Db2 ネイティブ暗号化
昨今お客様のセキュリティーポリシーにより顧客データが入っているDBは暗号化しなくてはならない事が多いと思うので、今回は暗号化設定も行います。
ローカルキーストア作成
Db2 関連のオブジェクトはディスク追加時に新規に作成した /data 以下に配置したいので、/data のオーナーを変更し、キーストアとスタッシュファイルを置いておくディレクトリを作成しておきます。
作業は プライマリー と スタンバイで行います。
# chown db2inst1:db2iadm1 /data # su - db2inst1 $ mkdir /data/key
プライマリー だけでキーストアを作成します。
$ gsk8capicmd_64 -keydb -create -db "/data/key/db2key.p12" -pw 'PASSWORD' -type pkcs12 -stash $ ls /data/key/ db2key.p12 db2key.sth
PASSWORD の部分はお客様のパスワードポリシーに合ったパスワードを設定して下さい。
コマンド実行時に指定したディレクトリに *.p12(キーストア) と *.sth(スタッシュファイル)が作成されていることを確認します。
マスターキー追加
Db2 の暗号化では CREATE DATABASE 時に暗号化を指定した場合、デフォルトでは Db2 が新規マスターキーを作成しキーストアに登録してくれますが、今回は手動でマスターキーを作成し、使用できるように設定します。
マスターキー追加
$ gsk8capicmd_64 -secretkey -create -label "HADR_KEY" -db "/data/key/db2key.p12" -size 32 -stashed
正常終了時は特に何も出力されないので、以下のコマンドで確認しておきます。
$ gsk8capicmd_64 -cert -details -label "HADR_KEY" -db "/data/key/db2key.p12" -pw 'PASSWORD'
ラベル : HADR_KEY
鍵サイズ : 32
Secret Key :
A6 FD A8 24
:
指定したキーラベルが反映されていれば問題ありません。
暗号化キー転送
作成したキーストアとスタッシュファイルをスタンバイへ scp 転送します。
プライマリーから scp を実行します。
$ scp -p /data/key/db2key.* 10.146.0.8:/data/key/ db2key.p12 100% 3236 379.2KB/s 00:00 db2key.sth 100% 193 104.8KB/s 00:00
正常に転送されているかをスタンバイで確認します。
$ ls -l /data/key/ 合計 8 -rw------- 1 db2inst1 db2iadm1 3236 11月 17 14:18 db2key.p12 -rw------- 1 db2inst1 db2iadm1 193 11月 17 14:14 db2key.sth
2 件のコメント