Oracle TDE mit AWS CloudHSM: Konfiguration der Datenbank und Generierung des Master-Verschlüsselungsschlüssels - AWS CloudHSM
Aktualisieren der Oracle Database-KonfigurationGenerieren des Oracle TDE-Master-Verschlüsselungsschlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Oracle TDE mit AWS CloudHSM: Konfiguration der Datenbank und Generierung des Master-Verschlüsselungsschlüssels

Informationen zur Integration von Oracle TDE in Ihren AWS CloudHSM Cluster finden Sie in den folgenden Themen:

  1. Aktualisieren der Oracle Database-Konfiguration für die Nutzung der HSMs in Ihrem Cluster als externes Sicherheitsmodul. Weitere Informationen zu externen Sicherheitsmodulen finden Sie unter Introduction to Transparent Data Encryption im Oracle Database Advanced Security Guide.

  2. Generieren des Oracle TDE-Master-Verschlüsselungsschlüssels auf den HSMs in Ihrem Cluster.

Aktualisieren der Oracle Database-Konfiguration

Um die Oracle Database-Konfiguration zu aktualisieren, um ein HSM in Ihrem Cluster als externes Sicherheitsmodul zu verwenden, führen Sie die folgenden Schritte aus. Weitere Informationen zu externen Sicherheitsmodulen finden Sie unter Introduction to Transparent Data Encryption im Oracle Database Advanced Security Guide.

So aktualisieren Sie die Oracle-Konfiguration

  1. Stellen Sie eine Verbindung zu Ihrer Amazon-EC2-Client-Instance her. Dies ist die Instance, in der Sie Oracle Database installiert haben.

  2. Erstellen Sie eine Sicherungskopie der Datei sqlnet.ora. Informationen zum Speicherort dieser Datei finden Sie in der Oracle-Dokumentation.

  3. Verwenden Sie einen Texteditor, um die Daten namens sqlnet.ora zu bearbeiten. Fügen Sie die folgende Zeile zu. Wenn eine Zeile in der Datei mit encryption_wallet_location beginnt, ersetzen Sie diese durch die folgende.

    encryption_wallet_location=(source=(method=hsm))

    Speichern Sie die Datei.

  4. Führen Sie den folgenden Befehl aus, um das Verzeichnis zu erstellen, in dem Oracle Database erwartet, die Bibliotheksdatei für die AWS CloudHSM PKCS #11 -Softwarebibliothek zu finden. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Führen Sie den folgenden Befehl aus, um die AWS CloudHSM Softwarebibliothek für die PKCS #11 -Datei in das Verzeichnis zu kopieren, das Sie im vorherigen Schritt erstellt haben. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    Anmerkung

    Das Verzeichnis /opt/oracle/extapi/64/hsm darf nur eine Bibliotheksdatei enthalten. Entfernen Sie alle anderen Dateien, die in diesem Verzeichnis vorhanden sind.

  6. Führen Sie den folgenden Befehl aus, um den Eigentümer des Verzeichnisses /opt/oracle und alle darin enthaltenen Daten zu ändern.

    sudo chown -R oracle:dba /opt/oracle

  7. Starten Sie Oracle Database.

Generieren des Oracle TDE-Master-Verschlüsselungsschlüssels

Führen Sie zum Generieren des Oracle TDE-Masterschlüssels auf den HSMs Ihres Clusters die folgenden Schritte aus.

So generieren Sie den Masterschlüssel

  1. Verwenden Sie den folgenden Befehl, um Oracle SQL*Plus zu öffnen. Geben Sie, wenn Sie dazu aufgefordert werden, das Systempasswort ein, das Sie beim Installieren von Oracle Database festgelegt haben. 

    sqlplus / as sysdba
    Anmerkung

    Für Client-SDK 3 müssen Sie die CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE-Umgebungsvariable jedes Mal setzen, wenn Sie einen Hauptschlüssel erzeugen. Diese Variable wird nur für die Generierung des Masterschlüssels benötigt. Weitere Informationen finden Sie unter „Problem: Oracle legt das PCS #11-Attribut CKA_MODIFIABLE bei der Generierung des Masterschlüssels fest, aber das HSM unterstützt es nicht“ unter Bekannte Probleme für die Integration von Drittanbieteranwendungen.

  2. Führen Sie die SQL-Anweisung aus, die den Master-Verschlüsselungsschlüssel erstellt, wie in den folgenden Beispielen gezeigt. Verwenden Sie die Anweisung, die Ihrer Version von Oracle Database entspricht. Ersetzen Sie <CU user name> durch den Benutzernamen des Crypto-Benutzers (CU). Ersetzen Sie <password> durch das CU-Passwort.

    Wichtig

    Führen Sie einmalig den folgenden Befehl aus. Jedes Mal, wenn der Befehl ausgeführt wird, wird ein neuer Master-Verschlüsselungsschlüssel erstellt.

    • Führen Sie für Oracle Database, Version 11, die folgende SQL-Anweisung aus.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Für Oracle Database Version 12 und Version 19c führen Sie die folgende SQL-Anweisung aus.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Wenn die Antwort System altered oder keystore altered ist, haben Sie den Masterschlüssel für Oracle TDE erfolgreich generiert und festgelegt.

  3. (Optional) Führen Sie den folgenden Befehl aus, um den Status von Oracle Wallet zu verifizieren.

    SQL> select * from v$encryption_wallet;

    Ist das Wallet nicht geöffnet, öffnen Sie es mit einem der folgenden Befehle. Ersetzen Sie <CU user name> durch den Namen des Crypto-Benutzers (CU). Ersetzen Sie <password> durch das CU-Passwort.

    • Führen Sie für Oracle 11 zum Öffnen des Wallet den folgenden Befehl aus.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Führen Sie zum manuellen Schließen des Wallet den folgenden Befehl aus.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Bei Oracle 12 und Oracle 19c führen Sie den folgenden Befehl aus, um die Brieftasche zu öffnen.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Führen Sie zum manuellen Schließen des Wallet den folgenden Befehl aus.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";