MySQL:: MySQL 8.0参考手册::6.4.4.8使用keyring_okv KMIP插件

版本8.0

5.7

8.0日本

MySQL 8.0参考手册/.．./ 使用keyring_okv KMIP插件

6.4.4.8使用keyring_okv KMIP Plugin

请注意

的keyring_okv插件是MySQL企业版的一个扩展，一个商业产品。要了解有关商业产品的更多信息，请参见https://www.10bet靠谱mysql.com/products/．

密钥管理互操作性协议(KMIP)支持密钥管理服务器与其客户端之间的加密密钥通信。的keyring_okvkeyring插件使用KMIP 1.1协议作为KMIP后端的客户端进行安全通信。密匙环材料完全由后端生成，而不是由keyring_okv．该插件适用于以下与kmip兼容的产品:

Oracle密钥库
金雅拓SafeNet KeySecure设备
Townsend联盟密钥经理

的keyring_okv插件支持组成标准MySQL Keyring服务接口的功能。由这些函数执行的密匙环操作可以在两个级别访问:

SQL接口:在SQL语句中，调用中描述的函数第6.4.4.14节通用密匙环密匙管理功能．
C接口:在C语言代码中，调用中描述的keyring服务函数第5.6.9.2节“密匙环服务”．

示例(使用SQL接口):

SELECT keyring_key_generate('MyKey'， 'AES'， 32);选择keyring_key_remove(“MyKey”);

所允许的键值的特征的信息keyring_okv，章节6.4.4.12，“支持的Keyring密钥类型和长度”．

安装keyring_okv的一般说明章节6.4.4.3，“Keyring插件安装”，以及特定于的配置信息keyring_okv在这里找到。

keyring_okv常规配置

不管哪个KMIP后端keyring_okv插件用于密匙环存储keyring_okv_conf_dir系统变量配置所使用的目录的位置keyring_okv获取它的支持文件。默认值为空，所以在插件可以与KMIP后端通信之前，必须设置该变量来命名一个正确配置的目录。除非你这样做，keyring_okv在服务器启动时向错误日志中写入一条不能通信的消息:

[警告]插件keyring_okv报告:'要初始化keyring_okv，请将keyring_okv_conf_dir变量指向包含Oracle密钥库配置文件和ssl材料的目录'

的keyring_okv_conf_dir变量必须命名一个包含以下项的目录:

okvclient.ora:包含KMIP后端详细信息的文件keyring_okv通信。
ssl:包含与KMIP后端建立安全连接所需的证书和密钥文件的目录:CA.pem，cert.pem,key.pem．如果密钥文件有密码保护，则ssl目录可以包含一个单行文本文件password.txt包含解密密钥文件所需的密码。

这两个okvclient.ora文件和ssl包含证书和密钥文件的目录keyring_okv正常工作。使用这些文件填充配置目录的过程取决于所使用的KMIP后端keyring_okv，如其他地方所述。

所使用的配置目录keyring_okv作为它的支持文件的位置应该有一个限制模式，并且只有用于运行MySQL服务器的帐户可以访问。例如，在Unix和类Unix系统上，使用/usr/local/mysql/mysql-keyring-okv目录中，执行以下命令(以根)创建目录并设置目录的模式和归属:

CD /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chown mysql mysql-keyring-okv CHGRP mysql mysql-keyring-okv

为了在服务器启动过程中可用，keyring_okv必须使用——early-plugin-load选择。另外，设置keyring_okv_conf_dir系统变量keyring_okv在哪里找到它的配置目录。例如，在服务器中使用这些行my.cnf文件，调整所以为您的平台提供必要的后缀和目录位置:

(mysqld) early-plugin-load = keyring_okv。所以keyring_okv_conf_dir = / usr /地方/ mysql / mysql-keyring-okv

欲了解更多有关keyring_okv_conf_dir,请参阅章节6.4.4.18，“Keyring系统变量”．

配置Oracle密钥库的keyring_okv

这里的讨论假设您熟悉Oracle密钥库。一些相关的信息来源:

在Oracle密钥库术语中，使用Oracle密钥库存储和检索安全对象的客户端称为端点。要与Oracle密钥库通信，必须注册为端点，并通过下载和安装端点支持文件进行注册。

下面的程序简单总结了设置的过程keyring_okv用于Oracle密钥库:

属性的配置目录keyring_okv插件使用。
向Oracle密钥库注册端点以获得注册令牌。
使用注册令牌获取okvclient.jar客户端软件下载。
安装客户端软件以填充keyring_okv配置目录，其中包含Oracle密钥库支持文件。

请按照以下步骤进行配置keyring_okv和Oracle密钥库一起工作。本描述仅概括了如何与Oracle密钥库交互。详情请浏览Oracle密钥库网站，并咨询Oracle密钥库管理员指南。

创建包含Oracle密钥库支持文件的配置目录，并确保keyring_okv_conf_dir将系统变量设置为该目录的名称(有关详细信息，请参见keyring_okv常规配置）.
以具有“系统管理员”角色的用户登录Oracle密钥库管理控制台。
选择Endpoints选项卡到达Endpoints页面。在端点页面上，单击Add。
提供所需的端点信息并单击Register。端点类型应该是Other。成功注册将产生一个注册令牌。
从Oracle密钥库服务器注销。
再次连接到Oracle密钥库服务器，这次不需要登录。对象的注册和请求使用端点注册令牌okvclient.jar软件下载。将该文件保存到您的系统中。
安装okvclient.jar使用以下命令(必须使用JDK 1.4或更高版本):
```
Java -jar okvclient.jar -ddir_name(- v)
```
属性后面的目录名称- d选项是安装解压缩文件的位置。的- v选项，如果给出，则会产生日志信息，在命令失败时可能有用。
当命令要求提供Oracle密钥库端点密码时，不要提供。而是按“Enter”。(结果是当端点连接到Oracle密钥库时不需要密码。)
上面的命令会生成一个okvclient.ora文件，该文件应该在此位置的目录下- d选项。java jar命令:
```
install_dir / conf / okvclient.ora
```
文件内容包括如下所示的行:
```
服务器=host_ip：port_numSTANDBY_SERVER =host_ip：port_num
```
的keyring_okv控件命名的主机上运行的服务器服务器变量并回落到STANDBY_SERVER如果失败:
- 为服务器变量中的设置okvclient.ora文件是必填项。
- 为STANDBY_SERVER变量中的设置okvclient.ora文件是可选的。
进入Oracle Key Vault安装目录，运行以下命令测试安装:
```
okvutil / bin / okvutil列表
```
输出应该是这样的:
```
唯一ID类型标识255AB8DE-C97F-482C-E053-0100007F28B9对称密钥- 264BF6E0-A20E-7C42-E053-0100007FB29C对称密钥-
```
对于一个新的Oracle密钥库服务器(一个没有任何密钥的服务器)，输出看起来像这样，以表明密钥库中没有密钥:
```
没有发现物体
```
使用此命令提取ssl目录中包含SSL材料okvclient.jar文件:
```
Jar xf okvclient.jar SSL
```
复制Oracle密钥库支持文件okvclient.ora文件和ssl目录)进入配置目录。
(可选)如果您希望对密钥文件进行密码保护，请使用密码保护keyring_okv密钥文件．

完成上述操作后，请重新启动MySQL服务器。它加载keyring_okv插件和keyring_okv使用其配置目录中的文件与Oracle密钥库通信。

为Gemalto SafeNet KeySecure Appliance配置keyring_okv

Gemalto SafeNet KeySecure Appliance使用KMIP协议(版本1.1或1.2)。的keyring_okvkeyring插件(支持KMIP 1.1)可以使用KeySecure作为它的KMIP后端来存储keyring。

请按照以下步骤进行配置keyring_okv和KeySecure一起工作。说明仅概述了如何与KeySecure交互。具体操作请参见《添加KMIP服务器》章节KeySecure用户指南．

创建包含KeySecure支持文件的配置目录，并确保keyring_okv_conf_dir将系统变量设置为该目录的名称(有关详细信息，请参见keyring_okv常规配置）.
在配置目录中创建名为ssl用于存储所需的SSL证书和密钥文件。
在配置目录中创建一个名为okvclient.ora．它应该有以下格式:
```
服务器=host_ip：port_numSTANDBY_SERVER =host_ip：port_num
```
例如，KeySecure运行在主机198.51.100.20上，监听端口9002okvclient.ora文件是这样的:
```
服务器= 198.51.100.20:9002 STANDBY_SERVER = 198.51.100.20:9002
```
以具有证书颁发机构访问凭据的管理员身份连接到KeySecure管理控制台。
进入“Security >> Local CA”，创建本地证书颁发机构。
进入可信CA列表。选择Default并单击Properties。然后在“受信任的证书颁发机构列表”中选择“编辑”，并添加刚刚创建的CA。
下载CA并保存在ssl目录作为文件命名CA.pem．
导航到Security >> Certificate Requests并创建证书。然后你可以下载一个压缩的焦油包含证书PEM文件的文件。
解压下载文件中的PEM文件。例如，文件名为csr_w_pk_pkcs8.gz，解压并解压缩:
```
Tar ZXVF csr_w_pk_pkcs8.gz
```
提取操作产生两个文件:certificate_request.pem而且private_key_pkcs8.pem．

使用这个openssl命令解密私钥，并创建一个名为key.pem：

Openssl pkcs8 -in private_key_pkcs8. in private_key_pkcs8. inPem -out key.pem

复制key.pem档案到ssl目录中。
复制证书请求certificate_request.pem放入剪贴板。
浏览“Security”>>本地ca。选择前面创建的同一个CA(下载来创建CA.pem文件)，然后单击“签署请求”。粘贴剪贴板中的证书请求，选择客户端证书用途(keyring是KeySecure的客户端)，单击“签名请求”。结果是在新页面中使用所选CA签名的证书。
将已签名的证书复制到剪贴板，然后将剪贴板内容另存为名为cert.pem在ssl目录中。
(可选)如果您希望对密钥文件进行密码保护，请使用密码保护keyring_okv密钥文件．

完成上述操作后，请重新启动MySQL服务器。它加载keyring_okv插件和keyring_okv使用其配置目录中的文件与KeySecure通信。

为Townsend联盟密钥管理器配置keyring_okv

Townsend联盟密钥管理器使用KMIP协议。的keyring_okvkeyring插件可以使用联盟密钥管理器作为它的KMIP后端密钥环存储。有关其他信息，请参见联盟密钥管理器MySQL．

密码保护keyring_okv密钥文件

您可以选择使用密码保护密钥文件，并提供一个包含密码的文件以使密钥文件能够解密。要这样做，请将位置更改为ssl目录并执行以下步骤:

加密key.pem关键文件。例如，使用如下命令，并根据提示输入加密密码:

Shell > openssl rsa -des3 -in密钥。Pem -out key.pem．new Enter PEM pass phrase: Verifying - Enter PEM pass phrase:

将加密密码保存为单行文本文件password.txt在ssl目录中。
使用以下命令验证加密的密钥文件是否可以解密。解密后的文件应该显示在控制台上:
```
Shell > openssl rsa -in key.pem.new -passin file:password.txt
```
删除原始key.pem文件和重命名key.pem.new来key.pem．
更改new的所有权和访问方式key.pem文件和password.txt文件，以确保它们具有与文件中的其他文件相同的限制ssl目录中。

上一页首页向上下一个