如何在TDE环境下配置pdb为isolated mode keystore

最新推荐文章于 2024-04-22 07:45:00 发布
最新推荐文章于 2024-04-22 07:45:00 发布
阅读量192 收藏
点赞数
分类专栏: orale 文章标签: oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgz7747147820/article/details/111713839
版权

配置pdb为 isolated mode keystore有两种方式,一种就是
administer key management isolate keystore,这个语句适合于本来这个pdb是处于united mode,并且这个pdb的master encryption key已经创建,并且也已经有数据是用这个master encryption key加密的情况下,由united mode转化为isolated mode

另外一种方式就是在初始创建这个pdb的时候,这个时候这个pdb还没有master encryption key,这个pdb的默认方式是united mode,但是还没有创建master encryption key,在这种情况下如果将这个pdb修改为isolated mode

18:22:07 SQL> create pluggable database tdetest2pdb10888 admin user pdbadmin identified by tdetest2;

Pluggable database created.

Elapsed: 00:00:04.11
18:22:37 SQL> alter pluggable database tdetest2pdb10888 open read write instances=all;

Pluggable database altered.

Elapsed: 00:00:09.04
18:23:04 SQL> alter session set container=tdetest2pdb10888;

Session altered.

Elapsed: 00:00:00.00
18:23:26 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
CLOSED			       UNITED

Elapsed: 00:00:00.01
18:23:41 SQL> administer key management set keystore open identified by "WelCome-123#";

keystore altered.

Elapsed: 00:00:00.11
18:24:13 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN_NO_MASTER_KEY	       UNITED

Elapsed: 00:00:00.01


pdb tdetest2pdb10888是新建的,显示为united mode,master encryption key还没有创建



这个时候,tde_configuration这个参数是为空的

18:24:32 SQL> show parameter tde_configuration;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
tde_configuration		     string

我们修改了这个参数后,keystore mode就会转变成isolated mode

18:24:32 SQL> show parameter tde_configuration;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
tde_configuration		     string
18:26:03 SQL> alter system set tde_configuration='keystore_configuration=file' scope=both;

System altered.

Elapsed: 00:00:00.03
18:26:44 SQL> show parameter tde_configuration;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
tde_configuration		     string	 keystore_configuration=file
18:26:52 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN_NO_MASTER_KEY	       ISOLATED

Elapsed: 00:00:00.00

如果我们重新将这个参数设置为空的话,则keystore mode又会变回united mode

18:27:05 SQL> alter system set tde_configuration='' scope=both;

System altered.

Elapsed: 00:00:00.03
18:28:01 SQL> show parameter tde_configuration;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
tde_configuration		     string
18:28:16 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN_NO_MASTER_KEY	       UNITED

Elapsed: 00:00:00.01

下面重新设置tde_configuration,然后开始测试isolated mode的pdb
18:28:30 SQL> alter system set tde_configuration='keystore_configuration=file' scope=both;

System altered.

Elapsed: 00:00:00.03
18:30:00 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN_NO_MASTER_KEY	       ISOLATED

Elapsed: 00:00:00.00

因为这个pdb是新建的,也没有创建master encryption key,所以其实keystore也还没有创建,因为现在是isolated mode,所以我们需要先创建keystore

18:31:48 SQL> administer key management create keystore identified by tdetest2pdb10888;

keystore altered.

Elapsed: 00:00:00.15

这个命令会在wallet_root下创建一个这个pdb的guid为目录名的目录,下面创建tde目录,然后tde目录下是这个password-protected 的keystore,名字为ewallet.p12

[oracle@scaqai06adm07 tde]$ pwd
/u01/app/v1/tdetest2/B74BAD732DE4D14EE053D529850A546A/tde
[oracle@scaqai06adm07 tde]$ ls -al
total 108
drwxr-x--- 2 oracle oinstall 20480 Dec 25 18:32 .
drwxr-x--- 3 oracle oinstall 20480 Dec 25 18:32 ..
-rw------- 1 oracle oinstall  2555 Dec 25 18:32 ewallet.p12

在修改tde_configuration参数后需要先将这个PDB重启一遍,否则直接创建master encryption key会碰到下面的错误

18:34:54 SQL> administer key management set key force keystore identified by tdetest2pdb10888 with backup;
administer key management set key force keystore identified by tdetest2pdb10888 with backup
*
ERROR at line 1:
ORA-46627: keystore password mismatch


Elapsed: 00:00:00.00

我们按照下面的步骤做一遍,先将pdb重启一遍,再创建master encryption key
19:05:09 SQL> alter pluggable database close immediate instances=all;

Pluggable database altered.

Elapsed: 00:00:01.46
19:05:35 SQL> alter pluggable database open read write instances=all;

Pluggable database altered.

Elapsed: 00:00:03.02

在先将pdb重启一遍之后,就不会再碰到这个问题了

下面我们测试一下pdb本来是united mode并且已经创建了master encrypted key的情况下如何转化为isolated mode

19:20:20 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN			       UNITED

Elapsed: 00:00:00.02
19:21:05 SQL> show con_name;

CON_NAME
------------------------------
TDETEST2PDB10892

这是一个新的pdb,并且已经创建了master encryption key,并且已经基于这个master encryption key创建了表 表空间等

一条命令就可以实现将keystore从united mode转化为isolated mode
这个命令应该是做了如下的操作,一个是将这个pdb的tde_configuration参数进行了修改,另外就是将这个pdb原来在那个united mode的keystore里面的key move到了新的united keystore里面

19:21:13 SQL> administer key management isolate keystore identified by tdetest2pdb10892 from root keystore force keystore identified by "WelCome-123#" with backup;

keystore altered.

Elapsed: 00:00:00.73

19:24:05 SQL> show parameter tde_configuration;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
tde_configuration		     string	 KEYSTORE_CONFIGURATION=FILE
19:24:12 SQL> select status,keystore_mode from v$encryption_wallet;

STATUS			       KEYSTORE
------------------------------ --------
OPEN			       ISOLATED

tde的password如果忘记了,那就没法弄了
vault的密码还可以搞几个vault账号,如果忘了这个,还有那个,可是tde的密码只有一个啊,那要是忘了可怎么办呢
sys的密码很重要,可以sys的密码忘了也没关系,你只要能登录操作系统就没问题

wgz7747147820
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server AlwaysOn环境配置数据库TDE
01-14
### SQL Server AlwaysOn环境配置数据库TDE #### 一、引言 在SQL Server AlwaysOn环境配置透明数据加密(Transparent Data Encryption,简称TDE)是一项关键的安全措施,它能够保护数据库中的静止数据免受未...
coll2tde:将 mongo 数据库转换为 TDE 文件
06-22
然后在您的路径中安装二进制 coll2tde: $ make install 您可以选择指定 PREFIX: $ make PREFIX=/path/to/install install 用法: 最基本的用途是将一个集合作为一个整体转换为一个 DataExtract 文件。 然而,这...
新建pdbtde状态不对open_no_master_key如何处理
wgz7747147820的博客
09-11 573
在我们配置TDE之后,创建pdb需要clone从已配置TDEpdb。如果不从已配置TDEpdb clone新的pdb,则会出现新建的pdbTDE状态不对 此为配置TDE的状态 SQL> select * from v$encryption_wallet; WRL_TYPE WRL_PARAMETER STATUS WALLET_TYPE WALLET_OR KEYSTORE FULLY_BAC CON_ID -------------------- ---
oracle如何enable一个pdbTDE
wgz7747147820的博客
08-01 293
oracle如何enable一个pdbtde
如何unplug plug enable了tdepdb
wgz7747147820的博客
09-24 415
https://blog.dbi-services.com/unplug-an-encrypted-pdb-ora-46680-master-keys-of-the-container-database-must-be-exported/ In the Oracle Database Cloud DBaaS you provision a multitenant database where tablespaces are encrypted. This means that when you unplug
tde环境下从pdb从united mode转化为isolated mode失败后如何回退
wgz7747147820的博客
12-28 194
我们在尝试将pdb从united mode 模式转化为isolated mode模式失败了 现在的处境就是因为isolated modekeystore或者master encryption key没有配置好,tde_configuration这个参数已经修改为了keystore_configuration=file,就是keystore mode已经为isolated ,但是keystore或者master encryption key又没有配置好。这个时候想把pdb open,open会失败,报wal
关于oracleTDE的一点简单测试
wgz7747147820的博客
05-13 331
【代码】关于oracleTDE的一点简单测试。
TDE.rar_TDE_TDE源代码
09-23
TDE在Unix、DOS和Win32上的适用性,显示了它的跨平台特性,能在不同的操作系统环境下运行,满足不同用户的需求。 从标签"tde tde源代码"中,我们可以推断出这个压缩包的内容主要与TDE编辑器及其源代码相关。对于想...
TDE-CPP-MODEL.rar_MapGIS TDE_TDE
09-14
3. **环境配置**:设置开发环境,包括安装MapGIS SDK,配置编译器和链接器,确保能正确编译和运行TDE相关的代码。 4. **数据操作**:学会如何通过编程方式读取、写入和更新TDE中的数据,包括点、线、面等要素。 5....
Oracle-TDE数据加密功能测试
最新发布
sinat_36757755的博客
04-22 912
本文主要介绍在Oracle11g和19c版本TDE功能的开启、列数据加密和表空间加密测试、TDE功能开启下的expdp/impdp测试、TDE功能开启下的RMAN备份恢复测试。
Oracle 透明数据加密(TDE)的常见任务
In-Memory Computing Technology
09-15 684
Oracle 透明数据加密(TDE)的常见任务
配置TDE的时候碰到的两个问题
wgz7747147820的博客
09-12 317
pdb remote clone的时候,如果source cdb配置TDE,而target cdb没有配置TDE的话,则会报下面的错误 SQL> create pluggable database cdbs9pdb10002_ccc from cdbs7pdb10002@cdbs7pdb10002_link; create pluggable database cdbs9pdb10002_ccc from cdbs7pdb10002@cdbs7pdb10002_link * ERROR at...
db19数据加密
weixin_39568073的博客
06-02 305
mkdir -p ORACLEBASE/admin/{ORACLE_BASE}/admin/ORACLEB​ASE/admin/{ORACLE_SID}/wallet alter system set WALLET_ROOT=’/u01/app/oracle/admin/oradb/wallet’ scope=spfile; shutdown immediate; startup show parameter wallet show parameter tde alter system set t
oracle19c rac 环境下部署keystore到asm共享存储&验证pdb和cdb环境中透明加密功能
rede
07-29 1013
### Code Reference DESC:oracle19c rac 环境下部署keystore到asm共享存储&验证pdb和cdb环境中透明加密功能 Last Update:2020-7-15 14:45 配置软件秘钥仓库 软件秘钥仓库是一个容器,在这个容器中存储着透明加密的master key. 步骤 1:在sqlnet.ora文件中配置ENCRYPTION_WALLET_LOCATION(软件秘钥仓库路径)参数 步骤 1.1:使用grid用户登录到asmcmd创建k
oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密
rede
08-04 821
### Code Reference DESC:oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密 Last Update:2020-7-15 14:45 Snippet:Configuring a Software Keystore Jupyter Code Time:2020-7-19 21:01 Tittle:oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密 Vers
oracle12c pdb&cdb使用wallet实现表空间加密|oracle12c 表空间加密
rede
07-19 1121
User:Administrator Last Update:2020-7-15 14:45 ### Code Reference URL:https://note.youdao.com/ynoteshare1/index.html?id=f9c9e71623a65518ff7b693c9493fe48&type=note URL:https://www.cnblogs.com/hxlasky/p/12421061.html URL:https://docs.oracle.com/en/
Oracle Database 12c Security - 11. Oracle Transparent Data Encryption
In-Memory Computing Technology
09-01 660
Transparent Data Encryption以下简称TDE。 称为透明是因为加密工作在SQL层以下,由数据库引擎自动进行。 TDE是第三代加密,10gR2时引入。之前两代为DBMS_OBFUSCATION_TOOLKIT和DBMS_CRYPTO。 TDE最大的好处是不用改应用。 ENCRYPTION 101 cryptography - 密码学 Goal of Encryption 加密的目的是保护在不安全媒介上传输的敏感信息。 数据库安全与网络安全很不同。不过在透明上是相同的,即网络使用SSL和
[Oracle]构筑TDE 环境的例子
weixin_33697898的博客
09-26 142
构筑TDE 环境的例子:测试环境:12.1.0.2$ cd $ORACLE_HOME/network/admin$ vim sqlnet.ora$ pwd/u01/app/oracle/product/12.1.0/dbhome_1/network/adminsqlnet.ora 需要配置:$ cat sqlnet.oraENCRYPTION_WALLET_LOCATION = (SOURCE =...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值