Question & Answer
Question
暗号化データベースで、ローカル鍵ストアを使用して HADR 環境を構築する場合の手順を教えてください。
Answer
ローカル鍵ストアを使用して暗号化データベースの HADR 環境を構築する場合は、以下の手順を実施してください。
ただし、ローカル鍵ストアを使用した HADR 環境の構築は可能ですが、推奨はされておりません。
HADR 環境内のすべてのデータベースが同じ鍵ストアに対するアクセス権限を持つことが推奨されています。 この鍵ストアは、共有ファイル・システム上の PKCS12 鍵ストアでも、KMIP 鍵マネージャーや PKCS11 ハードウェア・セキュリティー・モジュールのような中央管理型の鍵ストアでも構いません。 各々が別々の PKCS12 鍵ストアを使用すると、手動でそれらの同期を保たなければならなくなるので、それはお勧めしません。
はじめに:
以下の手順は、共有ファイル・システムの利用を含め、HADR のプライマリおよびスタンバイ両サーバーでローカル鍵ストアがすでに作成されており、KEYSTORE_LOCATION データベース・マネージャー構成パラメーターが適切に設定されていることを前提としています。
- プライマリ・データベースのバックアップを取得し、バックアップ・イメージをスタンバイ・サーバーに転送します。
db2 backup db db1 to <path_to_backup>
- プライマリ・データベースで使用されているマスター鍵を確認します。
db2pd -db db1 -encrypt Database Member 0 -- Database DB1 -- Active -- Up 0 days 00:00:09 -- Date 2022-07-25-07.14.37.311043 Encryption Info: Object Name: DB1 Object Type: DATABASE Encyrption Key Info: Encryption Algorithm: AES Encryption Algorithm Mode: CBC Encryption Key Length: 256 Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-24-21.54.17_050E4C45 Master Key Rotation Timestamp: 2022-07-24-21.54.17.000000 Master Key Rotation Appl ID: *LOCAL.DB2.220722075903 Master Key Rotation Auth ID: DB2V115 Previous Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-24-21.54.17_050E4C45 KeyStore Info: KeyStore Type: PKCS12 KeyStore Location: /home/db2inst1/server.p12 KeyStore Host Name: myhost1.xxx.xxx.xxx KeyStore IP Address: x.x.x.x KeyStore IP Address Type: IPV4
- 手順 2 で確認したマスター鍵を、tmpkd.raw という名前の鍵ストアにエクスポートします。(手順 3 及び手順 4 は、HADR ペアが個別のローカル鍵ストアを使用する場合にのみ必要な手順です。セントラル鍵ストアや共有ファイル・システム上の鍵ストアを使用する場合には不要です。)
gsk8capicmd_64 -cert -export -db $HOME/keystore.p12 -stashed -label DB2_SYSGEN_db2inst1_DB1_2022-07-24-21.54.17_050E4C45 -target $HOME/tmpkd.raw -target_type pkcs12 -target_pw "Passw0rd4tmp"
- 取り出したマスター鍵を保管した鍵ストア (tmpkd.*) を、scp コマンド等を使用してスタンバイ・サーバーに転送し、スタンバイ側の鍵ストアにマスター鍵をインポートします。
gsk8capicmd_64 -cert -import -db $HOME/tmpkd.raw -pw "Passw0rd4tmp" -target $HOME/keystore.p12 -target_type pkcs12 -stashed
- 手順 1 で取得したバックアップ・イメージをスタンバイ・サーバーにリストアします。
db2 restore db db1 from <path_to_backup> encrypt
db2pd -db db1 -encrypt Database Member 0 -- Database DB1 -- Active -- Up 0 days 00:00:19 -- Date 2022-07-25-07.15.20.531359 Encryption Info: Object Name: DB1 Object Type: DATABASE Encyrption Key Info: Encryption Algorithm: AES Encryption Algorithm Mode: CBC Encryption Key Length: 256 Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-25-07.12.29_D721A2CE << Master Key Rotation Timestamp: 2022-07-25-07.12.30.000000 Master Key Rotation Appl ID: *LOCAL.db2inst1.220725055027 Master Key Rotation Auth ID: DB2V115 Previous Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-25-07.12.29_D721A2CE KeyStore Info: KeyStore Type: PKCS12 KeyStore Location: /home/db2inst1/server.p12 KeyStore Host Name: myhost2.xxx.xxx.xxx KeyStore IP Address: x.x.x.x KeyStore IP Address Type: IPV4
- プライマリ、スタンバイ双方で、HADR 環境で必要な構成パラメーター (HADR_LOCAL_HOST、HADR_REMOTE_HOST など) を設定します。
- スタンバイ、プライマリの順で、START HADR コマンドを実行します。
db2 start hadr on database db1 as standby db2 start hadr on database db1 as primary
db2pd -db db1 -enc Database Member 0 -- Database DB1 -- Standby -- Up 0 days 00:02:02 -- Date 2022-08-01-22.48.59.729037 Encryption Info: Object Name: DB1 Object Type: DATABASE Encyrption Key Info: Encryption Algorithm: AES Encryption Algorithm Mode: CBC Encryption Key Length: 256 Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-24-21.54.17_050E4C45 << Master Key Rotation Timestamp: 2022-08-01-22.47.30.000000 Master Key Rotation Appl ID: DB2 HADR STANDBY KEY ROTATION ID Master Key Rotation Auth ID: DB2 HADR PRIMARY DRIVEN KEY ROTATION Previous Master Key Label: DB2_SYSGEN_db2inst1_DB1_2022-07-25-07.12.29_D721A2CE KeyStore Info: KeyStore Type: PKCS12 KeyStore Location: /home/db2inst1/server.p12 KeyStore Host Name: myhost2.xxxx.xxx.xxx.xxx KeyStore IP Address: x.x.x.x KeyStore IP Address Type: IPV4
注:上記 db2pd の出力は、HADR 開始後のログ適用により、プライマリ、スタンバイ双方のマスター鍵が同期されたことを示しています。そのため、スタンバイ上での最初のリストアの際に、プライマリ・データベースと同じマスター鍵を明示的に指定する必要はありません。スタンバイ側で新たなマスター鍵を生成したくない場合、手順 5 で以下のような RESTORE コマンドを実行して、プライマリ・データベースと同じマスター鍵を使用できます。db2 restore db db1 ENCRYPT CIPHER AES KEY LENGTH 256 MASTER KEY LABEL DB2_SYSGEN_db2inst1_DB1_2022-07-25-07.12.29_D721A2CE
[{"Type":"MASTER","Line of Business":{"code":"LOB10","label":"Data and AI"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSEPGG","label":"Db2 for Linux, UNIX and Windows"},"ARM Category":[{"code":"a8m500000008PlyAAE","label":"HADR-\u003EHADR Setup"},{"code":"a8m500000008PmnAAE","label":"Security and Plug-Ins-\u003EEncryption"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"10.5.0;11.1.0;11.5.0"}]
Was this topic helpful?
Document Information
Modified date:
21 August 2023
UID
ibm16615617