署名付き証明書と秘密鍵の構成 - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド
Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

TLSでは、各データベースとUnityサーバーに署名付き証明書と秘密鍵が必要です。

署名付き証明書を生成するには、データベース サーバーでは使用できない顧客の秘密鍵が必要です。

証明書とキーを構成およびインストールするための2つのコマンド ライン ツールが用意されています。
  • tlsutilツールは証明書署名要求(CSR)を生成して、証明書と秘密鍵をインストールします。tlsutilについてを参照してください。
  • tlsutilからnodenamesツールを呼び出すと、CSRおよび署名付き証明書に含めるノードを識別する名前のリストを取得できます。nodenamesは、一部のDNS問題のトラブルシューティングにも役立ちます。nodenamesについてを参照してください。

このプロセスでは、単一ノードまたはデータベース内の各ノードのCSRと秘密鍵を作成し、tlsutilを実行しているノードにあるCSRファイルを収集します。デフォルトでは、CSRファイルはディレクトリ/opt/teradata/tdat/tgtw/site/tls/tmpdir/newcsrsに配置されます。

各秘密鍵は一時的な場所に保存されていて、現時点ではインストールされていません。秘密鍵が作成元のデータベース サーバーから移動されることはありません。

前提条件

  • tlsutilとnodenamesが機能するようにDNSを構成する必要があります。

署名付き証明書と秘密鍵の生成とインストール

次の手順を実行して、署名付き証明書と秘密鍵を生成してインストールします。

顧客サイトのTeradataノードに署名付き証明書を作成することはできません。
  1. SQL Engineノードにrootとしてログインします。このプロセスは、どのノードからでも実行できます。CSRの作成に使用されるノードは、署名付き証明書のインストールに使用したノードと同じである必要があります。
  2. CSRと秘密鍵を作成します。ノードごとに一意のCSRを作成することも、システム内のすべてのノードで使用される単一のCSRを作成することもできます。次のいずれかを実行します。
    • デフォルトの2048ビットRSAキーを使用して、ノードごとに一意のCSRを作成します。
      # tlsutil -c mydb.example.com
    • 楕円曲線キーを使用して、ノードごとに一意のCSRを作成します。
      # tlsutil -c -k ec:secp384r1 mydb.example.com
    • システム内のすべてのノードに対して単一のCSRを作成します。
      tlsutil -c -s mydb.example.com
  3. CSRを顧客システムに移動して、CSRごとに署名付き証明書を1つ生成します。

    この手順は、SQL Engineノードでは実行されません。顧客サイトの管理者はCSRを使用し、顧客定義の手順を使用して署名付き証明書を作成します。

    Teradataでは自己署名証明書を使用しないよう推奨しています。
  4. 以前にtlsutilが実行されたSQL Engineノードに署名付き証明書を配置します。
    署名付き証明書は.PEM形式にする必要があります。

    署名付き証明書に次の操作を実行できます。

    • /opt/teradata/tdat/tgtw/site/tls/tmpdir/signedcertsに配置する。署名付き証明書のファイル名は任意です。
    • 単一のZIPファイルに圧縮して、/opt/teradata/tdat/tgtw/site/tls/tmpdir/zipfilesに配置する。この操作を行なうには、tlsutil -cに-zオプションを指定して実行している必要があります。
    • 単一のZIPファイルに圧縮して、選択したディレクトリに配置する
  5. 署名付き証明書と秘密鍵を各ノードにインストールします。インストールするには、-iオプションを指定します。
    この操作は、-cオプションを指定してtlsutilを実行したデータベース サーバーで実行する必要があります。

    次のいずれかの手順を実行します。

    オプション コマンド
    署名付き証明書と秘密鍵をインストールします。 
    tlsutil -i
    最初に-dオプションで別のディレクトリを指定してtlsutilを実行した場合は、installコマンドで同じディレクトリを指定する必要があります。 
    tlsutil -i -d directory
    tlsutilを使用して場所/opt/teradata/tdat/tgtw/site/tls/tmpdir/zipfiles/all_certs.tgzにある圧縮アーカイブから署名付き証明書を取得する場合は、-zオプションを使用します。

    圧縮アーカイブ ファイルに独自の場所を使用するには、-fオプションとファイルのフル パスを追加します。

    		 
    tlsutil -i -z 

OR

tlsutil -i -z -f zip_file_path
  6. 各ノードで、前の手順で作成した一時ファイルを削除します。次の手順のいずれかを実行します。
    オプション コマンド
    すべてのノードのデフォルトの一時ディレクトリから一時ファイルを削除します。デフォルトの一時ディレクトリは次のとおりです。/opt/teradata/tdat/tgtw/site/tls/tmpdir 
    tlsutil -r
    ローカル ノードの一時ディレクトリのみをクリーンアップします。 
    tlsutil -r -l
    独自のディレクトリを指定した場合は、-dオプションを使用してクリーンアップします。 
    tlsutil -r -d directory
  7. オプション。証明書が有効であることをテストします。
    tlsutil -t