ローカル暗号化キーの設定

ローカル暗号化キーを作成して、テーブルおよび構成ファイルのプロパティに使用するファイル名を設定します。

ローカル暗号化キー・ファイルを作成して、クラスター内のすべてのノードの同じ場所に配布し、dse.yaml system_key_directoryおよびconfig_encryption_key_nameプロパティを更新します。
注: 暗号化キーを変更するには、「既存のデータのキー更新」を参照してください。
dse.yamlファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストールInstaller-Servicesインストール

 /etc/dse/dse.yaml

tarボール・インストールInstaller-No Servicesインストール

 installation_location/resources/dse/conf/dse.yaml

手順

  1. すべての暗号化アルゴリズムを確実にサポートするには、JCEをインストールします
  2. 暗号化キーのファイル名と場所をdse.yamlファイルで構成します。
    1. system_key_directoryプロパティを、暗号化キーを格納するパスに設定します。 
      system_key_directory: /etc/dse/conf
    2. ディレクトリーの所有者をDSEアカウントに変更して、そのDSEアカウントが確実に読み取り/書き込みパーミッションを持つようにします。
    3. config_encryption_key_namekey_nameに設定します。デフォルトの名前はsystem_keyです。 
      config_encryption_key_name: system_key
  3. system_key_directoryに移動して、dsetool createsystemkeyコマンドを使用して暗号化キーを作成します。
    例を次に示します。
    dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 key_name
    ここで、key_nameはファイル名です。ファイル名を指定しない場合、キー・ファイルにはsystem_keyという名前が付けられます。DSEは以下のJCE暗号化アルゴリズムをサポートしています。
    cipher_algorithm[/mode/padding]
    DSEは以下のJCE暗号化アルゴリズムをサポートします。
    • AES/CBC/PKCS5Padding(長さ128、192、または256で有効)
    • AES/ECB/PKCS5Padding(長さ128、192、または256で有効)
    • DES/CBC/PKCS5Padding(長さ56で有効)
    • DESede/CBC/PKCS5Padding(長さ112または168で有効)
    • Blowfish/CBC/PKCS5Padding(長さ32~448で有効)
    • RC2/CBC/PKCS5Padding(長さ40~128で有効)
    デフォルト値:AES/CBC/PKCS5Padding(長さ128で有効)
    注: 暗号化キー・ファイルには、有効なUnix名を指定できます。
  4. クラスター内のその他のすべてのノードにキー・ファイルをコピーして、dse.yamlsystem_key_directorysystem_key_directoryを更新します。
    注: dsetoolは、dse.yamlから現在の値を読み取ります。再起動せずに、引き続き暗号化を設定できます。