ローカル暗号化キーの設定
ローカルの暗号化/復号化キー・ファイルを設定します。
dsetool createsystemkeyを使用してローカルの暗号化/復号化キーファイルを生成します。
プロダクション環境用のローカル暗号化キーのセットアップ
DSEをインストールした後、プロダクション環境でローカル暗号化/復号化キー・ファイルを作成します。
DSEをインストールした後、ローカル暗号化/復号化キー・ファイルを作成して、クラスター内のすべてのノードの同じ場所に配布し、 dse.yamlのsystem_key_directoryおよびconfig_encryption_key_nameプロパティを更新します。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
手順
- すべての暗号化アルゴリズムを確実にサポートするには、JCEをインストールします。
-
キー・ファイルのファイル名をdse.yaml ファイルで設定します。デフォルトのファイル名はsystem_keyです。
config_encryption_key_name: system_key
ヒント: 暗号化キー・ファイルには有効なUnix名を指定できます。 -
キー・ファイルの出力ディレクトリーを設定するには、system_key_directoryプロパティをdse.yaml で暗号化キーを格納するパスに設定します。デフォルトのファイルパスは/etc/dse/confです。
system_key_directory: /etc/dse/conf
- キー・ファイルの出力ディレクトリーの所有者をDSEアカウントに変更して、そのDSEアカウントが確実に読み取り/書き込みパーミッションを持つようにします。
-
dsetool createsystemkeyコマンドを使用して、暗号化/復号化キーを作成します。
例を次に示します。
dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128
結果:- キー・ファイル/etc/dse/conf/system_keyが生成されます。
重要: config_encryption_activeが、 dse.yamlでtrueに設定されている場合、警告が生成されますが、システム・キーは正常に生成されます。 - クラスター内のその他のすべてのノードにキー・ファイルをコピーします。同じディレクトリー内のすべてのノードにキーを配置します。
開発環境のインストール・パッケージに埋め込むローカル暗号化キーのセットアップ
開発環境のディストリビューション・パッケージに埋め込み可能なローカル暗号化/復号化キーを作成します。
ディストリビューション(tarボール)に埋め込み可能なローカルの暗号化/復号化キー・ファイルを作成できます。開発環境では、他のユーザーがこのディストリビューション・パッケージを使用できます。このストラテジは、AnsibleなどのIT自動化ツールでスクリプトを使用する場合に特に役立ちます。
ヒント: 現在のユーザーには、キー・ファイルを生成するディレクトリーへの書き込みパーミッションが必要です。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
手順
-
dsetool createsystemkeyコマンドを使用して暗号化キーを作成するときに、キー・ファイルの出力ディレクトリーを指定します。
例を次に示します。
dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 -d /home/jane/keys
結果:キー・ファイル/home/jane/keys/system_keyが作成されます。 - ディストリビューションtarボール内に、システム・キー・ファイルのディレクトリーを作成します。デフォルトの場所(/etc/dse/conf)を使用するか、新しい場所を追加します。
- 新しい場所を使用した場合は、dse.yaml でsystem_key_directoryプロパティを必要に応じて更新します。