stash ファイルの作成

PKCS #11 鍵ストア資格情報へのアクセスに関連する運用上の問題に対処するために、stash ファイルを作成します。

始める前に

PKCS #11 鍵ストア構成ファイルの作成

このタスクについて

stash ファイルには、鍵ストアのパスワードが難読化された形式で格納されます。 stash ファイルは操作の拡張に寄与します。 stash ファイルを作成すると、データベース・マネージャーは、 PKCS #11 鍵ストアにログインするために必要な資格情報にアクセスできます。 stash ファイルがない場合、以下のように、インスタンスが予定外に停止した場合に再始動するために取ることができる現実的な解決策は、最適なものではありません。

プレーン形式で資格情報を格納して、自動スクリプトでインスタンスを再始動できるようにします。しかし、プレーン形式でパスワードを格納することは、セキュリティー・ポリシーやベスト・プラクティスに違反するので、望ましくありません。
インスタンスの再始動時に、DBA が常に PKCS #11 鍵ストアのアクセス資格情報を提供できるようにします。しかし、即時応答が期待される状況において、人的介入が必要となるこの方法は、運用上の観点から実現性は低いです。

の制約事項

以下の手順は、 PKCS #11 鍵ストアで使用するためのものです。 gsk8capicmd_64 コマンドはローカル鍵ストアのみで使用するものなので、このコマンド使用してパスワードをスタッシュしようとしないでください。反対に、ローカル鍵ストアのパスワードのスタッシュには、以下の手順は使用しないでください。

プロシージャー

PKCS #11 鍵ストアに stash ファイルを作成するには、以下のようにします。

db2credman コマンドを実行して、指定されたパスワードをファイルにスタッシュします。
```
db2credman -stash -password Str0ngPassw0rd -to /home/db2inst1/keystore/pkcs11_pw.sth
```
KEYSTORE_STASH パラメーターを追加して、 PKCS #11 鍵ストア構成ファイルを更新します。
```
...
KEYSTORE_STASH=/home/db2inst1/keystore/pkcs11_pw.sth
```
db2stop コマンドを実行して、パスワードのメモリー内コピーを削除します。
OPEN KEYSTORE USING password オプションを指定せずに db2start コマンドを実行します。

結果

PKCS #11 鍵ストア・パスワードは、難読化された形式で stash ファイルに保管されるようになりました。 PKCS #11 鍵ストア・パスワードを必要とする次の操作では、stash ファイルからパスワードが読み取られます。

次の作業

現在、ローカル鍵ストアに保管されているマスター鍵で Db2 ネイティブ暗号化を使用しており、代わりに PKCS #11 鍵ストアの使用を開始する場合は、ローカル鍵ストアを PKCS #11 鍵ストアにマイグレーションします。

インスタンスの開始時に PKCS #11 鍵ストア資格情報を提供するために stash ファイルの使用を停止することにした場合は、以下の手順に従ってください。

OPEN KEYSTORE USING password オプションを指定して db2start コマンドを実行します。
KEYSTORE_STASH パラメーターを削除して、 PKCS #11 鍵ストア構成ファイルを更新します。
stash ファイルを削除して、この使用されていないファイルによるセキュリティー・リスクの可能性を排除します。

PKCS #11 鍵ストア・パスワードを必要とする次の操作では、そのパスワードがメモリーから読み取られます。