C コンポーネントをインストールした後のディレクトリ証明書の追加

この付録では、Oracle Access Managerのアンインストールと再インストールを行わずに、ディレクトリ・サーバーの通信モードをSSL対応に変更したり、複数のディレクトリ・サーバーへの接続のために証明書を追加したりする際に必要な情報を提供します。次の項目について説明します。

• ディレクトリ証明書について

• 前提条件

• 新しい証明書ストアの作成

• 証明書の追加

• ディレクトリ・サーバー構成の変更

C.1 ディレクトリ証明書について

アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーのインストールの際に、「ディレクトリ・サーバーの通信の保護」の説明に従って、ディレクトリ・サーバーの通信モードをオープンまたはSSL対応のいずれかに指定します。証明書は、Oracle Access Managerをインストールする前にディレクトリ・サーバーに格納しておく必要があります。LDAP SSL証明書の証明書ストア形式は、Oracle Access Manager 10.1.4ではcert8.dbです。

Oracle Access Managerをインストールした後で、SSLを有効化することがあります。たとえば、オープン通信モードからSSL対応モードに変更する場合や、別のディレクトリ・サーバーに接続するためにディレクトリ証明書を追加する場合です。

このような場合、Oracle Access Managerをアンインストールして再インストールすることも可能ですが、次の手順を使用すると、アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーで必要なcert8.dbファイルを作成できます。

注意: Oracle Access Manager 10.1.4は、cert7.db（アップグレード済の環境）とcert8.db（新規インストール）の両方で機能します。

デフォルトの証明書ストアの形式および名前は、cert7.dbからcert8.dbに変更されています。以前のコンポーネントをOracle Access Manager 10.1.4にアップグレードした場合は、継続して元のLDAP SSL証明書ストア（cert7.db）を使用します。configureAAAServer、setup_oisまたはsetup_accessmanagerユーティリティ（UNIXシステムでは、これらのツールの名前はstart_configureAAAServer、start_setup_oisまたはstart_setup_access_manager）を実行すると、証明書ストアの形式と名前が自動的にcert8.dbに変更されます。

タスクの概要: Oracle Access Managerインストール後のディレクトリSSLの有効化

1. 「前提条件」をすべて実行します。

2. 「新しい証明書ストアの作成」の説明に従って新しい証明書ストアを作成します。

3. 「証明書の追加」の説明に従って新しいストアを移入します。

4. 「ディレクトリ・サーバー構成の変更」の説明に従って、Oracle Access Managerでディレクトリ・プロファイルを変更します。

5. 必要に応じて、ここまでの手順をポリシー・マネージャとアクセス・サーバーについて繰り返します。または、必要に応じて、新しい証明書を含むストアをポリシー・マネージャとアクセス・サーバーにコピーします。

6. Oracle Access Managerおよびディレクトリ・サーバーでの、プラットフォームに対応するユーティリティ（UNIXではstart_setup_ois、Windowsではsetup_ois）を使用したトランスポート・セキュリティ変更の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

C.2 前提条件

SSLモードで通信を行うすべてのディレクトリ・サーバーには、認証局から取得したBase 64エンコードのルート証明書のコピーが必要です。コピーは、アイデンティティ・サーバーがディレクトリ・サーバーとのSSL接続を確立するために使用するcert8.dストアに格納する必要があります。

注意: cert8.dbファイルが\component_install_dir\identity\oblix\configにある場合は、次の手順を開始する前にそのファイルを削除してください。

Active Directoryを使用する場合、すべてのドメイン・コントローラでSSLを有効化し、Base64エンコード形式でのMicrosoft CAルート証明書のコピーが必要です。

C.3 新しい証明書ストアの作成

次の手順では、新しいcert8.db証明書ストアの作成方法を順に示します。アイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバーでこのタスクを実行できます。開始する前に前提条件を満たしていることを確認してください。

表C-1に、データ・ストアの作成に使用するコマンドに指定するオプションを示します。

表C-1 データ・ストア作成のオプション

オプション	説明
-d directory	cert8.dbストアのディレクトリの指定。
-N	新しい証明書データベースの作成。

新しい証明書ストアを作成する手順

1. Base64エンコードのCAルート証明書のコピーをCAから取得し、インストールしたアイデンティティ・サーバーのホスト・コンピュータに格納します。

2. IdentityServer_install_dir\identity\oblix\tools\certutilでcertutilユーティリティを探します。

3. コマンド・ウィンドウで次のように入力します。

   C:\IdentityServer_install_dir\identity\oblix\tools\certutil>certutil -d c:\IdentityServer_install_dir\identity\oblix\config -N

   cert8.dbストアのパスワードを求められます。この鍵または将来使用するすべての鍵を暗号化するためにパスワードを入力してください。パスワードは8文字以上で、英字以外の文字を少なくとも1つ含む必要があります。

4. cert8.dbストアのパスワードを入力し、さらに再入力します。

   cert8.dbストアがアイデンティティ・サーバーに作成され、移入する準備ができました。

C.4 証明書の追加

新しいcert8.dbストアを作成したら、CAルート証明書を追加する必要があります。表C-2に、このタスクを完了するためのコマンド・オプションを示します。

表C-2 データ・ストアに証明書を追加するためのオプション

オプション	説明
-d directory	値はcert8.dbストアのフルパス。
-A	証明書をストアに追加。
-a	ASCIIエンコードの証明書を指定。
-n	証明書のニックネームを指定。
-t C,,	trust属性を指定。C,,は証明書に対して信頼できるCAを示す（SSL専用、有効なCAを意味する）。
-i CAROOT.cer	入力を指定。CAROOT.cerはBase64エンコードCAルート証明書の名前。
-L	データ・ストア・ディレクトリの証明書リストを要求。

データ・ストアに証明書を追加する手順

1. コマンド・プロンプトで、次のように入力して証明書をデータ・ストアに追加します。

   C:\OracleAccessManager\identity\oblix\tools\certutil>certutil -d C:\OracleAccessManager\identity\oblix\config -A -a -n CAROOT -t C,, -i CAROOT.cer

2. cert8.dbストア・ディレクトリの内容をリスト表示するコマンドを使用して、証明書がcert8.dbストアに追加されたことを確認します。

   次に例を示します。

   C:\OracleAccessManager\identity\oblix\tools\certutil> certutil -d C:\OracleAccessManager\identity\oblix\config -L

   表C-3にリスト・コマンドの結果例を示します。リスト・コマンドを使用して、ニックネームがCAROOTというデータベースに証明書が追加されたことを確認します。

   表C-3 リスト・コマンドの結果例

   証明書名	trust属性
   CAROOT	C,,
   Example.com Code Signing CA	,,C
   Example.com Individual CA	,C,
   Example.com Server CA	CG,,

   
   

C.5 ディレクトリ・サーバー構成の変更

証明書を追加したら、アイデンティティ・システム・コンソールでディレクトリ・サーバー構成のプロセスを完了する必要があります。

ディレクトリ・プロファイルを変更する手順

1. アイデンティティ・システム・コンソールにナビゲートし、「システム構成」を選択して「ディレクトリ・オプション」をクリックします。

2. 「プロファイルの構成」ラベルの下の「ディレクトリ・サーバー」をクリックします。

3. 適切な「ディレクトリ・サーバー・セキュリティ・モード」*を選択します。

   
   

   注意: アスタリスク（*）が付いたフィールドを変更した場合は、製品の設定をやりなおす必要があります。アイデンティティ・システム設定の再実行の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

   
   

4. アイデンティティ・サーバーを再起動して、ディレクトリ・サーバーの変更を有効にします。

5. プロセスの起動メッセージを見て、アイデンティティ・サーバーがSSLモードまたは証明書モードで実行していることを確認します。

   次に例を示します。

   UNIX: プロセスが開始したことを知らせるメッセージがコンソールに返されます。ポート番号と通信モードがメッセージに含まれています。

   Windows: 「イベント ビューア」の「アプリケーション」でポート番号と通信モードを確認します。

6. ポリシー・マネージャとアクセス・サーバーのストアを作成して移入し、それらのディレクトリ・プロファイルを構成し、ポリシー・マネージャWebサーバーおよびアクセス・サーバーを再起動します。

   
   

   注意: ディレクトリ・サーバーとCAの詳細が、ディレクトリと通信するすべてのOracle Access Managerコンポーネントで同じ場合は、アイデンティティ・サーバーのcert8.dbストアをポリシー・マネージャとアクセス・サーバーにコピーできます。すべての手順を完了して構成を終了し、構成内容を確認します。

   
   

インストール後のトランスポート・セキュリティ・モードの変更の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。