持っているHADBユーザでadbmkdmkコマンドを実行し,HADB暗号鍵を作成します。
adbmkdmkコマンドは,プライマリノードで実行してください。
adbmkdmk -u CADMIN -p CADMINPSW /HADB/.crypto/adb_v2_dmkey
-uオプションには暗号管理権限を持っているHADBユーザの認可識別子を指定し,-pオプションにはパスワードを指定します。
また,HADB暗号鍵の出力先ファイル(この例では/HADB/.crypto/adb_v2_dmkey)を指定します。
- 重要
-
adbmkdmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。作成するHADB暗号鍵のHADB暗号鍵利用パスワードを新たに設定してください。
-
HADBサーバの稼働モードをメンテナンスモードに変更する
adbchgsrvmodeコマンドは,プライマリノードで実行してください。
adbchgsrvmode --maintenance
HADB暗号鍵の更新処理はデータベースへのアクセスに影響を及ぼすため,HADBサーバの稼働モードを上記のコマンドを実行してメンテナンスモードに変更します。
-
セカンダリノードおよびワーカーノードのHADBサーバを終了する
セカンダリノードおよびワーカーノードのHADBサーバの終了方法については,「18.5.2 マルチノード構成のHADBサーバの終了方法」の「(2) 特定のノードのHADBサーバの終了手順」を参照してください。
-
HADB暗号鍵を更新する
暗号管理権限を持っているHADBユーザでadbupddmkコマンドを実行し,HADB暗号鍵を更新します。
adbupddmkコマンドは,プライマリノードで実行してください。
adbupddmk -u CADMIN -p CADMINPSW ...[a] /HADB/.crypto/adb_dmkey ...[b] /HADB/.crypto/adb_v2_dmkey ...[c]
-
暗号管理権限を持っているHADBユーザの認可識別子とパスワードを指定します。
-
使用中のHADB暗号鍵ファイルを絶対パスで指定します。
-
2.で作成したHADB暗号鍵ファイルを絶対パスで指定します。
- 重要
-
adbupddmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。使用中のHADB暗号鍵利用パスワードを入力してください。
そのあと,KFAA90013-Qメッセージが再度出力されます。2.で新たに設定したHADB暗号鍵利用パスワードを入力してください。
- メモ
-
adbupddmkコマンドとほかのコマンドを同時に実行することはできません。
-
-
更新したHADB暗号鍵ファイルをセカンダリノードおよびワーカーノードに配布する
更新したHADB暗号鍵ファイル(/HADB/.crypto/adb_v2_dmkey)をセカンダリノードおよびワーカーノードのHADB暗号鍵ファイルの保存先ディレクトリに格納してください。
また,配布したHADB暗号鍵ファイルのパーミッションを400に設定してください。
chmod 400 /HADB/.crypto/adb_v2_dmkey
HADB暗号鍵ファイルの配布,およびパーミッションの設定は,HADB管理者で実行してください。
- 重要
-
セカンダリノードおよびワーカーノードにHADB暗号鍵が正しく配布されていない場合,セカンダリノードまたはワーカーノードでのadbstartコマンドの実行がエラーになります。
-
全ノードのサーバ定義を変更する
サーバ定義のadb_crypto_dmkey_pathオペランドに指定しているHADB暗号鍵ファイルのパスを,更新後のHADB暗号鍵ファイルのパス(/HADB/.crypto/adb_v2_dmkey)に変更してください。
set adb_crypto_dmkey_path = /HADB/.crypto/adb_v2_dmkey
-
セカンダリノードおよびワーカーノードのHADBサーバを開始する
4.でセカンダリノードのHADBサーバを終了した場合は,セカンダリノードのHADBサーバを開始してセカンダリノードをマルチノード構成に復帰させてください。マルチノード構成への復帰手順については,「18.16.3 マルチノード構成へのノードの復帰」を参照してください。
4.でワーカーノードのHADBサーバを終了した場合は,ワーカーノードのHADBサーバを開始してワーカーノードをマルチノード構成に追加してください。マルチノード構成への追加手順については,「18.18.3 マルチノード構成から削除されたワーカーノードを再度追加する手順」を参照してください。
-
HADBサーバの稼働モードを元に戻す
adbchgsrvmodeコマンドは,プライマリノードで実行してください。
adbchgsrvmode --normal
上記は,HADBサーバの稼働モードを通常モードに変更する例です。