KMIP 鍵ストア構成ファイルの作成

ネイティブ暗号 Db2® 化を使用してマスターキーをKMIP経由で集中管理型キーストアに保存するには、キーストアの詳細を記載した設定ファイルを作成する必要があります。

プロシージャー

Db2 サーバーで、テキスト・エディターを使用して KMIP 鍵ストア構成ファイルを作成します。

VERSION=1
PRODUCT_NAME=ISKLM
ALLOW_KEY_INSERT_WITHOUT_KEYSTORE_BACKUP=true
SSL_KEYDB=/home/userName/sqllib/security/keydb.p12
SSL_KEYDB_STASH=/home/userName/sqllib/security/keydb.sth
SSL_KMIP_CLIENT_CERTIFICATE_LABEL=db2_client_label
PRIMARY_SERVER_HOST=serverName.domainName
PRIMARY_SERVER_KMIP_PORT=kmipPortNumber
CLONE_SERVER_HOST=clone1.domainName
CLONE_SERVER_KMIP_PORT=kmipPortNumber
CLONE_SERVER_HOST=clone2.domainName
CLONE_SERVER_KMIP_PORT=kmipPortNumber
キーワード
バージョン
必須。 構成ファイルのバージョン。 現在、サポートされる値は 1 のみです。
PRODUCT_NAME
必須。 鍵マネージャー製品。 サポートされる値は、以下のとおりです。
  • IBM®Security Key Lifecycle Manager 向け ISKLM
  • SafeNet KeySecure の場合は KEYSECURE
  • Key Management Interoperability Protocol (KMIP) バージョン 1.1 以降をサポートするその他の鍵マネージャーの場合は OTHER
ALLOW_KEY_INSERT_WITHOUT_KEYSTORE_BACKUP
オプション:データベース管理者がKMIPキー・マネージャーに新しいキーを挿入できるようにする。 指定された既存のマスター鍵ラベルを使用せずに CREATE DATABASE ENCRYPT または ADMIN_ROTATE_MASTER_KEY コマンドが実行されたとき、またはマイグレーション・ツール db2p12tokmip が実行されたときに、新しい鍵が挿入されます。 このパラメーターを TRUE に設定すると、新しい鍵を挿入できるようになります。FALSE に設定した場合、データベース・マネージャーが新しい鍵を挿入しようとすると、エラーが返されます。 この設定をTRUEにするのは、KMIPキー・マネージャ内でマスターキーを作成せず、新たに挿入されたキーのKMIPキー・マネージャの自動バックアップ・ソリューションを用意している場合のみにしてください。 db2p12tokmip コマンドを使用してキーを移行する場合は、このパラメータをTRUE に設定する必要があります。 このツールが完了した後、FALSE に変更できます。 デフォルト値: FALSE
ALLOW_NONCRITICAL_BASIC_CONSTRAINT
オプション。 パラメータをTRUEに設定すると、 Db2は 「critical」キーワードが設定されていないKMIPサーバー内のローカル認証局を使用できるようになり、GSKitによって返される「414」エラーを回避できます。 このパラメーターは、 Db2 V11.1.2.2 で導入されました。 デフォルト値: FALSE. 1
パラメータタイプ:オプション
サポートされる値:TRUE、FALSE
デフォルト値: false
パラメータをTRUEに設定すると Db2は KMIPサーバー内のローカル認証局を使用できるようになり、GSKitによって返される414エラーを回避できます。
SSL_KMIP_CLIENT_HOSTNAME_VALIDATION
パラメータタイプ:オプション。
サポートされる値:BASIC、OFF。
初期値:OFF。
この値をBASICに設定すると Db2は TLS接続を確立する際に、KMIPサーバーが使用する証明書にKMIPサーバーのホスト名が含まれていることを検証します。 このホスト名は、MASTER_SERVER_HOST または CLONE_SERVER_HOST パラメータのいずれかから取得されます。 検証ルールは、証明書のコモン・ネームまたはサブジェクト代替名(SAN)フィールドのホスト名を検証するための RFC 6125 に従う。 該当する証明書の作成方法を判別するには、KMIP サーバーの製品資料を参照する必要があります。 TLS ホスト名検証の詳細については、 Db2 11.5.6 クライアントのホスト名検証」を参照してください。 この値をOFFに設定すると Db2はホスト名を検証しません。
  • パラメータタイプ:オプション。
  • サポートされる値:BASIC、OFF。
  • 初期値:OFF

この値をBASICに設定すると Db2は TLS接続を確立する際に、KMIPサーバーが使用する証明書にKMIPサーバーのホスト名が含まれていることを検証します。 このホスト名は、MASTER_SERVER_HOST パラメーターまたは CLONE_SERVER_HOST パラメーターのいずれかから入手されます。 検証ルールは、証明書のコモン・ネームまたはサブジェクト代替名(SAN)フィールドのホスト名を検証するための RFC 6125 に従う。 該当する証明書の作成方法を判別するには、KMIP サーバーの製品資料を参照する必要があります。 TLS ホスト名検証の詳細については、 Db2 11.5.6 クライアントのホスト名検証」 を参照してください。 この値をOFFに設定すると Db2はホスト名を検証しません。

SSL_KEYDB
必須。 Db2 とKMIPキー・マネージャ間の通信に使用されるTLS証明書を保持するローカル・キーストア・ファイルの絶対パスとファイル名。
SSL_KEYDB_STASH
オプション。 Db2 とKMIPキー・マネージャ間の通信に使用するTLS証明書を保持するローカル・キーストアのスタッシュ・ファイルの絶対パスとファイル名。 デフォルト値: なし。
SSL_KMIP_CLIENT_CERTIFICATE_LABEL
必須。 KMIP キー・マネージャとの通信中にクライアントを認証するための TLS 証明書のラベル。
SSL_KMIP_CLIENT_HOSTNAME_VALIDATION
この値をBASICに設定すると Db2は TLS接続を確立する際に、KMIPサーバーが使用する証明書にKMIPサーバーのホスト名が含まれていることを検証します。 このホスト名は、MASTER_SERVER_HOST パラメーターまたは CLONE_SERVER_HOST パラメーターのいずれかから入手されます。 証明書の共通名またはサブジェクトの別名(SAN)フィールド内のホスト名の検証ルールは 、RFC 6125 に従う。 該当する証明書の作成方法を判別するには、KMIP サーバーの製品資料を参照する必要があります。 TLS ホスト名検証の詳細については、 Db2 11.5.6 クライアントのホスト名検証」 を参照してください。 この値をOFFに設定すると Db2はホスト名を検証しません。 初期値 :OFF
DEVICE_GROUP
Db2 サーバーによって使用される鍵を含む KMIP 鍵マネージャー・デバイス・グループの名前。 このパラメーターは、 IBM Security Key Lifecycle Manager (ISKLM) にのみ必要です。
プライマリサーバーホスト
必須。 KMIP 鍵マネージャーのホスト名または IP アドレス。 (ISKLM の場合、この情報は Web コンソールの「ようこそ」タブから入手できます。)
プライマリ・サーバー・ポート
必須。 KMIP キー・マネージャの「KMIP TLS ポート」。 (ISKLM の場合、この情報は Web コンソールの「ようこそ」タブから入手できます。)
注: KMIP構成ファイルのパラメータ MASTER_SERVER_HOSTMASTER_SERVER_KMIP_PORT は現在も受け付けられていますが、非推奨となっています。 代わりに、 PRIMARY_SERVER_HOST および PRIMARY_SERVER_KMIP_PORT を使用してください。
CLONE_SERVER_HOST
オプション。 2 次 KMIP 鍵ストアのホスト名または IP アドレス。 デフォルト値: なし。 構成ファイル内で CLONE_SERVER_HOST パラメーターと CLONE_SERVER_KMIP_PORT パラメーターのペアを繰り返し、各ホストに異なる値を指定することによって、最大 5 つのクローン・サーバーを指定できます。 クローン・サーバーは読み取り専用と見なされ、KMIP 鍵ストアから既存のマスター鍵を取得するためにのみ使用されます。 CREATE DATABASE ENCRYPT または ADMIN_ROTATE_MASTER_KEY コマンド、あるいは db2p12tokmip 実行可能ファイルで既存のマスター鍵ラベルが指定されていない場合に行われる新しい鍵の挿入では、クローン・サーバーは使用されません。
CLONE_SERVER_KMIP_PORT
オプション。 セカンダリKMIPキーストアの「 KMIP TLSポート 」。 デフォルト値: なし。 構成ファイル内で CLONE_SERVER_HOST パラメーターと CLONE_SERVER_KMIP_PORT パラメーターのペアを繰り返し、各ホストに異なる値を指定することによって、最大 5 つのクローン・サーバーを指定できます。
COMMUNICATION_ERROR_RETRY_TIME
オプション。 接続が失敗した場合、またはすべての KMIP 鍵マネージャーからエラーが返された場合に、 Db2 データベース・マネージャーが構成済みのマスター KMIP 鍵マネージャーとクローン KMIP 鍵マネージャーのリストを循環する回数。 ALL_SERVER_UNAVAILABLE_SLEEP パラメーターで指定した長さの待機時間が各循環の前に挿入されます。 デフォルト値: 50。
UNAVAILABLE_SERVER_BLACKOUT_PERIOD
オプション。 接続の試行が失敗した後、またはエラーが返された後で、特定のマスターまたはクローン KMIP 鍵マネージャーへの鍵要求の送信をスキップする時間 (秒)。 このパラメーターは、 Db2 V11.1.2.2 で導入されました。 デフォルト値: 300 秒。
(オプション) ALL_SERVER_UNAVAILABLE_SLEEP
すべてのマスター KMIP 鍵マネージャーおよびクローン KMIP 鍵マネージャーが使用不可で、ブラックアウト期間中である場合、このパラメーターは、ブラックアウト期間を削除してすべての KMIP 鍵マネージャーへの接続を再試行するまでの待機時間 (秒) です。 このパラメーターは、 Db2 V11.1.2.2 で導入されました。 デフォルト値: 0 秒。
(オプション) TLSVERSION
KMIP 鍵マネージャーに接続するときに使用する TLS バージョンを示します。
許可された値は以下の通りです
  • TLSV12
  • TLSV13
TLSVERSION キーワードが設定されていない場合、デフォルトの動作では TLS 1.2 と TLS 1.3 の両方が有効になります。
注: TLSVERSION パラメータのサポートは、 Db2 11.5.8 以降のバージョンで利用できます。
1 エラー SQL1782N がGSKitレイヤーによって返されます(エラー DIA3604E: TLS 関数「 gsk_secure_soc_init " は戻りコード "414" で失敗しました " sqlccSSLSocketSetup認証局 (CA) によって発行された証明書の基本制約拡張に「critical」キーワードがアサートされていない場合、 db2diag.log に「」というエラー メッセージが表示されます。 「 gsk8capicmd_64 -cert -details -db <filename> -stashed -label <localCALabel> 」コマンドを使用すると、CAの基本的な制約を確認し、キーワード「critical」がアサートされているかどうかを確認することができます。 ローカル CA で、キーワード「critical」が設定されていない可能性があります。