TM Dell TM PowerVault Encryption Key Manager ユーザーズ・ガイド
TM Dell TM PowerVault Encryption Key Manager ユーザーズ・ガイド
© 2007, 2010 Dell Inc. All rights reserved. 本書の情報は、予告無しに変更する場合があります。 いかなる方法であれ、Dell Inc. の書面による許可を得ずに複製することは禁止されています。Dell、DELL ロゴ、お よび PowerVault は、Dell Inc. の商標です。 他の商標および商標名は、それぞれ各社の商標、商標名、または製品です。 Dell Inc.
目次 図 . . . . . . . . . . . . . . . . . v 表 . . . . . . . . . . . . . . . . . vii まえがき . . . . . . . . . . . . . . ix 本書について . . . . . . . . . . . . . . ix 本書の対象読者 . . . . . . . . . . . . ix 本書で使用される規則と用語 . . . . . . . . ix 注意の注記 . . . . . . . . . . . . . . . x 関連資料. . . . . . . . . . . . . . . . x Linux 情報 . . . . . . . . . . . . . . x Microsoft Windows 情報 . . . . . . . . . x オンライン・サポート . . . . . . . . . . x はじめにお読みください . . . . . . . . xi Dell の連絡先 . . . . . . . . 第 1 章 テープ暗号化の概要 . . . . . .
File Size Limit Cannot be a Negative Number (ファイル・サイズの限度に負の数値は使用でき ません) . . . . . . . . . . . . . . No Data to be Synchronized (同期するデータが ありません). . . . . . . . . . . . . Invalid Input (無効な入力) . . . . . . . . Invalid SSL Port Number in Configuration File (構成ファイル内の SSL ポート番号が無効です). Invalid TCP Port Number in Configuration File (構成ファイル内の TCP ポート番号が無効です) Must Specify SSL Port Number in Configuration File (構成ファイルに SSL ポート番号を指定す る必要があります) . . . . . . . . . .
図 1-1. 1-2. 1-3. 2-1. 2-2. 2-3. 2-4. 2-5. 2-6. 3-1. 3-2. Encryption Key Manager の 4 つの主要コン ポーネント . . . . . . . . . . . . 1-3 暗号化ポリシー・エンジンおよび鍵管理の考 えられる 2 つの場所 . . . . . . . . 1-5 対称暗号鍵を使用した暗号化 . . . . . . 1-8 暗号化書き込み操作に向けた、LTO 4 また は LTO 5 テープ・ドライブ要求 . . . . 2-5 暗号化読み取り操作に向けた、LTO 4 また は LTO 5 テープ・ドライブ要求 . . . . 2-6 「重要なファイルのバックアップ (Backup Critical Files)」ウィンドウ . . . . . . . 2-8 シングル・サーバー構成 . . . . . . . 2-9 共用構成を持つ 2 つのサーバー 2-10 同じデバイスにアクセスする、異なる構成 を持つ 2 つのサーバー . . . . . . .
vi Dell Encryption Key Manager ユーザーズ・ガイド
表 1. 1-1. 2-1. 2-2. 6-1. 本書で使用される表記法 . . . . . . . 暗号鍵の要約 . . . . . . . . . . . Linux の場合の最小ソフトウェア要件 Windows の場合の最小ソフトウェア要件 Encryption Key Manager によって報告される エラー . . . . . . . . . . . . . . ix 1-8 2-3 2-3 7-1. 7-2. 8-1. Encryption Key Manager が監査ファイルに書 き込む監査レコード・タイプ . . . . . . 7-5 監査対象イベント別の監査レコード・タイプ 7-7 メタデータの照会出力形式 . . . . . .
viii Dell Encryption Key Manager ユーザーズ・ガイド
まえがき 本書について 本書には、Dell™ Encryption Key Manager のインストールおよび操作に必要な情報 および説明が記載されています。以下のものに関する概念および手順が含まれてい ます。 v 暗号化対応の LTO 4 および LTO 5 テープ・ドライブ v 暗号鍵 v デジタル証明書 本書の対象読者 本書は、重要データのセキュリティーおよびバックアップを行うストレージおよび セキュリティーの管理者や、稼働環境における Encryption Key Manager サーバーの セットアップおよびメンテナンスを支援する人を対象としています。読者は、スト レージ・デバイスおよびネットワークについて実践的な知識を有していることが前 提です。 本書で使用される規則と用語 本書では、以下のような書体の規則を使用しています。 表 1.
注意の注記 注意の注記は、プログラム、装置、システム、またはデータに損傷を与える可能性 があることを示します。注意の注記には感嘆符シンボルが付いていることがありま すが、これは必要条件ではありません。注意の注記の例は、次のとおりです。 重要: 電動ドライバーを使用してこの手順を実行すると、テープ を損なう可能性があります。 関連資料 詳細については、以下の資料を参照してください。 v 「Getting Started with the Dell™ PowerVault™ TL2000 and TL4000 Tape Libraries」では、インストールに関する情報を記載しています。 v 「Dell™ PowerVault™ TL2000 Tape Library and TL4000 Tape Library SCSI Reference」では、サポートされる SCSI コマンドおよび SCSI インターフェース の動作を制御するプロトコルについて説明します。 Linux 情報 Red Hat 情報 以下の URL は、Red Hat Linux® システムに関するものです。 v http://www.
はじめにお読みください Dell の連絡先 米国の場合、800-WWW-DELL (800-999-3355) に電話してください。 注: アクティブなインターネット接続がない場合、連絡先情報を仕入れ送り状、パ ッキング・スリップ、請求書、または Dell 製品カタログで見つけることができ ます。 Dell は、オンラインおよび電話によるサポートおよびサービス・オプションをいく つか提供しています。利用可能かどうかは国および製品によって異なり、一部のサ ービスはお客様の地域でご利用になれない場合があります。営業、技術サポート、 またはカスタマー・サービスについて Dell に問い合わせるには、次のようにしま す。 1. http://support.dell.com にアクセスします。 2. ページ下部にある「国・地域の選択」ドロップダウン・メニューでお客様の国ま たは地域を確認します。 3. ページの左側にある「お問い合わせ」をクリックします。 4. 必要に応じて適切なサービスまたはサポート・リンクを選択します。 5.
xii Dell Encryption Key Manager ユーザーズ・ガイド
第 1 章 テープ暗号化の概要 データは、競争の激しいビジネス環境において最も価値の高いリソースの 1 つで す。そのデータを保護し、データへのアクセスを制御し、認証性を検証すると同時 に、その可用性を維持することは、セキュリティーに対する意識が高い現代社会に おける優先事項です。データ暗号化は、このようなニーズの多くに対応するツール です。Dell Encryption Key Manager (以下、Encryption Key Manager と表す) は、暗 号化のタスクを簡素化します。 LTO 4 および LTO 5 ドライブは、すべての LTO 4 および LTO 5 データ・カー トリッジに書き込まれるデータを暗号化することができます。 この新しい機能によ って、サーバーで実行される暗号化に伴う処理オーバーヘッドおよび性能低下、ま たは専用装置の経費が生じることなく、保管されたデータに対するさらに強力なセ キュリティー手段が提供されます。 テープ・ドライブ暗号化ソリューションは、次の 3 つの主要なエレメントで構成さ れます。 暗号化対応テープ・ドライブ ライブラリー・インターフェースを使用して
Java セキュリティー鍵ストア 鍵ストアは、Java Cryptography Extension (JCE) の一部として定義されるも ので、Java セキュリティー・コンポーネントの 1 つのエレメントです。つ まり、Java Runtime Environment の一部と言えます。鍵ストアは、暗号操作 を実行するのに Encryption Key Manager が使用する証明書と鍵 (あるいは 証明書および鍵へのポインター) を保持します。必要に合わせて、さまざま な動作特性を提供するいくつかのタイプの Java 鍵ストアがサポートされて います。これらの特性については、 2-4 ページの『鍵ストアに関する考慮事 項』で詳しく説明します。 ご自分の鍵ストア・データを保持することの重要性は、どれほど強調しても強 調しすぎることはありません。ご自分の鍵ストアにアクセスできなければ、暗 号化されたテープを暗号化解除することはできません。以下のトピックを注意 深く読み、ご自分の鍵ストア・データの保護に使用できる方式を理解してくだ さい。 構成ファイル 構成ファイルにより、Encryption Key M
Encryption Key Manager 01 を23し、 テープ・デバイスとの4での の67を89します ストアの'(を)*し、 Encryption Key <3 ファイル Manager の,-を./します ストア キー・ グループ ドライブ・ Encryption Key テーブル Manager が 01 をグループに @3します サポートするテープ・ デバイスを トラックします a14m0234 / ペアと を します 図 1-1.
Encryption Key Manager ホスト・サーバーの重要な構成情報: データ損失のリ スクを最小限にとどめるには、Dell Encryption Key Manager プログラムをホ スティングするマシンが、ECC メモリーを使用することを推奨します。 Encryption Key Manager は、暗号鍵の生成を要求する機能、およびその鍵を LTO 4 および LTO 5 テープ・ドライブに引き渡す機能を実行します。鍵の 構成要素は、Encryption Key Manager による処理時中は、ラップされた形 (暗 号化された形式) でシステム・メモリーに常駐します。鍵の構成要素は、カー トリッジに書き込まれるデータがリカバリー (暗号化解除) できるように、エ ラーなしで適切なテープ・ドライブに転送される必要があります。システム・ メモリー内のビット・エラーが発生した結果、何らかの理由で鍵の構成要素が 破損しており、かつ、その鍵の構成要素をカートリッジへのデータ書き込みに 使用する場合、そのカートリッジに書き込まれるデータはリカバリーすること (つまり、後日暗号化解除すること) ができま
アプリケーション ポリシー データ・パス データ・パス または ポリシー a14m0252 Library ライブラリー・ドライブ・ インターフェース 図 1-2.
暗号化を管理するために使用できるアプリケーションの最小バージョンは、次のと おりです。 v CommVault Galaxy 7.
暗号鍵は、Keytool などのユーティリティーによって、Encryption Key Manager に 対して生成されます。AES 鍵を生成する責任と、それらの鍵をテープ・ドライブに 転送する方法は、暗号化管理の方法によって異なります。 ただし、Encryption Key Manager による暗号鍵の使用法と、他のアプリケーションによる使用法の違いを理 解することは有用です。 Dell Encryption Key Manager による暗号鍵の処理 ライブラリー管理テープ暗号化では、暗号化されていないデータが LTO 4 または LTO 5 テープ・ドライブに送信され、Encryption Key Manager で使用可能な鍵スト アからの事前生成対称データ鍵 (DK) を使用して暗号文に変換されてから、テープ に書き込まれます。Encryption Key Manager は、事前生成された DK をラウンドロ ビン方式で選択します。 事前生成されている DK では数が不足する場合、DK は 複数のテープ・カートリッジで再利用されます。 DK は、Encryption Key Manager
ジ上には保管されません。暗号化データがテープに書き込まれたら、DK は、デー タが読み取られるように、アプリケーションが使用できる場所に入っている必要が あります。 図 1-3 に、アプリケーション管理暗号化およびライブラリー管理暗号化によるテー プ暗号化のプロセスを示します。 KL データ 01Mされた テープ 01 テキスト a14m0236 Esym{data, DK} DK 図 1-3. 対称暗号鍵を使用した暗号化: LTO 4 および LTO 5 テープ・ドライブ上でのライブラリー管理およびアプリ ケーション管理暗号化 要約 各ボリュームで使用できる暗号鍵の数は、暗号化の管理に使用されるテープ・ドラ イブ、暗号化標準、および方式によって異なります。LTO 4 および LTO 5 の透過 暗号化 (すなわち、Encryption Key Manager でライブラリー管理暗号化を使用) の 場合、DK が固有であるかどうかは、十分な数の事前生成鍵が Encryption Key Manager で使用可能かどうかによって異なります。 表 1-1.
第 2 章 Encryption Key Manager 環境の計画 このセクションは、ニーズにあった最適の Encryption Key Manager 構成を判別でき るようにする情報の提供を目的としています。暗号化方法をセットアップする方法 を計画する際には、さまざまな要因を考慮する必要があります。 暗号化セットアップ作業一覧 テープ・ドライブの暗号化機能を使用する前に、特定のソフトウェアおよびハード ウェアの要件を満している必要があります。以下のチェックリストは、これらの要 件を満たす際役立つように考えられています。 Encryption Key Manager のセットアップ作業 テープを暗号化するには、まずEncryption Key Manager の構成および実行を行い、 それが暗号化テープ・ドライブと通信できるようにしておく必要があります。 Encryption Key Manager は、テープ・ドライブの取り付け中に実行している必要は ありませんが、暗号化を行うには実行している必要があります。 v Encryption Key Manager サーバーとして使用するシステム・プラット
– コマンド行インターフェース・クライアントを始動します ( 5-6 ページの『コ マンド行インターフェース・クライアント』を参照。) ライブラリー管理テープ暗号化の計画 暗号化を実行するには、以下のものが必要です。 v 暗号化対応の LTO 4 および LTO 5 テープ・ドライブ v 鍵ストア v Dell Encryption Key Manager ライブラリー管理テープの暗号化作業 1. LTO 4 および LTO 5 テープ・ドライブを取り付けてケーブルを接続します。 v ライブラリー・ファームウェアを更新します (TL2000、TL4000、ML6000 は 必要に応じて)。http://support.dell.com にアクセスします。 – Dell™ PowerVault™ TL2000 テープ・ライブラリー でのファームウェアの 必要最小バージョンは、5.xx です。 – Dell™ PowerVault™ TL4000 テープ・ライブラリー でのファームウェアの 必要最小バージョンは、5.
Encryption Key Manager (Linux で実行された場合) 表 2-1. Linux の場合の最小ソフトウェア要件 プラットフォーム IBM Software Developer Kit 入手可能な URL 64 ビット AMD/Opteron/EM64T Java 6.0 SR5 http://support.dell.com 32 ビット Intel® 互換 テープ・ライブラリー Dell PowerVault TL2000 テープ・ライブラリー、TL4000 テープ・ライブラリー、 および ML6000 テープ・ライブラリーについて、ファームウェア・レベルが入手可 能な最新のものであることを確認してください。ファームウェア更新については、 http://support.dell.com にアクセスしてください。 テープ・ドライブ LTO 4 および LTO 5 テープ・ドライブについて、ファームウェア・レベルが入手 可能な最新のものであることを確認してください。ファームウェア更新について は、http://support.dell.
ださい。ファームウェア更新については、http://support.dell.com にアクセスしてく ださい。 テープ・ドライブ LTO 4 および LTO 5 テープ・ドライブについて、ファームウェア・レベルが入手 可能な最新のものであることを確認してください。ファームウェア更新について は、http://support.dell.
送信してデータを暗号化します。DK は、TCP/IP を介して平文で送信されません。 選択された別名は、また、データ鍵 ID (DKi) と呼ばれるエンティティーに変換さ れ、暗号化されたデータと一緒にテープに書き込まれます。この方法で、Encryption Key Manager は DKi を使用して、LTO 4 または LTO 5 テープが読み取られると きにデータを暗号化解除するのに必要な、正しい DK を識別できます。 テープ・ドライブに別名を指定する方法は、 5-9 ページの『CLI コマンド』 の adddrive および moddrive のトピックで説明します。 3-12 ページの『LTO 4 およ び LTO 5 上での暗号化のための鍵と別名の生成』を参照してください。ここに は、鍵のインポート、鍵のエクスポート、および symmetricKeySet 構成プロパティ ーでのデフォルト別名の指定に関する情報が記載されています。 3-17 ページの『キ ー・グループの作成および管理』では、キー・グループを定義してそれを鍵ストア から別名で取り込む方法について説明します。 図 2-1 に、暗号
図 2-2 に、暗号化読み取り操作に向けて鍵がどのように処理されるかを示します。 図 2-2. 暗号化読み取り操作に向けた、LTO 4 または LTO 5 テープ・ドライブ要求 1. テープ・ドライブは読み取り要求を受信し、DKi を Encryption Key Manager に 送信します 2. Encryption Key Manager が、ドライブ・テーブル内のテープ・デバイスを検査し ます 3. Encryption Key Manager は、DKi を別名に変換し、対応する DK を鍵ストアか ら取り出します 4. Encryption Key Manager は、ドライブが暗号化解除できる鍵を使用して DK を ラップします 5. Encryption Key Manager は、ラップされたその DK をテープ・ドライブに送信 します 6.
v システム・バックアップ機能 (RACF など) を使用して、鍵ストア情報のバック アップ・コピーを作成します (リカバリーのためにこのコピーを暗号化解除する ことはできないため、暗号化テープ・ドライブを使用してこのコピーを暗号化し ないように注意してください)。 v 1 次および 2 次 Encryption Key Manager と鍵ストア・コピーを維持します (フ ェイルオーバーの予備用だけでなく、バックアップ用)。冗長性を高めるため、1 次および 2 次の両方に対して鍵ストアをバックアップしてください。 v JCEKS 鍵ストアの場合は、鍵ストア・ファイルを単純にコピーし、平文の (暗号 化されていない) コピーをボールトのような安全な場所に保管します (リカバリー のためにこのコピーを暗号化解除することはできないため、暗号化テープ・ドラ イブを使用してこのコピーを暗号化しないように注意してください)。 最低でも、鍵ストア・データを変更したときには必ず鍵ストア・データをバックア ップしてください。Encryption Key Manager は鍵ストア・データを変更しません。 鍵ストアに対する変更
a14m0241 図 2-3. 「重要なファイルのバックアップ (Backup Critical Files)」ウィンドウ 4. 「Backup Files (ファイルのバックアップ)」をクリックします。 5.
注: 同期化には、鍵ストアは含まれません。これらを手動でコピーする必要があり ます。 Encryption Key Manager サーバー構成 Encryption Key Manager は、単一のサーバー上にも、あるいは複数のサーバー上に もインストールできます。次の例は、Key Manager が 1 つの構成と 2 つの構成を 示していますが、ライブラリーはそれよりも多く構成できます。 シングル・サーバー構成 図 2-4 に示されているシングル・サーバー構成は、最も単純な Encryption Key Manager 構成です。ただし、冗長性がないため、お勧めしません。この構成では、 すべてのテープ・ドライブが、バックアップなしで、単一の Key Manager サーバー に依存します。サーバーが故障した場合、鍵ストア、構成ファイル、KeyGroups.
す。1 つの Key Manager サーバーの構成ファイルおよびドライブ・テーブルに対す る更新は、sync コマンドを使用して、もう一方の Key Manager サーバー上で自動 的に複写できますが、1 つの鍵ストアに対する更新は、使用する鍵ストアに固有の 方式を使用して、もう一方にコピーする必要があります。鍵ストアおよびキー・グ ループ XML ファイルは、手動でコピーする必要があります。 詳しくは、 4-2 ペー ジの『2 つの Key Manager サーバー間でのデータの同期化』を参照してください。 テープ・ ライブラリー A ストア・ ドライブ・ テーブル <3ファイル キー・ グループ ストア・ 2P ドライブ・ テーブル Encryption Key Manager = <3ファイル キー・ = グループ = = テープ・ ライブラリー B テープ・ ライブラリー C a14m0254 1P Encryption Key Manager 図 2-5.
災害時回復サイトについての考慮事項 災害時回復 (DR) サイトの利用を計画している場合、Encryption Key Manager は、 そのサイトで暗号化されたテープの読み取りおよび書き込みが可能になるように多 くのオプションを提供します。以下のものです。 v DR サイトで複製 Encryption Key Manager を作成する。 ご使用のローカル Encryption Key Manager と同じ情報 (構成ファイル、テープ・ ドライブ・テーブル、キー・グループ XML ファイル、および鍵ストア) を使用 して、DR サイトで複製 Encryption Key Manager をセットアップします。そうす ると、この Key Manager は、既存の実動 Key Manager の 1 つに取って代わ り、暗号化されたテープの読み書きを引き継ぐことができます。 v 必要に応じて回復できるように 3 つの Encryption Key Manager データ・ファイ ルのバックアップ・コピーを作成する。 Encryption Key Manager が必要とする 4 つのデータ・エレメント
Federal Information Processing Standard (連邦情報処理標準) 140-2 に 関する考慮事項 Federal Information Processing Standard (連邦情報処理標準) 140-2 は、連邦政府がす べての暗号提供者が FIPS 140 認定であることを求めているため、重要なものとな りました。この標準は、成長著しいプライベート・セクター・コミュニティーでも 採用されました。政府標準に準拠したサード・パーティーによる暗号機能の認定 は、このセキュリティーを重視する世界において価値が増大してきたように思われ ます。 Encryption Key Manager 自体は暗号機能を提供しないため、FIPS 140-2 認証を必要 とせず、取得することもできません。しかし、Encryption Key Manager は、IBM Java Cryptographic Extension コンポーネント内の IBM JVM の暗号機能を利用し て、FIPS 140-2 レベル 1 認定を受けている IBMJCEFIPS 暗号提供者の選択および 使用を許可
第 3 章 Encryption Key Manager および鍵ストアのインストー ル Encryption Key Manager は、IBM Java Virtual Machine インストール・システムと 一緒に出荷されます。EKM には、IBM Software Developer Kit for Linux および IBM Runtime Environment for Windows が必要です ( 2-2 ページの『ハードウェアお よびソフトウェアの要件』を参照)。 ご使用のオペレーティング・システムに該当 する手順に従ってください。 v 3-2 ページの『Linux 上での Encryption Key Manager のインストール』 v 3-3 ページの『Windows 上での Encryption Key Manager のインストール』 Encryption Key Manager のバージョンが最新であるかどうか不明である場合は、 『最新のバージョンの Key Manager ISO イメージのダウンロード』を参照して新 しいバージョンが入手可能であるかどうかを判別してく
Linux 上での Encryption Key Manager のインストール Linux 上でのEncryption Key Manager の CD からのインストール 1. Dell Encryption Key Manager CD を挿入し、CD のルート・ディレクトリーから Install_Linux と入力します。 インストールにより、CD からすべてのコンテンツ (文書、GUI ファイル、およ び構成プロパティー・ファイル) をご使用のオペレーティング・システムの適切 なハード・ディスクにコピーします。インストール中に、システムにより、正式 な IBM Java ランタイム環境がないか確認されます。見つからない場合は、自動 的にインストールされます。 インストールが完了すると、グラフィカル・ユーザー・インターフェース (GUI) が起動します。 Linux 上ので Software Developer Kit の手動によるインストール CD からインストールしない場合は、次のステップを実行します。 1. http://support.dell.
IBM J9 VM (build 2.4, J2RE 1.6.0 IBM J9 2.4 Linux x86-32 jvmxi3260-20090519_35743 (JIT enabled) ... mordor:~ # which java /opt/ibm/java-i386-60/jre/bin/java Windows 上での Encryption Key Manager のインストール 1. Dell Encryption Key Manager CD を挿入します。 インストールにより、CD からすべてのコンテンツ (文書、GUI ファイル、お よび構成プロパティー・ファイル) をご使用のオペレーティング・システムの 適切なハード・ディスクにコピーします。インストール中に、システムによ り、正式な IBM Java ランタイム環境がないか確認されます。見つからない場 合は、自動的にインストールされます。 インストールが完了すると、グラフィカル・ユーザー・インターフェース (GUI) が起動します。 2.
a14m0257 図 3-1. 「Choose Destination Location (宛先ロケーションの選択)」ウィンドウ 「Next (次へ)」をクリックします。 a14m0232 5. ウィンドウが開き、この Java Runtime Environment をデフォルトのシステム JVM とするかどうかを尋ねてきます (図 3-2)。 図 3-2. このバージョンの JVM をデフォルトに設定する 「No」をクリックします。 6.
a14m0258 図 3-3. 「Start Copying Files (ファイルのコピー開始)」ウィンドウ 「Next (次へ)」をクリックします。 7. 状況ウィンドウに、インストールの進捗状況が示されます。 8. 「Browser Registration (ブラウザーの登録)」ウィンドウが開きます。Encryption Key Manager で使用するブラウザーを選択します。「Next (次へ)」をクリック します。 9. InstallShield Wizard が開いたら、「Finish (終了)」をクリックします。 インストール後、コマンド・プロンプトを開いて、次のように、インストール された Javaバージョンを照会できます。 C:¥WinEKM>C:¥"Program Files"¥IBM¥Java60¥jre¥bin¥java -version java version "1.6.0" Java(TM) SE Runtime Environment (build pwi3260sr5-20090529_04(SR5)) IBM J9 VM (build 2.4, J2RE 1.6.
ます。PATH 変数を設定しない場合は、実行可能ファイルを実行するたびに、 そのファイルへの次のような絶対パスを指定しなければなりません。 C:>¥Program Files¥IBM¥Java60¥jre¥bin¥java ... PATH を永続的に設定するには (Encryption Key Manager 2.1 の場合は必須)、 java bin ディレクトリーの絶対パスを PATH 変数に追加します。一般に、この 絶対パスは次のようなものです。 C:¥Program Files¥IBM¥Java60¥jre¥bin Microsoft Windows 2003、2008、および2008 R2 で PATH を永続的に設定する には次のようにします。 注: PATH 変数は、コマンド行から設定しても機能しません。 a. 「スタート」メニューから「設定」を選択し、「コントロール パネル」を 選択します。 b. 「システム」をダブルクリックします。 c. 「詳細設定」タブをクリックします。 d. 「環境変数」をクリックします。 e.
3. 「EKM Server Configuration (EKM サーバー構成)」ページ (図 3-4) で、アスタ リスク * で示された必須フィールドすべてにデータを入力します。その他のフ ィールドは、必要に応じて入力してください。 説明を表示する場合は、デー タ・フィールド右側の疑問符 (?) をクリックします。 「Next (次へ)」をクリッ クします。 a14m0247 注: 鍵ストア・パスワードを設定したら、セキュリティーが破られない限り、そ のパスワードを変更しないでください。パスワードは機密漏れを排除するた めに暗号化されます。鍵ストア・パスワードを変更すると、keytool コマン ドを使用してその鍵ストア内のすべてのパスワードを個別に変更する必要が あります。 3-14 ページの『鍵ストア・パスワードの変更』を参照してくださ い。 図 3-4.
注: 鍵生成中に Encryption Key Manager GUI を中断した場合、Encryption Key Manager の再インストールが必要になります。 Encryption Key Manager の鍵生成プロセスが完了する前に停止された場合、 鍵ストア・ファイルが破損します。このイベントからリカバリーするには、 以下のステップに従ってください。 v Encryption Key Manager の初期インストール中に Encryption Key Manager が中断された場合は、Encryption Key Manager ディレクトリー (例えば、 x:\ekm) があるディレクトリーにナビゲートします。そのディレクトリー を削除し、インストールを再開します。 v 新規のキー・グループを追加中に Encryption Key Manager が中断された 場合は、Encryption Key Manager サーバーを停止し、最新のバックアップ 鍵ストア (このファイルは、x:\ekm\gui\backupfiles フォルダー内にありま す) を使用して、鍵ストア・ファイルを復元し
a14m0243 図 3-5. EKM Server Certificate Configuration (EKM サーバーの証明書の構成) ページ 5.
a14m0251 図 3-6.
1. ホスト・システムの実際の IP アドレスを取得するには、ネットワーク構成にア クセスし、IP ポート・アドレスを見つけてください。 v Windows システムでは、コマンド・ウィンドウを開き、ipconfig と入力しま す。 v Linux の場合は、isconfig と入力します。 EKM SSL ポートを識別する方法 1. コマンド行を使用して、Encryption Key Manager サーバーを始動します。 v Windows では、cd c:\ekm にナビゲートし、startServer.bat をクリックしま す。 v Linux プラットフォームでは、/var/ekm にナビゲートし、startServer.sh と 入力します。 v 詳しくは、 5-1 ページの『Key Manager サーバーの始動、リフレッシュ、およ び停止』を参照してください。 2. コマンド行を使用して、CLI クライアントを開始します。 v Windows では、cd c:\ekm にナビゲートし、startClient.
LTO 4 および LTO 5 上での暗号化のための鍵と別名の生成 対称暗号鍵を生成する場合、最も簡単な方法は Dell Encryption Key Manager サー バー GUIを使用することです ( 3-6 ページの『GUI を使用した構成ファイル、鍵ス トア、および証明書の作成』を参照してください)。また対称暗号鍵を生成する場 合、Keytool ユーティリティーも使用できます。特に、Keytool は異なる鍵ストア間 で鍵をインポートしたりエクスポートする際に役立ちます。詳細については、 3-15 ページの『Keytool -importseckey を使用したデータ鍵のインポート』および 3-15 ペ ージの『Keytool -exportseckey を使用したデータ鍵のエクスポート』を参照してく ださい。 Keytool は、鍵、証明書、および別名を管理するためのユーティリティーです。暗号 化データ鍵を生成、インポート、およびエクスポートし、鍵ストアに保管できるよ うにします。 鍵ストア内の各データ鍵には、固有の別名でアクセスします。別名とは、 123456tape など、文字のストリング
2. 任意のテキスト・エディターを使用して KeyManagerConfig.properties ファイルを 開き、サーバー構成に変更を加えます。または、クライアント構成を変更するに は ClientKeyManagerConfig.properties ファイルを開きます。 ^M があるため、 Windows を使用してこのファイルを Linux マシン用に編集しないでください。 Windows を使用する場合は、gvim/vim を使ってファイルを編集してください。 3. この資料の指示に従って、プロパティー値を変更します。 4. ファイルを保存します。 5.
-aliasrange 複数のデータ鍵を生成する場合、aliasrange を、3 文字の英字接頭部と、その後 ろに一連の 16 文字 (16 進数) ストリングの下限と上限を付けたものとして指 定します。これは、長さが 21 文字の別名になるように先行ゼロが自動的に埋め 込まれます。例えば、key1-a を指定すると、KEY000000000000000001 から KEY00000000000000000A までの一連の別名が生成されます。 xyz01-FF という aliasrange 値を指定すると、XYZ000000000000000001 から XYZ0000000000000000FF までが生成され、これにより 255 個の対称鍵が生成さ れます。 -keypass データ鍵の保護に使用されるパスワードを指定します。このパスワードは、鍵ス トア・パスワードと同じものでなければなりません。パスワードを指定しない と、パスワードの入力を求めるプロンプトが出されます。プロンプトで 「Enter」を押すと、キー・パスワードは、鍵ストアに使用されたパスワードと 同じものに設定されます。keypass は
また、KeyManagerConfig.
-aliasrange 複数のデータ鍵をエクスポートする場合、aliasrange を、3 文字の英字接頭部 と、その後ろに一連の 16 文字 (16 進数) ストリングの下限と上限を付けたも のとして指定します。これは、長さが 21 文字の別名になるように先行ゼロが自 動的に埋め込まれます。例えば、key1-a を指定すると、KEY000000000000000001 から KEY00000000000000000A までの一連の別名が生成されます。 xyz01-FF と いう aliasrange 値を指定すると、XYZ000000000000000001 から XYZ0000000000000000FF までが生成されます。 -exportfile データ鍵がエクスポートされるときに、データ鍵を保管するファイルを指定しま す。 -keyalias すべてのデータ鍵を暗号化するための鍵ストア内の公開鍵の別名を指定します。 対称 (データ) 鍵のインポート先となる鍵ストアに、対応する秘密鍵が格納され ていることを確認してください。 JCEKS 鍵ストアを使用した LTO 4 および LTO 5 暗号化のた
symmetricKeySet = AES01-FF,abcfrg config.keystore.file = .
ップするよう促します。バックアップ・データを保管するパスを入力します。 「Submit (サブミット)」をクリックします。バックアップ・パスを確認して、 「OK」をクリックします。 キー・グループを作成してそれを鍵と一緒に取り込むか、あるいは既存のキー・グ ループに鍵を追加するには、次の手順を実行します。 1. GUI がまだ開始されていない場合は、次のように GUI を開きます。 Windows 上の場合 c:\ekm\gui にナビゲートして、LaunchEKMGui.bat をクリックします。 Linux プラットフォーム上の場合 /var/ekm/gui にナビゲートして、. ./LaunchEKMGui.shと入力します。 2. GUI 左側のナビゲーターの「Administration Commands (管理コマンド)」を選 択します。 a14m0248 3. ウィンドウ (図 3-7) の下部にある「Create a Group of Keys (キー・グループの 作成)」をクリックします。 図 3-7. >Create a Group of Keys (キー・グループの作成) 4.
1. GUI 左側のナビゲーターの「Administration Commands (管理コマンド)」を選 択します。 a14m0244 2. ウィンドウ (図 3-8) の下部にある「Change Default Write Key Group (デフォ ルト書き込みキー・グループの変更)」をクリックします。 図 3-8. Change Default Write Key Group (デフォルト書き込みキー・グループの変更) 3. 右側の「Group List (グループ・リスト)」から新しいデフォルトのキー・グルー プを選択します。 4. ウィンドウの下部にある現行および新規のデフォルト・キー・グループを確認し て、「Submit Changes (変更をサブミット)」をクリックします。 特定のテープ・ドライブに特定のキー・グループを割り当てるには、次の手順を実 行します。 1. GUI 左側のナビゲーターの「Administration Commands (管理コマンド)」を選 択します。 2.
a14m0246 図 3-9. Assign Group to Drive (グループをドライブに割り当て) 3. 「Drive List (ドライブ・リスト)」からテープ・ドライブを選択します。 4. 「Group List (グループ・リスト)」からキー・グループを選択します。 5. ウィンドウの下部にあるドライブとキー・グループを確認して、「Submit Changes (変更をサブミット)」をクリックします。 ドライブ・テーブルからテープ・ドライブを削除するには、次の手順を実行しま す。 1. GUI 左側のナビゲーターの「Administration Commands (管理コマンド)」を選 択します。 2.
a14m0245 図 3-10. Delete Drive (ドライブの削除) 3. 「Drive List (ドライブ・リスト)」からテープ・ドライブを選択します。 4. ウィンドウの下部にあるドライブ名を確認して、「Submit Changes (変更をサブ ミット)」をクリックします。 CLI コマンドを使用したキー・グループの定義 Encryption Key Manager にはキー・グループ機能が備わっており、これにより鍵の セットをグループ化できます。 Encryption Key Manager アプリケーションをインストールおよび設定し (鍵ストア および鍵が生成される)、Encryption Key Manager サーバーを起動したら、クライア ントを使用してサーバーにログインし、次のステップに従ってください。 1. createkeygroup コマンドを実行します。 このコマンドを実行すると、KeyGroups.
します。これにより、各キー・グループの別名パスワードが順に暗号化され ます。そのため、KeyGroups.xml ファイル内のどの鍵も平文ではありませ ん。 例: createkeygroup -password a75xynrd 2. addkeygroup コマンドを実行します。 このコマンドを実行すると、固有のグループ ID で KeyGroups.xml 内にキー・ グループのインスタンスが作成されます。 構文: addkeygroup -groupID groupname -groupID KeyGroups.xml ファイル内のグループを識別するために使用される固有のグ ループ名。 例: addkeygroup -groupID keygroup1 3.
例: moddrive -drivename 000123456789 -symrec keygroup1 b.
注: キーは両方のキー・グループで使用可能です。 3-24 Dell Encryption Key Manager ユーザーズ・ガイド
第 4 章 Encryption Key Manager の構成 GUI を使用した Encryption Key Manager の構成 構成プロパティー・ファイルを作成するための最も簡単な方法は、 3-6 ページの 『GUI を使用した構成ファイル、鍵ストア、および証明書の作成』で Dell Encryption Key Manager GUI 下記の手順を使用することです。この手順を実行した 場合、既に構成ファイルが作成されているため、追加の構成は不要です。追加の Encryption Key Manager 構成オプションを利用する場合は、次の情報が役立ちま す。 構成戦略 KeyManagerConfig.properties ファイルの構成設定の中には、ショートカットを可能に するものがあります。ショートカットの影響について認識することが必要になる場 合があります。 テープ・ドライブ・テーブルの自動更新 Encryption Key Manager は、構成ファイル内に変数 (drive.
このような便利さは、セキュリティーを犠牲にした上で成り立つものであることに 注意してください。デバイスは自動的に追加され、認証別名と関連付けることがで きる (その認証別名でテープを書き込むことができる) ため、デバイスを手動で追加 するときに管理者が実行する追加セキュリティー・チェックはスキップされます。 テープ・ドライブ情報をドライブ・テーブルに自動的に追加して、新しいデバイス が証明書情報にアクセスすることを暗黙的に認可することが許容可能なセキュリテ ィー・リスクであるかどうかを決定するためには、このオプションの長所および欠 点を検討することが重要です。 注: プロパティー drive.
-drivetab ドライブ・テーブル情報のみを、-ipaddr で指定されたサーバーに送信します。 -ipaddr ip_addr:sslport は、受信側サーバーのアドレスおよび ssl ポートを指定します。 sslport は、受信側サーバーの KeyManagerConfig.properties ファイルに含まれる 「TransportListener.ssl.
基本構成 注: 3-6 ページの『GUI を使用した構成ファイル、鍵ストア、および証明書の作 成』 の手順を実行した場合は、基本構成が既に作成されているため、以下のス テップを実行する必要はありません。この情報は GUI を使用せずにこれらのタ スクを実行する方法を示し、追加の構成オプションを利用する場合には有用で す。 Windows ユーザーのための注: Windows では、ブランクを含むディレクトリー・パ スは受け入れられません。このようなディレクトリ ーについては、コマンドを入力する際に、Program Files の代わりに progra~1 というようなショー ト・ネームを作成して指定する必要があります。デ ィレクトリーのショート・ネームをリストするに は、dir /x コマンドを発行します。 この手順には、Encryption Key Manager の構成に必要な最小限のステップが含まれ ています。付録 A には、サーバー構成プロパティー・ファイルの例が含まれていま す。サーバー構成およびクライアント構成の両方に関するすべてのプロパティーの 完全なリストについては、付録 B を参照してくださ
c. Config.drivetable.file.url – Encryption Key Manager が認識するドライブに関 する情報の場所を指定します。サーバーまたは CLI クライアントを始動さ せるまでは、このファイルは必要ありません。このファイルが存在しない場 合は、Encryption Key Manager サーバーのシャットダウン中に作成されま す。 d. TransportListener.ssl.keystore.name – ステップ 1 で作成した鍵ストアのパ スおよびファイル名を指定します。 e. TransportListener.ssl.truststore.name - ステップ 1 で作成した鍵ストアのパ スおよびファイル名を指定します。 f. Admin.ssl.keystore.name - ステップ 1 で作成した鍵ストアのパスおよびフ ァイル名を指定します。 g. Admin.ssl.truststore.name - ステップ 1 で作成した鍵ストアのパスおよびフ ァイル名を指定します。 h. config.keystore.
7. KeyManagerConfig.properties に対する変更を保管します。 8. Encryption Key Manager サーバーを始動します。GUI を使用せずにサーバーを 起動するには、次の手順を実行します。 Windows 上の場合 cd c:\ekm\ekmserver にナビゲートして、startServer.bat をクリックしま す。 Linux プラットフォーム上の場合 /var/ekm/ekmserver にナビゲートして、. ./startServer.sh と入力します。詳細については、 5-1 ページの『Key Manager サーバーの始 動、リフレッシュ、および停止』を参照してください。 9. CLI クライアントを起動するには、次の手順を実行します。 Windows 上の場合 cd c:\ekm\ekmclient にナビゲートして、startClient.bat をクリックします。 Linux プラットフォーム上の場合 /var/ekm/ekmclient にナビゲートして、. ./startClient.
第 5 章 Encryption Key Manager の管理 Key Manager サーバーの始動、リフレッシュ、および停止 Encryption Key Manager サーバーの始動および停止は簡単です。 サーバーをリフレッシュすると、Encryption Key Manager は、鍵ストア、ドライ ブ・テーブル、および構成情報の現在の内容をメモリーからそれぞれのファイルに ダンプしてから、これらをメモリーに再ロードします。 CLI クライアントを使用し てリフレッシュを実行することは、これらのコンポーネントに何らかの変更が加え られた後で役立ちます。このような変更は Encryption Key Manager サーバーのシャ ットダウン時に自動的に保存されますが、サーバーのリフレッシュを実行すると、 システムの異常終了または停電の場合にこれらの変更が失われることを防ぐことが できます。 次の手順を使用して、Dell Encryption Key Manager GUI からEncryption Key Manager サーバーを始動します。 1.
a14m0249 図 5-1. Server Status (サーバーの状況) 4. サーバー状況の変更が、「Server Status (サーバーの状況)」ウィンドウに反映さ れます。図 5-1を参照してください。 a14m0250 5. 「Login (ログイン)」ウィンドウが表示されます (図 5-2)。 図 5-2.
現在の GUI における以下の 2 つの制限により、Encryption Key Manager の ホスト IP アドレスが「Server Health Monitor (サーバーの正常性モニタ ー)」に表示されない場合があります。 v 現行のアプリケーションでは、IPV6 は認識されません。ホストが IPV6 アドレスで構成されている場合、Encryption Key Manager アプリケーショ ンは IP アドレスを表示できません。 v Encryption Key Manager アプリケーションが Linux システムにインスト ールされている場合、このアプリケーションは実際にアクティブである IP ポートではなく、ローカル・ホスト・アドレスを表示します。 ホスト・システムの実際の IP アドレスを取得するには、ネットワーク構成 にアクセスし、IP ポート・アドレスを見つけてください。 Windows システ ムでは、コマンド・ウィンドウを開き、ipconfig と入力します。 Linux の 場合は、isconfig と入力します。 6.
プロセスに sigkill を送信しないでください。sigkill の場合、プロセスは正確にシャ ットダウンされません。例えば、Linux システムでは、kill -SIGTERM pid または kill -15 pid と入力してください。 Windows プラットフォームでは、 Dell Encryption Key Manager は、Windows サー ビスとして開始された場合、「コントロール パネル」から停止することができま す。 Key Manager サーバーの Windows サービスとしてのインストール Encryption Key Manager サーバーをサービスとしてホスト・サーバーにインストー ルすることにより、ホスト・サーバーがリブートされた際に Encryption Key Manager サーバー・アプリケーションが確実に起動するようにします。 1. Dell サポート Web サイト (http://support.dell.com) のリリース・ダウンロード から、実行可能な LaunchEKMService.exe ファイルを一時ディレクトリーに解凍 します。 2.
ようにする必要があります (例えば、gui\EKMKeys.jck ではなく c:\ekm\gui\EKMKeys.jck を使用します)。デフォルトのインストールを使用して いる場合のパスの変更方法については、以下の例を参照してください。 以下は、デフォルトのインストールと鍵ストア名を使用している場合の、プロパ ティーおよびそのポイント先である完全修飾パスです。 KeyManagerConfig.properties ファイル内で、以下の各項目を見つけることができ ます。 config.keygroup.xml.file パスは、FILE:C:/ekm/gui/keygroups/KeyGroups.xml に変更する必要があり ます。 Admin.ssl.keystore.name パスは、C:/ekm/gui/EKMKeys.jck に変更する必要があります。 TransportListener.ssl.truststore.name パスは、C:/ekm/gui/EKMKeys.jck に変更する必要があります。 Audit.metadata.file.
-u Key Manager Windows サービスをサービスとして実行する必要がなくなっ た場合に、アンインストールします。 EKMServer サービスは、停止してか らアンインストールする必要がありますので、注意してください。このコマ ンドを実行すると、次のエラー・メッセージも表示される場合があります。 Could not remove EKMServer. Error 0. (EKMServer を除去できません。エ ラー 0 です。) ただし、サービスはアンインストールされている可能性があ ります。 Encryption Key Manager を Windows サービスとしてインストールするには、以 下を実行します。 LaunchEKMService.exe -i config file 7.
2. 任意のテキスト・エディター (ワードパッドを推奨) でこのファイルを開きま す。 3. Server.authMechanism ストリングを見つけます。このストリングが存在しない場 合、ファイルにServer.authMechanism=LocalOS を正確にこの形式で追加してく ださい。 4. ファイルを保存します。 これで、Encryption Key Manager サーバーのユーザー ID およびパスワードが、OS ユーザー・アカウントと一致するようになりました。サーバーへのログインおよび サーバーへのコマンド発行が許可されており、管理者特権を持つユーザーのみが、 Encryption Key Manager サーバーを管理できることに注意してください。 Linux プラットフォームにおけるローカル OS ベースの認証の場合、以下の追加の ステップが必要です。 1. http://support.dell.
Encryption Key Manager CLI クライアントと Encryption Key Manager サーバー は、SSL を使用してセキュアな通信を行います。クライアント認証のないデフォル トの JSSE 構成を使用する場合、Encryption Key Manager サーバー上の TransportListener.ssl.keystore の証明書は TransportListener.ssl.
ファイルの最初のコマンドは、どのコマンドでも実行する前に、クライアントに ログインを要求することから、login コマンドでなくてはなりません。例えば、 clifile には次のものが含まれます。 login -ekmuser EKMAdmin -ekmpassword changeME listdrives 次にこのコマンド・ファイルを実行するために、次のように CLI クライアント を起動します。 java com.ibm.keymanager.admin.KMSAdminCmd CLIconfiglfile_name –filename clifile コマンドを 1 つずつ実行 コマンドごとに CLI userid_ID およびパスワードを指定して、コマンドを 1 つ ずつ実行することができます。任意のコマンド・ウィンドウまたはシェルから、 次のように入力します。 java com.ibm.keymanager.KMSAdminCmd ClientConfig.
プ・ドライブ・テーブルの自動更新』を参照してください。別名の要件について は、 2-4 ページの『暗号鍵と LTO 4 および LTO 5 テープ・ドライブ』を参照し てください。 adddrive -drivename drivename [ -rec1 alias] [-rec2 alias][-symrec alias] -drivename drivename は、追加するドライブの 12 桁のシリアル番号を指定します。 注: 合計 12 桁にするために、10 桁のシリアル番号の前に先行ゼロを 2 つ追加 する必要があります。 -rec1 ドライブの証明書の別名 (または鍵ラベル) を指定します。 -rec2 ドライブの証明書の 2 つ目の別名 (または鍵ラベル) を指定します。 -symrec テープ・ドライブに対して (対称鍵の) 別名またはキー・グループ名を指定しま す。 例: adddrive -drivename 000123456789 -rec1 alias1 -rec2 alias2 addkeygroup 固有のグループ ID を使用して、キー・グループ XML にキー・グループの
chgpasswd CLI クライアントのユーザー (EKMAdmin) デフォルト・パスワードを変更します。 chgpasswd -new password -new 前のパスワードを置き換える新しいパスワード。 例: chgpasswd -new ebw74jxr createkeygroup KeyGroups.xml ファイルに最初のキー・グループ・オブジェクトを作成します。1 度だけ実行してください。 createkeygroup -password password -password 後の検索用に、KeyGroups.xml ファイル内の鍵ストアのパスワードを暗号化する ために使用されるパスワード。鍵ストアはキー・グループの鍵を暗号化します。 これにより、各キー・グループの別名パスワードが順に暗号化されます。そのた め、KeyGroups.
delkeygroup キー・グループ全体を削除します。 delkeygroup -groupID groupname -groupID KeyGroups.
-drivetab ドライブ・テーブルをインポートします。 -config 構成ファイルをインポートします。 -url urlname は、新しいデータを取り出す場所を指定します。 例: import -merge -drivetab -url FILE:///keymanager/data/export.table list config.keystore.file プロパティーによって指定された鍵ストア内に含まれている証明 書をリストします。 list [-cert |-key|-keysym][-alias alias -verbose |-v] -cert 指定の鍵ストア内の証明書をリストします。 -key 指定の鍵ストア内のすべての鍵をリストします。 -keysym 指定の鍵ストア内の対称鍵をリストします。 -alias alias は、リストする特定の証明書を指定します。 -verbose|-v 証明書 (複数可) に関する詳細を表示します。 例: list -v は、鍵ストア内のものをすべてリストします。 list -alias mycert -v は、mycert 別名が config.
listconfig KeyManagerConfig.
-unset 指定のプロパティーを除去します。 -property name は、ターゲット・プロパティーの名前を指定します。 -value value は、-set が指定された場合に、ターゲット・プロパティーの新しい値を指 定します。 例: modconfig -set -property sync.
stopekm Encryption Key Manager サーバーを停止します。 例: stopekm sync 別の Encryption Key Manager サーバー上の構成ファイル・プロパティーまたはドラ イブ・テーブル情報 (あるいはその両方) を、コマンドを発行する Key Manager サ ーバーのものと同期させます。 注: 鍵ストアまたは KeyGroups.
第 6 章 問題判別 Encryption Key Manager の個々のコンポーネント、複数のコンポーネント、または すべてのコンポーネントに対してデバッグを使用可能に設定できます。 Encryption Key Manager サーバー問題に対する重要ファイルの確認 Encryption Key Manager が始動しない場合、問題の原因を識別するのに確認が必要 なファイルが、3 つあります。 v native_stdout.log および native_stderr.log – Encryption Key Manager サーバーはバックグラウンド・プロセスで稼働するた め、通常の情報およびエラー・メッセージを表示するコンソールはありませ ん。このようなメッセージは、この 2 つのファイルのログに記録されます。 – Encryption Key Manager サーバー・プロパティー・ファイルにプロパティー debug.output.
native_stderr.log at at at at at at at com.ibm.keymanager.KeyManagerException: Default keystore failed to load com.ibm.keymanager.keygroups.KeyGroupManager.loadDefaultKeyStore(KeyGroupManager.java:145) com.ibm.keymanager.keygroups.KeyGroupManager.init(KeyGroupManager.java:605) com.ibm.keymanager.EKMServer.c(EKMServer.java:243) com.ibm.keymanager.EKMServer.(EKMServer.java:753) com.ibm.keymanager.EKMServer.a(EKMServer.java:716) com.ibm.keymanager.EKMServer.main(EKMServer.
v EKM サーバー・プロパティー・ファイルには Server.authMechanism = LocalOS と指定されているが、EKMServicesAndSamples パッケージから必要なファイルが インストールされなかったか、または間違った場所にインストールされている。 1.
2. この問題を訂正するには、KeyManagerConfig.properties ファイル内の以下の項 目が既存の有効な鍵ストア・ファイルを指していることを確認してください。 Admin.ssl.keystore.name TransportListener.ssl.truststore.name TransportListener.ssl.keystore.name Admin.ssl.truststore.name 詳細については、付録 B の『Encryption Key Manager 構成プロパティー・ファ イル』を参照してください。 Failed to start EKM.
3. 特定の鍵ストアのプロパティー・ファイル内にタイプ項目がない場合、 Encryption Key Manager は、そのタイプが jceks であると想定します。 Failed to start the server. (サーバーを始動できません。) Listener thread is not up and running. (リスナー・スレッドが起動して稼 働していません。) このエラーが発生する理由は、多々考えられます。 1. KeyManagerConfig.properties ファイル内の以下の 2 つの項目が同じポートを指 している。 TransportListener.ssl.port TransportListener.tcp.port 各トランスポート・リスナーがそれぞれ固有のポートで listen するよう構成する 必要があります。 2.
No symmetric keys in symmetricKeySet, LTO drives cannot be supported.
表 6-1.
表 6-1. Encryption Key Manager によって報告されるエラー (続き) 6-8 エラー番号 説明 処置 EE25 暗号化構成上の問題。ドライブ・テーブルに 関連するエラーが発生しました。 config.drivetable.file.url が指定された場合、こ のパラメーターが KeyManagerConfig.
表 6-1.
表 6-1.
表 6-1.
説明 KMSAdmin コマンドでは、構成ファイルをコマンド行パラメーターとして渡す必要 があります。 システムの応答 プログラムは停止します。 オペレーターの応答 構成ファイルを提供して、コマンドを再試行してください。 Failed to Add Drive (ドライブを追加できません) テキスト Failed to add drive (ドライブを追加できません。)Drive already exists.
説明 modconfig コマンドを使用して Encryption Key Manager 構成を削除できませんでし た。 オペレーターの応答 help を使用してコマンド構文を調べ、提供されたパラメーターが正しいか確認して ください。詳しくは、監査ログを調べてください。 Failed to Delete the Drive Entry (ドライブ項目を削除できませ んでした) テキスト “deldrive”command failed. (「deldrive」コマンドが失敗しました。) 説明 deldrive コマンドは、ドライブ・テーブルからドライブ項目を削除できませんでし た。 オペレーターの応答 help を使用してコマンド構文を調べ、提供されたパラメーターが正しいか確認して ください。listdrives コマンドを使用して、ドライブが Encryption Key Manager で 構成されているか確認してください。詳しくは、監査ログを調べてください。 Failed to Import (インポートできませんでした) テキスト “import” command failed.
説明 modconfig コマンドを使用して Encryption Key Manager 構成を変更できませんでし た。 オペレーターの応答 help を使用してコマンド構文を調べ、提供されたパラメーターが正しいか確認して ください。詳しくは、監査ログを調べてください。 File Name Cannot be Null (ファイル名がヌルであってはなりま せん) テキスト File name was not supplied for audit log file. (監査ログ・ファイルにファイ ル名が提供されていません。) 説明 監査ファイル名が、Encryption Key Manager の構成プロパティーを介して指定され ていません。このパラメーターは、必須の構成パラメーターです。 システムの応答 プログラムは停止します。 オペレーターの応答 プロパティー Audit.handler.file.
No Data to be Synchronized (同期するデータがありません) テキスト No data can be found to be synchronized with “sync”. (「sync」で同期される データが見つかりません。) 説明 sync コマンドは、同期されるデータを識別できません。 オペレーターの応答 指定された構成ファイルが存在しており、ドライブ・テーブルが config.drivetable.file.url を使用して構成ファイルで正しく構成されているかどうかを 確認してください。help を使用して構文を確認し、sync コマンドを使用して再試行 してください。 Invalid Input (無効な入力) テキスト Invalid input parameters for the CLI.
オペレーターの応答 Encryption Key Manager を始動する際に、構成ファイルに TransportListener.ssl.port プロパティーに有効なポート番号を指定して、再始動 を試みてください。 Invalid TCP Port Number in Configuration File (構成ファイル 内の TCP ポート番号が無効です) テキスト Invalid TCP port number specified in the EKM configuration file. (構成ファ イル内の TCP ポート番号が無効です。) 説明 構成ファイルに提供された TCP ポート番号は有効な数値ではありません。 システムの応答 Encryption Key Manager は始動しません。 オペレーターの応答 Encryption Key Manager を始動する際に、構成ファイルに TransportListener.tcp.
Must Specify TCP Port Number in Configuration File (構成フ ァイルに TCP ポート番号を指定する必要があります) テキスト TCP port number is not configured in the properties file. (プロパティー・フ ァイルに TCP ポート番号が構成されていません。) 説明 TCP ポート番号は、構成プロパティー・ファイルに構成する必須プロパティーで す。これは、ドライブと Encryption Key Manager 間の通信に使用されます。 システムの応答 Encryption Key Manager は始動しません。 オペレーターの応答 TransportListener.tcp.
ください。help を使用してコマンド構文を確認し、sync コマンド構文を調べてくだ さい。詳しくは、ログを調べてください。 The Specified Audit Log File is Read Only (指定の監査ログ・ ファイルは読み取り専用です) テキスト The audit log file can not be opened for writing. (監査ログ・ファイルを書き 込み用に開けません。) 説明 プロパティー Audit.handler.file.
Unable to load the keystore (鍵ストアをロードできません) テキスト Keystore for EKM can not be loaded. (EKM の鍵ストアをロードできません。) 説明 Encryption Key Manager に対して指定された鍵ストアをロードできません。 システムの応答 Encryption Key Manager は始動しません。 オペレーターの応答 構成ファイル・セットアップを確認します。Encryption Key Manager 構成ファイル 内のプロパティー config.keystore.file、config.keystore.provider、および config.keystore.type が正しく、鍵ストア・ファイルが既に存在し、読み取り権限 を持っていることを確認してください。config.keystore.
サポートされないアクション テキスト User entered action for the CLI which is not supported for EKM.
第 7 章 監査レコード 注: この章で説明している監査レコード・フォーマットは、プログラミング・イン ターフェースとみなされません。これらのレコードのフォーマットは、リリー スによって異なる場合があります。フォーマットについては、監査レコードの 構文解析が必要な場合に、この章で説明しています。 監査の概要 監査サブシステムは、Encryption Key Manager による要求の処理中に各種の監査可 能イベントが発生したときに、テキストによる監査レコードを一連の順次ファイル に書き込みます。監査サブシステムは、ファイルに対して書き込みます (ディレク トリーおよびファイルの名前は構成可能です)。これらのファイルのファイル・サイ ズも構成可能です。レコードがファイルに書き込まれ、ファイルのサイズが構成可 能なサイズに達すると、そのファイルはクローズされて、現在タイム・スタンプに 基づいて名前変更されると、別のファイルがオープンされ、新たに作成されたファ イルにレコードが書き込まれます。監査レコードのログ全体は、このようにして、 構成可能なサイズのファイルに分けられ、それぞれの名前は、ファイルのサイズが
all すべてのイベント・タイプ authentication 認証イベント data_synchronization Encryption Key Manager サーバー間での情報の同期中に発生 するイベント runtime Encryption Key Manager に送信される処理動作および要求の 一部として発生するイベント configuration_management 構成変更が行われるときに発生するイベント resource_management Encryption Key Manager のリソース (テープ・ドライブ) 設定 が変更されるときに発生するイベント 例 この構成値の指定例は、次のとおりです。 Audit.event.types=all 別の例として、次のものもあります。 Audit.event.types=authentication;runtime;resource_management Audit.event.outcome 構文 Audit.event.
例 Audit.eventQueue.max=8 Audit.handler.file.directory 構文 Audit.handler.file.directory=directoryName 使用法 このパラメーターは、監査レコード・ファイルを書き込むディレクトリーを指示す るのに使用されます。指定したディレクトリーが存在しない場合、Encryption Key Manager はそのディレクトリーの作成を試行することに注意してください。ただ し、正常に作成できない場合、Encryption Key Manager は始動されません。 Encryption Key Manager を実行する前に、目的のディレクトリーが存在しているよ うにしてください。Encryption Key Manager が実行されるユーザー ID が、指定さ れたディレクトリーに対して書き込みアクセスを持っていることも必要です。 例 ディレクトリーを /var/ekm/ekm1/audit に設定するには、次のように指定します。 Audit.handler.file.
ーターは、完全修飾パス名ではなく、基本ファイル名のみを含む必要があることに 注意してください。監査ログ・ファイルの絶対パス名では、そのファイルが書き込 まれた時間に相当する値がこの名前に付加されます。 これを示すために、Audit.handler.file.name の値が ekm.log に設定されている例を考 えてみます。ファイルの絶対パス名は、ekm.log.2315003554 のようなものになりま す。付加されたストリングは、監査ログ・ファイルが作成された順序を判別するの に役立ちます。数値が大きいほど、新しい監査ログ・ファイルであることを表しま す。 例 基底名を ekm.log に設定する例は、次のとおりです。 Audit.handler.file.name=ekm.log Audit.handler.file.multithreads 構文 Audit.handler.file.
監査レコード・フォーマット すべての監査レコードは、ここで説明されている類似の出力フォーマットを使用し ます。すべての監査レコードには、発生した監査イベントに固有の情報と共に、タ イム・スタンプおよびレポート・タイプを含む共通情報が入っています。監査レコ ードの一般的なフォーマットを以下に示します。 AuditRecordType:[ timestamp=timestamp Attribute Name=Attribute Value ...
表 7-1.
message 値および user 値は、それらのための情報が使用可能な場合にのみ表示さ れることに注意してください。 リソース管理イベント これらのレコードのフォーマットは、次のとおりです。 Resource management event: timestamp=timestamp event source=source outcome=outcome event type=SECURITY_MGMT_RESOURCE message=message action=action user=user resource=resource ] message 値は、それのための情報が使用可能な場合にのみ表示されることに注意し てください。 構成管理イベント これらのレコードのフォーマットは、次のとおりです。 Configuration management event: timestamp=timestamp event source=source outcome=outcome event type=SECURITY_MGMT_CONFIG message=message action=action c
表 7-2.
表 7-2.
7-10 Dell Encryption Key Manager ユーザーズ・ガイド
第 8 章 メタデータの使用 Encryption Key Manager は、データが暗号化されてテープに書き込まれるときに重 要情報を取り込む XML ファイルを作成するよう構成する必要があります。このフ ァイルをボリューム通し番号で照会すると、そのボリュームで使用された別名また は鍵ラベルを表示できます。逆に、ファイルを別名で照会すると、その鍵ラベル/別 名と関連付けられたすべてのボリュームを表示できます。 注: メタデータ・ファイルを構成しない場合、Encryption Key Manager は始動しま せん。 暗号化処理の実行に合わせて、Encryption Key Manager は以下のデータを収集しま す。 v Drive Serial Number (ドライブのシリアル番号) v Drive WorldWideName (ドライブ World Wide Name) v Creation Date (作成日) v Key Alias 1 (鍵別名 1) v Key Alias 2 (鍵別名 2) v DKi v VolSer 収集されたデータが一定の限度に達すると、XML ファイルに書き込ま
FVTDRIVE0000 -Drive Serial Number TESTER -Volume Serial 57574E414D453030 -drive WWN cert2 -Key Alias1 cert1 - keyAlias2 Tue Feb 20 09:18:07 CST 2007 - creation date 注: LTO 4 および LTO 5 ドライブの場合、存在するのは レコードのみであり、DKi は記録されません。 メタデータ XML ファイルの照会 メタデータ・ファイルを照会するには、EKMDataParser ツールを使用します。この ツールは、Document Object Model (DOM) 技法を使用して X
表 8-1. メタデータの照会出力形式 (続き) cert1 cert2 72448 Wed Mar 14 10:31:32 CDT 2007 FVTDRIVE0004 破損したメタデータ・ファイルからのリカバリー Encryption Key Manager が適切にシャットダウンされなかった場合、または Encryption Key Manager が実行されているシステムが異常終了した場合、Encryption Key Manager メタデータ・ファイルが破損する可能性があります。編集または変更 を適切に行わなかった場合にも、メタデータ・ファイルが破損することがありま す。この破損は、EKMDataParser がメタデータ・ファイルの構文解析を行うまで認 識されません。 EKMDataParser が、以下のようなエラーで失敗することがありま す。 [Fatal Error] EKMData.xml:290:16: The end-tag for element type "KeyUsageEvent" must end with a '>' delimiter. org.xml.sax.
001310000109 5005076312418B07 key00000000000000000F 6B657900000000000000000F Thu Aug 30 09:50:53 MDT 2007 001310000100 5005076312418ABB key000000000000000000 6B6579000000000000000000 Thu Sep 06 16:49:39 MDT 2007 Thu Aug
付録 A. サンプル・ファイル サンプル始動デーモン・スクリプト 重要: ご自分の鍵ストア・データを保持することの重要性は、ど れほど強調しても強調しすぎることはありません。ご自分の鍵ス トアにアクセスできなければ、暗号化されたテープを暗号化解除 することはできません。鍵ストアおよびパスワード情報は、必ず 保存してください。 Linux プラットフォーム 以下に、実績のある方法で EKM がバックグラウンドで開始されるようにするスク リプトのサンプルを示します。このスクリプトは、EKM を開始すると、スクリプト を通じて鍵ストア・パスワード keystore_password を引き渡します。この方法では、 鍵ストア・パスワードが EKM 構成ファイルに入っている必要はありません (以下 を参照)。スクリプト・ファイルには、次のものが入っているはずです。 java com.ibm.keymanager.KMSAdminCmd KeyManagerConfig.
Admin.ssl.keystore.name = /keymanager/testkeys Admin.ssl.keystore.type = jceks Admin.ssl.truststore.name = /keymanager/testkeys Admin.ssl.truststore.type = jceks Audit.event.outcome = success,failure Audit.event.types = all Audit.eventQueue.max = 0 Audit.handler.file.directory = /keymanager/audit Audit.handler.file.name = kms_audit.log Audit.handler.file.size = 10000 Audit.metadata.file.name = /keymanager/metafile.xml config.drivetable.file.url = FILE:///keymanager/drivetable config.keystore.
付録 B. Encryption Key Manager 構成プロパティー・ファイル Encryption Key Manager には 2 つの構成プロパティー・ファイルが必要です。1 つ は Encryption Key Manager サーバー用、もう 1 つは CLI クライアント用です。こ れらのファイルは、それぞれ、Java.util.Properties ロード・ファイルとして扱われて 構文解析されます。この結果、プロパティーのフォーマットと仕様について、以下 の特定の制約が生じます。 v 構成プロパティーは 1 行につき 1 つ記録されます。特定のプロパティーに対す る値は、その行の最後まで続きます。 v パスワードのようにスペースを含むプロパティー値は、引用符で囲む必要はあり ません。 v 鍵ストアのパスワードは、長さが 127 文字を超えないようにしてください。 v 誤って行末に空白文字を入れると、プロパティー値の一部と解釈されることがあ ります。 サンプル構成プロパティー・ファイルは、http://support.dell.
Secure Socket Layer クライアント操作に使用される、鍵ペアおよび証明書 のデータベース名です。sync 操作では、セキュア・ソケット・クライアン トがセキュア・ソケット・サーバーに提示する証明書は、この鍵ストアから 取得されます。 必須 オプション。sync コマンドでのみ使用されます。デフォル トは config.keystore.file プロパティー値です。 Admin.ssl.keystore.password = password Admin.ssl.keystore.name にアクセスするためのパスワード 必須 オプション。指定されなかった場合は、Encryption Key Manager の始動時にプロンプトが出されます。指定された 場合、このプロパティーの値はセキュリティーを向上させる ために暗号化され、プロパティー・ファイルのスタンザ名そ のものが「Admin.ssl.keystore.password.obfuscated」という新 しいスタンザに置き換えられます。 Admin.ssl.keystore.
Audit.event.outcome = value 指定された結果に終わった監査イベントのみが記録されます 必須 はい 値 success | failure。コンマまたはセミコロンで区切ると、両方 を指定できます。 デフォルト success Audit.event.Queue.max = 0 ファイルへのフラッシュが始まる、監査メモリー・キュー内でのイベント・ オブジェクトの最大数。 必須 オプション。(推奨)。 値 0 - ? (0 は即時フラッシュを意味します。) デフォルト 0 Audit.event.
Audit.handler.file.threadlifespan = value 1 つの監査レコード処理スレッドの存続時間を制限します。 audit.handler.file.multithreads= true の場合にのみ有用です。 必須 オプション。 値 ミリ秒単位で指定されます。 デフォルト 10000 Audit.metadata.file.cachecount = 100 メタデータ・ファイルを作成する前にメモリーに保管するレコードの数を指 定します。 必須 いいえ デフォルト 100 Audit.metadata.file.name = value メタデータ・レコードが保管される XML ファイルの名前を指定します。 必須 はい Audit.metadata.file.
必須 オプション。 config.keystore.type = jceks 必須 オプション。(推奨)。 デフォルト jceks debug = value 指定された Encryption Key Manager コンポーネントについてデバッグを有 効にします。 必須 オプション。 値 all | audit | server | drivetable | config | admin | transport | logic | keystore | console | none。コンマで区切ると、複数の 値を指定できます。 デフォルト none debug.output = value 指定された場所にデバッグ出力を送ります。 必須 オプション。 値 simple_file | console (推奨しません)。 debug.output.file = debug デバッグ出力が書き込まれるパスおよびファイル名。 必須 オプション。debug.output = simple_file の場合は必須です。 ファイルへのパスが存在している必要があります。 drive.
必須 オプション。 Server.authMechanism = value ローカル/リモート・クライアントで使用される認証メカニズムを指定しま す。値が EKM に設定されている場合、CLI クライアント・ユーザーは usr/passwd を EKMAdmin/changeME として使用し、サーバーにログインす る必要があります (このパスワードは chgpasswd コマンドを使用して変更 できます)。値が LocalOS として指定されている場合は、クライアント認証 はローカル・オペレーティング・システム・レジストリーに対して実行され ます。(KeyManagerConfig.properties ファイルを変更する前に、必ず Encryption Key Manager サーバーをシャットダウンしてください。) CLI ク ライアント・ユーザーは OS usr/passwd を使用してサーバーにログインす る必要があります。Linux のプラットフォームにおけるローカル OS ベース の認証の場合、以下の追加のステップが必要です。 1.
symmetricKeySet = {GroupID | keyAliasList [, keyAliasList,]} LTO 4 および LTO 5 テープ・ドライブに使用される対称鍵別名およびキ ー・グループを指定します。 必須 オプション。LTO 4 および LTO 5 テープ・カートリッジ にのみ適用されます。 値 GroupID には 1 つの値を指定し、keyAliasList には 1 つ以 上の値を指定します。 GroupID は、対称鍵のリストを事前に準備して、テープ・ ドライブに別名が指定されないときにデフォルトとして機能 するキー・グループ名を指定します。GroupID は KeyGroups.xml ファイルの既存のキー・グループ ID と一致 する必要があります。一致しない場合は、 KeyManageException が戻されます。複数の GroupID が指 定されている場合は、KeyManagerException が戻されます。 有効な GroupID を指定すると、キー・グループ XML で最 後に使用された鍵が記録され、KeyGroups.
注: 構成情報のマージは、構成情報の再書き込みと同じです。 sync.ipaddress = ip_addr:ssl 自動同期するリモート Encryption Key Manager の IP アドレスとポートを 指定します。 必須 オプション。このプロパティーが指定されていない、あるい は誤って指定された場合は、sync 関数は使用不可になりま す。 値 リモート・サーバーの IP アドレス:SSL ポート番号 sync.timeinhours = value リモート Encryption Key Manager との自動同期を行うまでに待機する時間 数を指定します。 必須 オプション。 値 時間単位で指定されます。 デフォルト 24 sync.type = value 自動同期するデータを指定します。 必須 オプション。 値 config | drivetab | all デフォルト drivetab TransportListener.ssl.
必須 はい TransportListener.ssl.keystore.password = password TransportListener.ssl.keystore.name にアクセスするためのパスワード。指定さ れた場合、このプロパティーの値はセキュリティーを向上させるために暗号 化され、プロパティー・ファイルのスタンザ名そのものが 「TransportListener.ssl.keystore.password.obfuscated」という新しいスタンザに 置き換えられます。 必須 オプション。 TransportListener.ssl.keystore.type = jceks 必須 オプション。(推奨)。 値 JCEKS TransportListener.ssl.
必須 オプション。(推奨)。 値 JCEKS TransportListener.tcp.port = value Encryption Key Manager サーバーが、テープ・ドライブからの要求がないか listen するポート。デフォルトの TCP ポート番号は 3801 です。 必須 はい 値 ポート番号 (例えば、10)。 TransportListener.tcp.timeout = value ソケットが SocketTimeoutException をスローするまでに read() を待機する 時間の長さを指定します。 必須 オプション。 値 分単位で指定されます。0 はタイムアウトなしを意味しま す。 デフォルト 10 CLI クライアント構成プロパティー・ファイル このファイル (ClientKeyManagerConfig.properties) には、KeyManagerConfig.
TransportListener.ssl.keystore.name = value この鍵ストアは、Encryption Key Manager クライアントが Encryption Key Manager サーバーと通信し、セキュア・ソケット・クライアントとして機能 するために使用します。 必須 はい TransportListener.ssl.keystore.type = jceks 鍵ストアのタイプ。 必須 オプション。(推奨)。 デフォルト jceks TransportListener.ssl.port = value これは、CLI クライアントが Encryption Key Manager サーバーと通信する ために使用するポートです。 必須 はい 値 この値は Encryption Key Manager サーバー・プロパティ ー・ファイル (KeyManagerConfig.properties) の TransportListener.ssl.port に指定された値と一致する必要があ ります。 TransportListener.ssl.
B-12 Dell Encryption Key Manager ユーザーズ・ガイド
付録 C. FAQ (よく尋ねられる質問) アプリケーション・ベースの鍵管理とライブラリー管理の暗号化を組み合わせて使 用できますか? いいえ。アプリケーション管理暗号化が使用される場合、暗号化は、ライブラリ ー層で透過的となります。同様に、ライブラリーが管理する暗号化が使用される 場合、プロセスは他の層でも透過的です。暗号化管理の各方式は、それぞれ排他 的です。ライブラリー管理暗号化の場合、アプリケーションを変更する必要はあ りません。 テープの暗号化または暗号化解除の要求を生成する可能性のあるすべてのシステム に Encryption Key Manager をインストールして実行する必要がありますか? ライブラリー管理の暗号化に関しては、テープ・ドライブ書き込み要求の発信元 であるシステムが、Encryption Key Manager が実行中のシステムである必要は ありません。しかも、Encryption Key Manager のインスタンスが、暗号化する テープ・ドライブへのアクセス元であるすべてのシステムで実行する必要もあり ません。 「drive.
Encryption Key Manager では、証明書の名前を変更したり、証明書を更新する必 要がありますか? 特に指定のない限り、Encryption Key Manager は失効した証明書を使用して新 規の鍵要求を受理するように構成されています。 Encryption Key Manager がこ のように構成されている場合、証明書の更新は必要ありません。この機能が無効 とされていても、この秘密鍵/証明書のペアを新規の鍵要求に使用する必要があ る場合は、ユーザーは証明書を更新する必要があります。証明書 (有効期日) の みが更新されますが、関連付けられた鍵は更新されません。 新しいバージョンの Encryption Key Manager は、以前のバージョンのソフトウェ アで作成された暗号化テープを読み取りますか? はい。Encryption Key Manager はリリースに関係なく証明書を受理します。 C-2 Dell Encryption Key Manager ユーザーズ・ガイド
特記事項 商標 Dell、Dell ロゴ、および PowerVault は、Dell Inc. の商標です。Microsoft および Windows は、Microsoft Corporation の登録商標です。他の商標および商標名は、そ れぞれ各社の商標、商標名、または製品です。 Dell Inc.
D-2 Dell Encryption Key Manager ユーザーズ・ガイド
用語集 この用語集は、本書および他の関連資料で使用す る特別な用語、略語、および頭字語を定義したも のです。 [ア行] 暗号化 (encryption). データを暗号に変換すること。デ ータの暗号化および暗号化解除には鍵が必要である。暗 号化により、鍵なしにデータにアクセスを試みる人また はソフトウェアから保護される。 [カ行] 鍵ストア (keystore). 秘密鍵とそれに関連する X.509 デジタル証明書チェーンのデータベースで、対応する公 開鍵を認証するために使用される。環境によっては、証 明書ストアまたは鍵リングともいう。 鍵の変更 (rekey). 既に暗号化されているテープに格納 されているデータ・キー (DK) を保護する非対称の鍵暗 号化鍵を変更するプロセス。これにより、異なるエンテ ィティーがそのデータにアクセスすることが可能にな る。 鍵ラベル (key label).
E-2 Dell Encryption Key Manager ユーザーズ・ガイド
索引 日本語, 数字, 英字, 特殊文字の 順に配列されています。なお, 濁 音と半濁音は清音と同等に扱われ ています。 暗号化 アプリケーション管理 1-5 1-5 鍵のラッピング 1-6 1-6 計画 2-1, 2-2 公開鍵 1-6 対称暗号化 1-6 データ・キー 非対称暗号化 秘密鍵 1-6 管理 5-1 キー・グループ 特記事項 3-17 ライブラリー管理 構成 シングル・サーバー 2 サーバー 1-6 Encryption Key Manager によって報告 されるエラー 6-6 インストールと構成 4-1 エラー Encryption Key Manager によって報告 される 6-6 [カ行] 鍵 LTO に対して対称 3-12 鍵ストアの作成 Encryption Key Manager GUI 3-6 鍵ストア・パスワード 3-14 鍵ストア・パスワードの変更 3-14 監査 7-1 イベント 7-7 概要 7-1 属性 7-6 パラメーター 7-1 Audit.eventQueue.max 7-2 Audit.event.
メッセージ (続き) Must specify SSL port number in config file (構成ファイルに SSL ポ C CLI Windows 起動 5-6 debug 6-2 ート番号を指定する必要があります) 6-16 Must specify TCP port number in config file (構成ファイルに TCP ポ W 前提条件 ClientKeyManagerConfig.