dsetool createsystemkey

透過的なデータ暗号化(TDE)用の暗号化/復号化キーを作成します。

dse.yaml

dse.yamlファイルの場所は、インストールのタイプによって異なります。
パッケージ・インストール /etc/dse/dse.yaml
tarボール・インストール installation_location/resources/dse/conf/dse.yaml

透過的なデータ暗号化(TDE)用の暗号化/復号化キーを作成します。

透過的なデータ暗号化」を参照してください。

構文

dsetool createsystemkey 
[cipher_algorithm[/mode/padding] 
[length] [key_name]
[-d filepath] [-k=kmip_groupname 
[-t kmip_template] [-n namespace]]
1. 凡例
構文規則 説明
大文字 リテラル・キーワード。
小文字 リテラル以外。
Italics 変数値。有効なオプションまたはユーザー定義値と置き換えます。
[ ] 任意。角かっこ( [] )で任意のコマンド引数を囲みます。角かっこは入力しないでください。
( ) グループ。丸かっこ(( ))は、選択肢を含むグループを示します。丸かっこは入力しないでください。
| または。縦棒(|)で代替要素を区切ります。要素のいずれかを入力してください。縦棒は入力しないでください。
... 繰り返し可能。省略記号(...)は、構文要素を必要な回数だけ繰り返すことができることを示します。
'Literal string' 単一引用符( ' )でCQL文内のリテラル文字を囲みます。大文字を維持するには、単一引用符を使用します。
{ key:value } マップ・コレクション。中かっこ( { } )でマップ・コレクションまたはキーと値のペアを囲みます。コロンでキーと値を区切ります。
<datatype1,datatype2> セット、リスト、マップ、またはタプル。山かっこ(< >)で、セット、リスト、マップまたはタプル内のデータ型を囲みます。データ型をカンマで区切ります。
cql_statement; CQL文の終了。セミコロン( ; )ですべてのCQL文を終了します。
[ -- ] コマンドライン・オプションとコマンド引数は、2つのハイフン(--)で区切ります。この構文は、引数がコマンドライン・オプションと間違われる可能性がある場合に役立ちます。
' <schema> ...</schema> ' 検索CQLのみ:単一引用符( ' )でXMLスキーマ宣言全体を囲みます。
@xml_entity='xml_entity_type' 検索CQLのみ:スキーマ・ファイルおよびsolrconfigファイル内のXML要素を上書きする実体とリテラル値を示します。
cipher_algorithm[/mode/padding]
DSEは以下のJCE暗号化アルゴリズムをサポートします。
  • AES/CBC/PKCS5Padding(長さ128、192、または256で有効)
  • AES/ECB/PKCS5Padding(長さ128、192、または256で有効)
  • DES/CBC/PKCS5Padding(長さ56で有効)
  • DESede/CBC/PKCS5Padding(長さ112または168で有効)
  • Blowfish/CBC/PKCS5Padding(長さ32~448で有効)
  • RC2/CBC/PKCS5Padding(長さ40~128で有効)
デフォルト値:AES/CBC/PKCS5Padding(長さ128で有効)
-d filepath, --directory filepath
キー・ファイル出力ディレクトリー。DSEのインストール前にキー・ファイルの作成を有効にします。通常このオプションは、AnsibleなどのIT自動化ツールで使用します。ディレクトリーが指定されていない場合は、キーはdse.yamlsystem_key_directoryの値に保存されます。
length
cipher_algorithmが指定されている場合は必須です。HMACアルゴリズムにはキー長は必要ありません。デフォルト値:128(デフォルトの暗号化アルゴリズムがAES/CBC/PKCS5Paddingの場合)
key_name
生成されたシステム・キー・ファイルの一意のファイル名。暗号化キー・ファイルには有効なUnix名を指定できます。名前を指定しない場合のデフォルトのファイル名はsystem_keyです。デフォルトのキー・ファイル名は構成できません。
-k=kmip_groupname
dse.yamlkmip_hostsセクションで定義されるKMIPグループの名前。
-t kmip_template
指定されたKMIPプロバイダーのキー・テンプレート。
-n namespace
指定されたKMIPプロバイダーの名前空間。

ローカル・キー・ファイルを作成するには:

dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 system_key2

ここで、system_key2は、生成されたキー・ファイルの一意のファイル名です。

オフサーバー・キーファイルを作成するには:

dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 system_key2 -kmip=group2

ここで、group2はdse.yamlkmip_hostsセクションで定義されたキー・サーバー・グループです。

特定のディレクトリーにローカル・キー・ファイルを作成する。

dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 -d /mydir
ローカル暗号化キーの設定」を参照してください。