PKCS #11 鍵ストア 構成ファイルの作成

Db2® ネイティブ暗号化を使用する中央 PKCS #11 鍵ストア にマスター鍵を保管するには、 PKCS #11 鍵ストアに関する詳細を含む構成ファイルを作成する必要があります。

このタスクについて

プロシージャー

Db2 サーバーで、テキスト・エディターを使用して PKCS #11 鍵ストア 構成ファイルを作成します。
VERSION=1
PRODUCT_NAME=Luna
ALLOW_KEY_INSERT_WITHOUT_KEYSTORE_BACKUP=true
LIBRARY=/usr/safenet/lunaclient/luna6.1/lib/libCryptoki2_64.so
SLOT_LABEL=DB2Partition
NEW_OBJECT_TYPE=PRIVATE
KEYSTORE_STASH=/home/userName/sqllib/security/pkcs11_pw.sth
キーワード
バージョン
必須。 構成ファイルのバージョン。 現在、サポートされる値は 1 のみです。
PRODUCT_NAME
オプション。 この値を使用して、PKCS #11 API 呼び出しによって返される製品情報から決定される PKCS #11 鍵ストア ・タイプをオーバーライドします。 以下の値がサポートされます。
  • SafeNet (元は Luna) ハードウェア・セキュリティー・モジュール (HSM) の場合は Luna
  • nCipher for Entrust nShield HSM (Thales は後方互換性のためにサポートされています)
  • PKCS #11 をサポートするその他の鍵マネージャーの場合は Other
ALLOW_KEY_INSERT_WITHOUT_KEYSTORE_BACKUP
オプション。 セントラル鍵マネージャーに新しい鍵を挿入することをデータベース・マネージャーに許可します。 指定された既存のマスター鍵ラベルを使用せずに CREATE DATABASE ENCRYPT または ADMIN_ROTATE_MASTER_KEY コマンドが実行されたとき、またはマイグレーション・ツール db2p12tokmip が実行されたときに、新しい鍵が挿入されます。 このパラメーターを TRUE に設定すると、新しい鍵を挿入できるようになります。FALSE に設定した場合、データベース・マネージャーが新しい鍵を挿入しようとすると、エラーが返されます。 これを TRUE に設定する必要があるのは、セントラル鍵マネージャー内でマスター鍵を作成せず、新しく挿入される鍵のためのセントラル鍵マネージャーの自動バックアップ・ソリューションがある場合のみです。 db2p12tokmip コマンドを使用して鍵をマイグレーションする場合は、このパラメーターを TRUE に設定する必要があります。 このツールが完了した後、FALSE に変更できます。 デフォルト値: FALSE
LIBRARY
必須。 セントラル PKCS #11 鍵ストア のベンダー提供共有ライブラリーの絶対パスと名前 (拡張子を含む)。 フォーマットは、以下のようにプラットフォームに応じて異なります。
AIX® または Linux®:
/usr/safenet/lunaclient/luna6.1/lib/libCryptoki2_64.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
Windows:
C:\safenet\lunaclient\luna6.1\lib\libCryptoki2_64.dll
C:\nfast\toolkits\pkcs11\libcknfast.dll
SLOT_LABEL
オプション。 ラベルにより HSM 内のスロットを識別します。 ラベルとは、アプリケーションによって定義される名前のことで、トークンの初期化時に割り当てられます。 指定する場合、値は 1 文字から 32 文字までの長さにしなければなりません。 SLOT_ID を指定した場合は、このパラメーターを指定できません。
SLOT_ID
オプション。 ID により HSM 内のスロットを識別します。 整数値でなければなりません。 SLOT_LABEL を指定した場合は、このパラメーターを指定できません。
NEW_OBJECT_TYPE
オプション。 PKCS #11 鍵ストア で生成された新規マスター鍵を秘密オブジェクトとして作成するか、公開オブジェクトとして作成するかを定義します。 デフォルト値は PRIVATEです。 以下の値がサポートされています。
  • 秘密オブジェクトを表す PRIVATE
  • 公開オブジェクトを表す PUBLIC
KEYSTORE_STASH
オプション。 PKCS #11 鍵ストア ・パスワードを保持する stash ファイルの絶対パスと名前。 インスタンスは、stash ファイルを使用して PKCS #11 鍵ストアに対する認証を行います。
注: Db2 11.5.7.0以降、以下の構成オプションを使用できます。
RETRY_ERROR_TYPE (再試行エラー・タイプ)
オプション。 PKCS #11 鍵ストアを開こうとしたときにエラーが発生した場合、このパラメーターは、エラーのタイプに応じて Db2 が操作を再試行するかどうかを制御します。 デフォルトの動作では、鍵ストアが予期しないエラーを返した場合、構成されたスロットが見つからなかった場合、またはスロットが見つからなかった場合に再試行します。 以下の値がサポートされます。
  • UNEXPECTED_AND_NO_SLOTS: 鍵ストアで予期しないエラーが発生した場合、構成済みスロットが見つからなかった場合、またはスロットが見つからなかった場合は再試行してください。
  • UNEXPECTED: 鍵ストアで予期しないエラーが発生した場合は再試行してください。
  • NO_SLOTS: 構成されたスロットが見つからなかった場合、またはスロットが見つからなかった場合は再試行してください。
  • ANY: PKCS #11 鍵ストアのオープン中にエラーが発生した場合は再試行してください。
  • NONE: PKCS #11 鍵ストアのオープン中にエラーが発生した場合は、再試行しないでください。
COMMUNICATION_ERROR_RETRY_TIME
オプション。 PKCS #11 鍵ストアを開こうとしてエラーが発生した場合に Db2 が再試行する回数を制御します。 デフォルトの動作では、1 回再試行します。 この値を 0 に設定すると、鍵ストアを開こうとしたときにエラーが発生した場合に、 Db2 が再試行を試行しなくなります。
ALL_SERVER_UNAVAILABLE_SLEEP
オプション。 エラーが発生した場合に Db2 が PKCS #11 鍵ストア のオープンを再試行するまでの待機時間をミリ秒単位で制御します。 デフォルトの動作では、即時に再試行します。

次の作業

HSM 資格情報を stash ファイルに保管することを選択した場合は、 stash ファイルを作成します