13.8 HADB暗号鍵を更新する場合
HADB暗号鍵は,1年を目安に定期的に更新することを推奨します。同じHADB暗号鍵を長期間使い続けると,攻撃者などに暗号の解読時間を与えてしまうおそれがあります。HADB暗号鍵の更新手順を次に示します。
手順
-
データベースのバックアップを取得する
HADB暗号鍵の更新に失敗した場合に備えて,データベースのバックアップを取得してください。
バックアップの取得方法については,「13.6 バックアップを取得する場合」を参照してください。
-
HADB暗号鍵を新規に作成する
暗号管理権限を持っているHADBユーザでadbmkdmkコマンドを実行し,HADB暗号鍵を新規に作成してください。
adbmkdmk -u CADMIN -p CADMINPSW /HADB/.crypto/adb_v2_dmkey
-uオプションには暗号管理権限を持っているHADBユーザの認可識別子を指定し,-pオプションにはパスワードを指定します。
また,HADB暗号鍵の出力先ファイル(この例では/HADB/.crypto/adb_v2_dmkey)を指定します。
- 重要
-
adbmkdmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。新規に作成するHADB暗号鍵のHADB暗号鍵利用パスワードを新たに設定してください。
-
HADBサーバの稼働モードをメンテナンスモードに変更する
adbchgsrvmode --maintenance
HADB暗号鍵の更新処理はデータベースへのアクセスに影響を及ぼすため,HADBサーバの稼働モードを上記のコマンドを実行してメンテナンスモードに変更します。
-
HADB暗号鍵を更新する
暗号管理権限を持っているHADBユーザでadbupddmkコマンドを実行し,HADB暗号鍵を更新してください。
adbupddmk -u CADMIN -p CADMINPSW ...[a] /HADB/.crypto/adb_dmkey ...[b] /HADB/.crypto/adb_v2_dmkey ...[c]-
暗号管理権限を持っているHADBユーザの認可識別子とパスワードを指定します。
-
使用中のHADB暗号鍵ファイルを絶対パスで指定します。
-
2.で新規に作成したHADB暗号鍵ファイルを絶対パスで指定します。
- 重要
-
adbupddmkコマンドの入力後,KFAA90013-Qメッセージが出力されます。使用中のHADB暗号鍵利用パスワードを入力してください。
そのあと,KFAA90013-Qメッセージが再度出力されます。2.で新たに設定したHADB暗号鍵利用パスワードを入力してください。
- メモ
-
adbupddmkコマンドとほかのコマンドを同時に実行することはできません。
-
-
サーバ定義を変更する
サーバ定義のadb_crypto_dmkey_pathオペランドに指定しているHADB暗号鍵ファイルのパスを,更新後のHADB暗号鍵ファイルのパス(/HADB/.crypto/adb_v2_dmkey)に変更してください。
set adb_crypto_dmkey_path = /HADB/.crypto/adb_v2_dmkeyこのオペランドの指定を変更したあとに,HADBサーバを再起動する必要はありません。
-
HADBサーバの稼働モードを元に戻す
adbchgsrvmode --normal
上記は,HADBサーバの稼働モードを通常モードに変更する例です。
- 重要
-
HADB暗号鍵ファイルのパーミッションは変更しないでください。adbmkdmkコマンドでHADB暗号鍵を作成した場合,HADB暗号鍵ファイルのパーミッションはHADB管理者に対してだけ読み取り権限が設定されています。HADB暗号鍵ファイルのパーミッションを変更すると,HADB暗号鍵の漏えいリスクが高まり,機密情報の漏えいにつながるおそれがあります。
マルチノード機能の使用時にHADB暗号鍵を更新する場合は,「18.30.4 HADB暗号鍵を更新する場合」を参照してください。