dsetool createsystemkey
透過的なデータ暗号化(TDE)用の暗号化/復号化キーを作成します。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。| パッケージ・インストール | /etc/dse/dse.yaml |
| tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
透過的なデータ暗号化(TDE)用の暗号化/復号化キーを作成します。
「透過的なデータ暗号化」を参照してください。
構文
dsetool createsystemkey [cipher_algorithm[/mode/padding] [length] [key_name] [-d filepath] [-k=kmip_groupname [-t kmip_template] [-n namespace]]
| 構文規則 | 説明 |
|---|---|
| 大文字 | リテラル・キーワード。 |
| 小文字 | リテラル以外。 |
Italics |
変数値。有効なオプションまたはユーザー定義値と置き換えます。 |
[ ] |
任意。角かっこ( [] )で任意のコマンド引数を囲みます。角かっこは入力しないでください。 |
( ) |
グループ。丸かっこ(( ))は、選択肢を含むグループを示します。丸かっこは入力しないでください。 |
| |
または。縦棒(|)で代替要素を区切ります。要素のいずれかを入力してください。縦棒は入力しないでください。 |
... |
繰り返し可能。省略記号(...)は、構文要素を必要な回数だけ繰り返すことができることを示します。 |
'Literal string' |
単一引用符( ' )でCQL文内のリテラル文字を囲みます。大文字を維持するには、単一引用符を使用します。 |
{ key:value } |
マップ・コレクション。中かっこ( { } )でマップ・コレクションまたはキーと値のペアを囲みます。コロンでキーと値を区切ります。 |
<datatype1,datatype2> |
セット、リスト、マップ、またはタプル。山かっこ(< >)で、セット、リスト、マップまたはタプル内のデータ型を囲みます。データ型をカンマで区切ります。 |
cql_statement; |
CQL文の終了。セミコロン( ; )ですべてのCQL文を終了します。 |
[ -- ] |
コマンドライン・オプションとコマンド引数は、2つのハイフン(--)で区切ります。この構文は、引数がコマンドライン・オプションと間違われる可能性がある場合に役立ちます。 |
' <schema> ...</schema> ' |
検索CQLのみ:単一引用符( ' )でXMLスキーマ宣言全体を囲みます。 |
@xml_entity='xml_entity_type' |
検索CQLのみ:スキーマ・ファイルおよびsolrconfigファイル内のXML要素を上書きする実体とリテラル値を示します。 |
- cipher_algorithm[/mode/padding]
- DSEは以下のJCE暗号化アルゴリズムをサポートします。
- AES/CBC/PKCS5Padding(長さ128、192、または256で有効)
- AES/ECB/PKCS5Padding(長さ128、192、または256で有効)
- DES/CBC/PKCS5Padding(長さ56で有効)
- DESede/CBC/PKCS5Padding(長さ112または168で有効)
- Blowfish/CBC/PKCS5Padding(長さ32~448で有効)
- RC2/CBC/PKCS5Padding(長さ40~128で有効)
- -d filepath, --directory filepath
- キー・ファイル出力ディレクトリー。DSEのインストール前にキー・ファイルの作成を有効にします。通常このオプションは、AnsibleなどのIT自動化ツールで使用します。ディレクトリーが指定されていない場合は、キーはdse.yamlのsystem_key_directoryの値に保存されます。
- length
- cipher_algorithmが指定されている場合は必須です。HMACアルゴリズムにはキー長は必要ありません。デフォルト値:128(デフォルトの暗号化アルゴリズムがAES/CBC/PKCS5Paddingの場合)
- key_name
- 生成されたシステム・キー・ファイルの一意のファイル名。暗号化キー・ファイルには有効なUnix名を指定できます。名前を指定しない場合のデフォルトのファイル名はsystem_keyです。デフォルトのキー・ファイル名は構成できません。
- -k=kmip_groupname
- dse.yamlのkmip_hostsセクションで定義されるKMIPグループの名前。
- -t kmip_template
- 指定されたKMIPプロバイダーのキー・テンプレート。
- -n namespace
- 指定されたKMIPプロバイダーの名前空間。
例
ローカル・キー・ファイルを作成するには:
dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 system_key2
ここで、system_key2は、生成されたキー・ファイルの一意のファイル名です。
オフサーバー・キーファイルを作成するには:
dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 system_key2 -kmip=group2
ここで、group2はdse.yamlのkmip_hostsセクションで定義されたキー・サーバー・グループです。
特定のディレクトリーにローカル・キー・ファイルを作成する。
dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 -d /mydir「ローカル暗号化キーの設定」を参照してください。