stash 파일 작성

스태쉬 파일을 작성하여 PKCS #11 키 저장소 신임 정보에 대한 액세스와 관련된 운영 문제를 해결하십시오.

시작하기 전에

PKCS #11 키 저장소 구성 파일 작성

이 타스크에 대한 정보

stash 파일은 난독화 양식에 키 저장소의 임호를 저장합니다. stash 파일은 개선된 조작에 기여합니다. 스태쉬 파일을 작성하면 데이터베이스 관리자가 PKCS #11 키 저장소에 로그인하는 데 필요한 신임 정보에 액세스할 수 있습니다. stash 파일 없이, 계획되지 않은 가동 중단 이벤트 시 즉시 인스턴스를 재시작하기 위한 유일한 실제 솔루션은 결코 이상적이지 않습니다. :

자동화된 스크립트가 인스턴스를 재시작할 수 있도록 신임 정보를 보통 양식으로 저장하십시오. 그러나, 보통 양식으로 암호를 저장하면 보안 정책 및 우수 사례를 위반하므로 바람직하지 않습니다.
인스턴스가 다시 시작될 때 DBA가 항상 PKCS #11 키 저장소 에 대한 액세스 신임 정보를 제공할 수 있도록 하십시오. 그러나, 인스턴스 응답 시간의 예상으로 사용자 개입에 의존해야 하는 것은 운영 관점에서 거의 사용할 수 없습니다.

제한사항

다음 프로시저는 PKCS #11 키 저장소에서 사용하기 위한 것입니다. 해당 명령이 로컬 키 저장소로 독점적으로 사용되므로 gsk8capicmd_64 명령을 사용하여 암호를 숨기려고 시도하지 마십시오. 반대로, 다음 프로시저를 사용하여 로컬 키 저장소에 대한 암호를 감추려고 시도하지 마십시오.

프로시저

PKCS #11 키 저장소에 스태쉬 파일을 작성하려면 다음을 수행하십시오.

db2credman 명령을 실행하여 제공된 비밀번호를 파일에 숨기십시오.
```
db2credman -stash -password Str0ngPassw0rd -to /home/db2inst1/keystore/pkcs11_pw.sth
```
KEYSTORE_STASH 매개변수를 추가하여 PKCS #11 키 저장소 구성 파일을 업데이트하십시오.
```
...
KEYSTORE_STASH=/home/db2inst1/keystore/pkcs11_pw.sth
```
db2stop 명령을 실행하여 비밀번호의 인메모리 사본을 제거하십시오.
OPEN KEYSTORE USING password 옵션 없이 db2start 명령을 실행하십시오.

결과

이제 PKCS #11 키 저장소 비밀번호가 난독화된 양식으로 스태쉬 파일에 저장됩니다. PKCS #11 키 저장소 비밀번호가 필요한 다음 조작은 스태쉬 파일에서 이를 읽습니다.

다음에 수행할 작업

현재 로컬 키 저장소에 저장된 마스터 키를 사용하여 Db2 원시 (native) 암호화를 사용 중이고 대신 PKCS #11 키 저장소 사용을 시작하려는 경우, 로컬 키 저장소를 PKCS #11 키 저장소로 마이그레이션하십시오.

인스턴스 시작 시 PKCS #11 키 저장소 신임 정보를 제공하기 위해 스태쉬 파일 사용을 중지하려면 다음 단계를 수행하십시오.

OPEN KEYSTORE USING password 옵션과 함께 db2start 명령을 실행하십시오.
KEYSTORE_STASH 매개변수를 제거하여 PKCS #11 키 저장소 구성 파일을 업데이트하십시오.
이 사용하지 않은 파일이 제시하는 잠재적인 보안 위험도 제거하기 위해 stash 파일을 삭제하십시오.

PKCS #11 키 저장소 비밀번호가 필요한 다음 조작은 메모리에서 이를 읽습니다.