stash ファイルの作成
PKCS #11 鍵ストア 資格情報へのアクセスに関連する運用上の問題に対処するために、stash ファイルを作成します。
始める前に
このタスクについて
stash ファイルには、鍵ストアのパスワードが難読化された形式で格納されます。 stash ファイルは操作の拡張に寄与します。 stash ファイルを作成すると、データベース・マネージャーは、 PKCS #11 鍵ストアにログインするために必要な資格情報にアクセスできます。 stash ファイルがない場合、以下のように、インスタンスが予定外に停止した場合に再始動するために取ることができる現実的な解決策は、最適なものではありません。
- プレーン形式で資格情報を格納して、自動スクリプトでインスタンスを再始動できるようにします。 しかし、プレーン形式でパスワードを格納することは、セキュリティー・ポリシーやベスト・プラクティスに違反するので、望ましくありません。
- インスタンスの再始動時に、DBA が常に PKCS #11 鍵ストア のアクセス資格情報を提供できるようにします。 しかし、即時応答が期待される状況において、人的介入が必要となるこの方法は、運用上の観点から実現性は低いです。
の制約事項
プロシージャー
PKCS #11 鍵ストアに stash ファイルを作成するには、以下のようにします。
結果
PKCS #11 鍵ストア ・パスワードは、難読化された形式で stash ファイルに保管されるようになりました。 PKCS #11 鍵ストア ・パスワードを必要とする次の操作では、stash ファイルからパスワードが読み取られます。
次の作業
現在、ローカル鍵ストアに保管されているマスター鍵で Db2 ネイティブ暗号化を使用しており、代わりに PKCS #11 鍵ストアの使用を開始する場合は、 ローカル鍵ストアを PKCS #11 鍵ストアにマイグレーションします。
インスタンスの開始時に PKCS #11 鍵ストア 資格情報を提供するために stash ファイルの使用を停止することにした場合は、以下の手順に従ってください。
OPEN KEYSTORE USING password
オプションを指定して db2start コマンドを実行します。- KEYSTORE_STASH パラメーターを削除して、 PKCS #11 鍵ストア 構成ファイルを更新します。
- stash ファイルを削除して、この使用されていないファイルによるセキュリティー・リスクの可能性を排除します。