資格情報ストアで共有キーを作成する

DAOS オブジェクトの暗号化に使用するキーをサーバー間で共有するには、資格情報ストアに共有キーを作成します。

始める前に

  • IBM_CredStore ディレクトリーの Domino 資格情報ストア・データベース (credstore.nsf) の設計が、Domino 12 以降に用意されている websecuritystore.ntf テンプレートで更新されていることを確認します。
  • 資格情報ストアは、DAOS tier 2 ストレージの構成に必要な部分です。tier 2 のストレージを使用せず、資格情報ストアをまだ使用していない場合は、参加しているサーバーに資格情報ストアを作成します。詳しくは、資格情報ストアを使用して資格情報を保存するを参照してください。
  • 資格情報ストアのスコープは、単一サーバーまたはクラスターに設定できます。後者の場合は、資格情報ストアの作成時に、資格情報ストアが作成されたサーバーが既にクラスターの一部であることを確認してください。資格情報ストアがクラスター化されていると仮定すると、DAOS オブジェクト共有のスコープもそのクラスター内にある場合は、資格情報ストアの 1 つのレプリカに共有鍵を作成するだけで、クラスター全体に複製されます。DAOS オブジェクト共有のスコープが広い場合 (複数のクラスターにまたがる場合など)、1 つの資格情報ストアで共有鍵を作成した後、共有鍵をエクスポートして別の資格情報ストアにインポートする必要があります。
  • 資格情報ストアがクラスター全体で使用されている場合は、credstore.nsf をクラスター内のすべてのサーバーに複製してください。

このタスクについて

共有キーには AES-128 または AES-256 暗号化を選択できます。AES-128 は強力なセキュリティを提供します。AES-256 はさらに強力なセキュリティを提供しますが、オブジェクトの暗号化と復号化の間にパフォーマンスが少し低下する可能性があります。

手順

  1. credstore.nsf で共有キーを作成するには、資格情報ストアを使用する Domino サーバーのコンソールから、次のいずれかのコマンドを入力します。
    AES-128 暗号化を使用するには、次の手順を実行します。
    keymgmt create sharedkey <keyname>
    AES-256 暗号化を使用するには、次の手順を実行します。
    keymgmt create sharedkey <keyname> 256
    たとえば、AES 128 ビット暗号化を使用する MyCluster_AES_128 と呼ばれる共有キーを作成するには、次のように入力します。 
    keymgmt create sharedkey MyCluster_AES_128
  2. コマンド出力は、共有キーを DAOS コード内で一意に識別するハッシュを表示します。必要に応じて、次のコマンドを入力して共有キーが作成されていることを確認します。 
    keymgmt show sharedkey <keyname>
    または、次のコマンドを入力して、現在のすべての共有キーを確認します。
    keymgmt show sharedkey all

次のタスク