Db2 HADR on GCP – Part 7 Db2 インスタンス作成

1,429 views

Db2 ネイティブ暗号化

昨今お客様のセキュリティーポリシーにより顧客データが入っているDBは暗号化しなくてはならない事が多いと思うので、今回は暗号化設定も行います。

ローカルキーストア作成

Db2 関連のオブジェクトはディスク追加時に新規に作成した /data 以下に配置したいので、/data のオーナーを変更し、キーストアとスタッシュファイルを置いておくディレクトリを作成しておきます。
作業は プライマリー スタンバイで行います。

# chown db2inst1:db2iadm1 /data
# su - db2inst1
$ mkdir /data/key

プライマリー だけでキーストアを作成します。

$ gsk8capicmd_64 -keydb -create -db "/data/key/db2key.p12" -pw 'PASSWORD' -type pkcs12 -stash
$ ls /data/key/
db2key.p12 db2key.sth

PASSWORD の部分はお客様のパスワードポリシーに合ったパスワードを設定して下さい。
コマンド実行時に指定したディレクトリに *.p12(キーストア) と *.sth(スタッシュファイル)が作成されていることを確認します。

マスターキー追加

Db2 の暗号化では CREATE DATABASE 時に暗号化を指定した場合、デフォルトでは Db2 が新規マスターキーを作成しキーストアに登録してくれますが、今回は手動でマスターキーを作成し、使用できるように設定します。

マスターキー追加

$ gsk8capicmd_64 -secretkey -create -label "HADR_KEY" -db "/data/key/db2key.p12" -size 32 -stashed

正常終了時は特に何も出力されないので、以下のコマンドで確認しておきます。

$ gsk8capicmd_64 -cert -details -label "HADR_KEY" -db "/data/key/db2key.p12" -pw 'PASSWORD'
ラベル : HADR_KEY
鍵サイズ : 32
Secret Key :
A6 FD A8 24
:

指定したキーラベルが反映されていれば問題ありません。

暗号化キー転送

作成したキーストアとスタッシュファイルをスタンバイへ scp 転送します。
プライマリーから scp を実行します。

$ scp -p /data/key/db2key.* 10.146.0.8:/data/key/
db2key.p12                                       100% 3236   379.2KB/s   00:00
db2key.sth                                       100%  193   104.8KB/s   00:00

正常に転送されているかをスタンバイで確認します。

$ ls -l /data/key/
合計 8
-rw------- 1 db2inst1 db2iadm1 3236 11月 17 14:18 db2key.p12
-rw------- 1 db2inst1 db2iadm1  193 11月 17 14:14 db2key.sth
関連記事

2 件のコメント

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA