セキュリティガイド

10.5.2
- 10.5.1
- 10.5
- 10.4.1
- 10.1.1
- 10.1

前へ次へ

コマンドラインからの暗号化キーの変更

インストール後に、コマンドラインからドメインの暗号化キーを変更することができます。暗号化キーを変更する前にドメインをシャットダウンする必要があります。

infasetupコマンドを使用して暗号化キーを生成し、新しい暗号化キーが使用されるようにドメインを設定します。

以下のinfasetupコマンドで、暗号化キーの生成および変更ができます。

generateEncryptionKey: 暗号化キーを生成してsitekeyという名前のファイルにします。暗号化キーのために指定したディレクトリにsitekeyという名前のファイルが入っている場合、Informaticaがそのファイル名をsiteKey_oldに変更します。
migrateEncryptionKey: Informaticaドメイン内への機密データの保存に使用される暗号化キーを変更します。

ドメインに対する暗号化キーを変更するには、次の手順を完了します。

ドメインをシャットダウンします。

暗号化キーを変更する前にドメインのバックアップを作成します。

暗号化キーを変更したことで問題が発生したときに確実にドメインをリカバリできるようにするために、infasetupコマンドを実行する前にドメインのバックアップを作成します。

ドメインの暗号化キーを生成するために、

infasetup generateEncryptionKey

コマンドを実行します。

encryptionKeyLocation

オプションを指定して暗号化キーを生成します。

オプション	引数	説明
-encryptionKeyLocation -kl	encryption_key_location	現在の暗号化キーが入ったディレクトリ。暗号化ファイルの名前は`sitekey`です。 Informaticaは、現在の`sitekey`ファイルを`sitekey_old`に名称変更し、同じディレクトリ内に`sitekey`という名前の新しいファイルを作り、そこに暗号化キーを生成します。

暗号化キーは、インストールおよびアップグレード中にインストーラによって作成されます。暗号化ファイルsitekeyを生成する際に、キーワードとドメイン名のオプションは必要ありません。この一意のサイトキーのコピーを必ず保存してください。サイトキーを紛失してしまうと、再度サイトキーを生成することができません。一意のサイトキーを他の人と共有しないようにしてください。

ドメインの暗号化キーを変更するには、

infasetup migrateEncryptionKey

コマンドを実行して、前の暗号化キーと新しい暗号化キーの場所を指定します。

ドメインの暗号化キーの変更に必要な次のオプションを指定します。

オプション	引数	説明
-LocationOfEncryptionKeys -loc	location_of_encryption_keys	`siteKey_old`という名前の古い暗号化キーファイルと、`siteKey`という名前の新しい暗号化キーファイルが保存されているディレクトリ。このディレクトリには、古い暗号化キーファイルと新しい暗号化キーファイルが入っている必要があります。古い暗号化キーファイルと新しい暗号化キーファイルが別々のディレクトリに保存されている場合、暗号化キーファイルを同じディレクトリにコピーしてください。ドメインに複数のノードがある場合、migrateEncryptionKeyコマンドを実行するドメインの中のどのノードからでも、このディレクトリにアクセスできるようにしておく必要があります。マルチノードドメインを移行する場合は、ドメイン内のすべてのノードが同じ暗号化キーを使用する必要があります。ドメインの暗号化キーを変更するには、ドメインのすべてのノードでinfasetup migrateEncryptionKeyコマンドを実行します。 UNIXでは、ファイル名`siteKey_old`は大文字小文字が区別されます。以前の暗号化キーファイルの名前を手動で変更する場合は、大文字小文字が正しく区別されることを確認してください。
-IsDomainMigrated -mig	is_domain_migrated	ドメインが最新の暗号化キーを使用するように更新されているかどうかを示します。 migrateEncryptionKeyコマンドを初めて実行するときは、このドメインが古い暗号化キーを使用することを示すために、このオプションをFalseに設定します。 2回目以降、migrateEncryptionKeyコマンドを実行してドメイン内の他のノードを更新するときに、このドメインが最新の暗号化キーを使用するように更新されていることを示すために、このオプションをTrueに設定します。あるいは、このオプションを使わずにmigrateEncryptionKeyコマンドを実行してもかまいません。デフォルトはTrueです。

ドメイン内の各ノードに対してinfasetupコマンドを実行します。

ドメインに複数のノードがある場合、各ノードに対してinfasetup migrateEncryptionKeyを実行します。このコマンドは、作業ノードに対して実行する前に、まずゲートウェイノードに対して実行してください。このコマンドの初回実行が済んだら、以後はIsDomainMigratedオプションを省略してもかまいません。

ドメインを再起動します。

新しい暗号化キーを使用してリポジトリ内の機密データを更新して暗号化するには、ドメイン内のすべてのリポジトリサービスをアップグレードする必要があります。ドメインのアップグレード後に、サイトキーも移行する必要があります。

モデルリポジトリサービス、PowerCenterリポジトリサービス、およびMetadata Managerサービスをすべてアップグレードします。

モデルリポジトリサービスとPowerCenterリポジトリサービスは、Administratorツールまたはコマンドプロンプトでアップグレードできます。Metadata Managerサービスは、Administratorツールでアップグレードできます。

Metadata Managerサービスは、アップグレードする前に無効にする必要があります。

Administratorツールでサービスをアップグレードするには、ヘッダ領域で

［管理］

［アップグレード］

を選択します。複数のサービスを選択した場合、Administratorツールでは適切な順序でアップグレードします。

コマンドプロンプトでサービスをアップグレードするには、以下のコマンドを使用します。