| Oracle® Database Advanced Security管理者ガイド 11gリリース2 (11.2) B56286-10 |
|
 前 |
 次 |
セキュリティ管理者は、Oracle Wallet Managerを使用してOracleクライアントおよびサーバーの公開鍵セキュリティ資格証明を管理します。作成したウォレットは、Oracle Database、Oracle Application Server 10gおよびOracle Identity Managementインフラストラクチャから読み取ることができます。
この章では、Oracle Wallet Managerについて、次のトピックで説明します。
|
関連項目:
|
Oracle Wallet Managerは、ウォレットの所有者がOracleウォレットでセキュリティ資格証明を管理および編集するために使用するアプリケーションです。ウォレットは、認証および署名資格証明(秘密鍵、証明書、SSLで必要な信頼できる証明書など)の格納に使用されるパスワード保護されたコンテナです。Oracle Wallet Managerを使用して次のタスクを実行できます。
Oracle Wallet Managerには、次の機能が備えられています。
Oracleウォレットはパスワードで保護されています。Oracle Wallet Managerには、高度なウォレット・パスワード管理モジュールが含まれており、このモジュールによって、次のようなパスワード管理ポリシーのガイドラインが適用されます。
パスワードの最小長は8文字。
パスワードの最大長は無制限。
英数字を組み合せて指定する。
Oracle Wallet Managerでは、X.509証明書に関連付けられた秘密鍵を格納し、Triple-DES暗号化を使用します。
Oracle Wallet Managerにより、複数のOracleウォレットをWindowsファイル管理システムまたはMicrosoft Windowsシステム・レジストリのユーザー・プロファイル領域に格納できます。レジストリにウォレットを格納すると、次のメリットがあります。
アクセス制御の向上: レジストリのユーザー・プロファイル領域に格納されたウォレットには、対応するユーザーのみがアクセスできます。そのため、システムのユーザー・アクセス制御がそのままウォレットのアクセス制御になります。また、ユーザーがシステムからログアウトすると、そのユーザーのウォレットには実質的にアクセスできなくなります。
容易な管理: ウォレットが特定のユーザー・プロファイルに関連付けられているため、ファイル権限を管理する必要がありません。また、ユーザー・プロファイルを削除すると、プロファイルに格納されているウォレットも自動的に削除されます。レジストリ内のウォレットは、Oracle Wallet Managerを使用して作成および管理できます。
レジストリからのウォレットのオープン
レジストリへのウォレットの保存
異なるレジストリ位置に保存する
レジストリからのウォレットの削除
ファイル・システムからのウォレットのオープンとレジストリへの保存
レジストリからのウォレットのオープンとファイル・システムへの保存
|
関連項目: 『Oracle Databaseプラットフォーム・ガイド』 |
Oracle Wallet Managerは、リリース8.1.7に対する下位互換性があります。
公開鍵暗号規格(略称PKCS)と呼ばれる基本的な暗号規格ファミリは、RSA Security社の一部門であるRSA Laboratoriesと業界、学会および政府の代表者により共同開発されました。これらの標準によって、イントラネットおよびインターネット上のデータを保護するために、公開鍵テクノロジを使用するコンピュータ・システム間の相互運用性を確立します。
Oracle Wallet Managerでは、PKCS #12形式でX.509証明書と秘密鍵を格納し、PKCS #10仕様に従って証明書リクエストを生成します。これらの機能により、Oracleウォレットがサポート対象のサード・パーティ製PKIアプリケーションと相互運用可能な構造になり、オペレーティング・システム間でのウォレットの移植も可能になります。
Oracle Wallet Managerウォレットでは、PKCS #11仕様に準拠するAPIを使用するハードウェア・セキュリティ・モジュールに資格証明を格納できます。ウォレット作成時にPKCS11がウォレット・タイプとして選択されている場合、そのウォレットに格納されているすべての鍵がハードウェア・セキュリティ・モジュールまたはトークンに保管されます。このようなハードウェア・デバイスの例には、秘密鍵の格納または暗号処理の実行(あるいはその両方)を行うスマートカード、PCMCIAカード、スマート・ディスケットなどのポータブル・ハードウェア・デバイスがあります。
|
注意: 64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、コマンドラインでowm -pkcs11と入力します。 |
Oracle Wallet Managerにより、複数の証明書を各ウォレットに格納でき、次のいずれかのOracle PKI証明書使用方法がサポートされます。
SSL認証
S/MIME署名
S/MIME暗号化
コード署名
CA証明書署名
作成した各証明書リクエストによって、一意の秘密鍵と公開鍵のペアが生成されます。秘密鍵はウォレット内に残り、公開鍵は証明書リクエストとともに認証局に送信されます。認証局が証明書を生成して署名すると、対応する秘密鍵のあるウォレットにのみこの証明書をインポートできるようになります。
このウォレットに別の証明書リクエストも含まれている場合、そのリクエストに対応する秘密鍵と公開鍵のペアは、最初の証明書リクエストのペアとは異なります。この異なる証明書リクエストを認証局に送信すると、別の署名済証明書が提供されます。この証明書は同じウォレットにインポートできます。
単一の証明書リクエストを認証局に複数回送信して、複数の証明書を取得できます。ただし、ウォレットにインストールできるのは、その証明書リクエストに対応する1つの証明書のみです。
Oracle Wallet Managerでは、X.509バージョン3 KeyUsage拡張を使用して、Oracle PKI証明書使用方法を定義しています(表14-1)。単一の証明書をすべての証明書使用方法に適用することはできません。表14-2および表14-3に、有効な使用方法の組合せを示します。
表14-1 KeyUsageの値
| 値 | 使用方法 |
|---|---|
|
0 |
digitalSignature |
|
1 |
nonRepudiation |
|
2 |
keyEncipherment |
|
3 |
dataEncipherment |
|
4 |
keyAgreement |
|
5 |
keyCertSign |
|
6 |
cRLSign |
|
7 |
encipherOnly |
|
8 |
decipherOnly |
Oracle Wallet Managerで証明書をインストールする際、表14-2および表14-3に指定されているように、KeyUsage拡張の値がOracle PKI証明書使用方法にマップされます。
表14-2 Oracle Wallet ManagerによるOracleウォレットへのユーザー証明書のインポート
| KeyUsageの値 | 重要性脚注1 | 使用方法 |
|---|---|---|
|
なし |
NA |
証明書は、SSLまたはS/MIME暗号化用にインポート可能 |
|
0のみ、または0と任意の値(5および2を除く) |
NA |
S/MIME署名用またはコード署名用証明書の許可 |
|
1のみ |
選択 |
インポート不可 |
|
1のみ |
選択なし |
S/MIME署名用またはコード署名用証明書の許可 |
|
2のみ、または2と任意の値の組合せ(5を除く) |
NA |
SSL用またはS/MIME暗号化用証明書の許可 |
|
5のみ、または5と任意の他の値 |
NA |
CA証明書署名用証明書の許可 |
|
その他の任意の設定 |
選択 |
インポート不可 |
|
その他の任意の設定 |
選択なし |
証明書は、SSLまたはS/MIME暗号化用にインポート可能 |
脚注1 KeyUsage拡張が重要である場合、証明書は他の目的では使用できません。
表14-3 Oracle Wallet ManagerによるOracleウォレットへの信頼できる証明書のインポート
| KeyUsageの値 | 重要性脚注1 | 使用方法 |
|---|---|---|
|
なし |
NA |
インポート可能 |
|
5を除く任意の組合せ |
選択 |
インポート不可 |
|
5を除く任意の組合せ |
選択なし |
インポート可能 |
|
5のみ、または5と任意の他の値 |
NA |
インポート可能 |
脚注1 KeyUsage拡張が重要である場合、証明書は他の目的では使用できません。
必要なOracle PKI証明書使用方法に対応する正しいKeyUsage値を使用して、認証局から証明書を取得します。1つのウォレットには、同じ使用方法で使用する複数の鍵のペアを含めることができます。証明書ごとに、表14-2および表14-3に示されている複数のOracle PKI証明書使用方法をサポートできます。Oracle PKIアプリケーションでは、必要なPKI証明書使用方法が含まれる最初の証明書が使用されます。
たとえば、使用方法がSSLの場合は、SSL Oracle PKI証明書使用方法が含まれる最初の証明書が使用されます。
SSLの使用方法を含む証明書がない場合、ORA-28885エラー(必須の鍵使用方法のある証明書が見つかりません。)が戻されます。
Oracle Wallet Managerは、LDAP準拠のディレクトリに対するウォレットのアップロードおよび検索が可能です。集中化されたLDAP準拠のディレクトリにウォレットを格納すると、ユーザーは複数の場所やデバイスからウォレットにアクセスできるため、信頼性の高い一貫したユーザー認証が保証されます。また、ウォレットのライフ・サイクル全体を通じてウォレットを集中管理できます。ユーザーが有効なウォレットを誤って上書きしないようにするために、インストールされた証明書を含むウォレット以外はアップロードできません。
ユーザーがOracle Wallet Managerを使用してウォレットをアップロードまたはダウンロードできるようにするには、ディレクトリ・ユーザー・エントリをLDAPディレクトリで定義および構成する必要があります。ディレクトリにOracle8i (またはそれ以前の)ユーザーが登録されている場合、それらのユーザーは、ウォレットのアップロードおよびダウンロード機能を初めて使用する際に自動的にアップグレードされます。
Oracle Wallet Managerでは、LDAPディレクトリへの単一パスワード・ベースの接続を使用して、ユーザー・ウォレットをダウンロードします。ただし、開かれているウォレットに、SSLのOracle PKI証明書の使用が指定されている証明書が含まれている場合は、SSL接続でアップロードします。SSLの証明書がウォレットにない場合、パスワード・ベースの認証が使用されます。
|
注意: ディレクトリのパスワードとウォレットのパスワードは互いに独立しており、異なる値を設定できます。これらのパスワードは、常に異なったものに維持し、かつ一方から他方を論理的に導出できないようにすることをお薦めします。 |
Oracle Wallet Managerを起動する手順は、次のとおりです。
(Windowsの場合)「スタート」→「プログラム」→「Oracle-HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
(UNIX)コマンドラインにowmと入力します。
ウォレットは、ユーザー証明書および接続先の証明書を検証するのに必要なトラスト・ポイントを安全に格納できるリポジトリを提供します。
次の手順は、完全なウォレット作成プロセスの概要を示しています。
Oracle Wallet Managerを使用して、新しいウォレットを作成します。
証明書リクエストを生成します。新しいウォレットをOracle Wallet Managerで作成する場合、ツールにより自動的に証明書リクエストの作成を求めるプロンプトが表示されます。
利用するCAに証明書リクエストを送信します。電子メール・メッセージに証明書リクエストのテキストをコピーして貼り付けるか、証明書リクエストをファイルにエクスポートできます。証明書リクエストはウォレットの一部になります。これは、その関連する証明書を削除するまで、ウォレットに残しておく必要があります。
CAから署名済のユーザー証明書とそれに関連する信頼できる証明書を受け取ったら、これらの証明書を次の順序でインポートできます。PKCS #7形式のユーザー証明書と信頼できる証明書は、同時にインポートできます。
最初にCAの信頼できる証明書をウォレットにインポートします。CAの1つが新しいユーザー証明書を発行し、そのCAの信頼できる証明書がデフォルトでOracle Wallet Managerに存在する場合、この手順はオプションになります。
信頼できる証明書を正しくインポートしてから、CAから受け取ったユーザー証明書をウォレットにインポートします。
(オプション)ウォレットに自動ログイン機能を設定します。
この機能はパスワードを使用せずにPKIベースでサービスにアクセスできるようにするためのものであり、一般的に、ほとんどのウォレットで必要になります。データベース・サーバーとクライアントのウォレットには必要です。起動時にウォレット・パスワードを取得する製品では、オプションです。
前述のプロセスが完了すると、ユーザー証明書とそれに関連するトラスト・ポイントが含まれるウォレットが設定されます。
ここでは、新規ウォレットを作成する方法、および、証明書リクエストの生成、証明書リクエストのエクスポート、証明書のウォレットへのインポートなどの関連するウォレット管理タスクの実行方法について、次の各項で説明します。
Oracleウォレットには、複数のデータベースに対してユーザーを認証するために使用されるユーザーの資格証明が含まれているため、ウォレットに対して強力なパスワードを選択することが特に重要となります。悪意のあるユーザーがウォレットのパスワードを知った場合、ウォレットの所有者がアクセス権を持つすべてのデータベースにアクセスする可能性があるためです。
パスワードは、英字と数字または特殊文字を組み合せて8文字以上で指定する必要があります。
Oracle Wallet Managerを使用して、ファイル・システム上のディレクトリに資格証明を格納するPKCS #12ウォレット(標準のデフォルトのウォレット・タイプ)を作成できます。また、これを使用して、PKCS #11ウォレットを作成し、サーバー用のハードウェア・セキュリティ・モジュールに資格証明を格納したり、クライアント用のトークンに秘密鍵を格納することもできます。次の各項では、Oracle Wallet Managerを使用して両タイプのウォレットを作成する方法について説明します。
ハードウェア・セキュリティ・モジュール(PKCS #11デバイス)がない場合は、ファイル・システムのディレクトリに資格証明を格納する標準ウォレットを使用する必要があります。
標準ウォレットを作成するには、次の手順を実行します。
メニュー・バーから「ウォレット」→「新規」を選択します。「新規ウォレット」ダイアログ・ボックスが表示されます。
「ウォレット・パスワードの作成に関する必須ガイドライン」に従って、「ウォレット・パスワード」フィールドにパスワードを入力します。このパスワードにより、資格証明の不正使用を防止します。
「パスワードの確認」フィールドにそのパスワードを再入力します。
「Walletタイプ」リストから「標準」を選択します。
「OK」をクリックして操作を続行します。入力したパスワードが必須ガイドラインに準拠していない場合は、次のメッセージが表示されます。
Password must have a minimum length of eight characters, and contain alphabetic characters combined with numbers or special characters. Do you want to try again?
警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書リクエストを追加するかどうかが確認されます。「証明書リクエストの追加」を参照してください。
「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットがウィンドウの左ペインに表示されます。証明書は「空」の状態で、ウォレットによって、デフォルトの信頼できる証明書が表示されます。
「ウォレット」→「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。
システム・デフォルトにウォレットを保存する権限がない場合は、別の場所に保存できます。この場所は、クライアントとサーバーのSSL構成で使用してください。
ウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。
PKCS #11に準拠するハードウェア・セキュリティ・モジュールに資格証明を格納するウォレットを作成するには、次の手順を実行します。
メニュー・バーから「ウォレット」→「新規」を選択します。「新規ウォレット」ダイアログ・ボックスが表示されます。
「ウォレット・パスワードの作成に関する必須ガイドライン」に従って、「ウォレット・パスワード」フィールドにパスワードを入力します。
「パスワードの確認」フィールドにそのパスワードを再入力します。
「Walletタイプ」リストから「PKCS11」を選択し、「OK」をクリックして続行します。「新しいPKCS11ウォレット」ウィンドウが表示されます。
「ハードウェア・ベンダーの選択」リストからベンダー名を選択します。
|
注意: Oracle Wallet Managerの現在のリリースでは、SafeNETおよびnCipherのハードウェアでOracleウォレットとの相互運用が証明されています。 |
「PKCS11ライブラリのファイル名」フィールドで、PKCS11ライブラリが格納されているディレクトリへのパスを入力するか、「参照」をクリックしてファイル・システムを検索してそのパスを探します。
「スマートカードのパスワード」フィールドにパスワードを入力して「OK」をクリックします。
スマートカードのパスワードはWalletのパスワードとは異なります。このパスワードは、Walletに格納されます。
警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書リクエストを追加するかどうかが確認されます。詳細は、「証明書リクエストの追加」を参照してください。
「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットがウィンドウの左ペインに表示されます。証明書は「空」の状態で、ウォレットによって、デフォルトの信頼できる証明書が表示されます。
「ウォレット」→「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。
システム・デフォルトにウォレットを保存する権限がない場合は、別の場所に保存できます。
ウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。
|
注意: スマートカード・パスワードを変更したり、PKCS #11ライブラリを移動してから、ウォレットを開こうとすると、エラー・メッセージが表示されます。その後、新規のスマートカード・パスワードまたはライブラリへの新規パスの入力を求めるプロンプトが表示されます。 |
ファイル・システム・ディレクトリ上にすでに存在しているウォレットを開くには、次の手順を実行します。
メニュー・バーから「ウォレット」→「開く」を選択します。「ディレクトリの選択」ダイアログ・ボックスが表示されます。
ウォレットが保存されているディレクトリ位置に移動し、そのディレクトリを選択します。
「OK」をクリックします。「ウォレットを開く」ダイアログ・ボックスが表示されます。
「ウォレット・パスワード」フィールドにウォレットのパスワードを入力します。
「OK」をクリックします。
メイン・ウィンドウに戻り、ウォレットが正常に開いたことを示すメッセージがウィンドウの下部に表示されます。Walletの証明書およびその信頼できる証明書が、ウィンドウの左ペインに表示されます。
現在選択しているディレクトリで開いているウォレットを閉じるには、次の手順を実行します。
「ウォレット」→「閉じる」を選択します。
ウォレットが閉じたことを示すメッセージがウィンドウの下部に表示されます。
Oracle Wallet Managerでは、自身のウォレットをサード・パーティの環境にエクスポートできます。
ウォレットをサード・パーティ環境にエクスポートするには、次の手順を実行します。
Oracle Wallet Managerを使用して、ウォレット・ファイルを保存します。
サード・パーティ製品固有の手順に従って、Oracle Wallet Managerにより作成されたオペレーティング・システム用PKCS #12 ウォレット・ファイル(UNIXおよびWindowsプラットフォーム上ではewallet.p12)をインポートします。
|
注意:
|
PKCS #12がサポートされないツールにウォレットを置く必要がある場合は、そのウォレットをテキストベースのPKI形式でエクスポートします。各コンポーネントは、表14-4に示す規格に従ってフォーマットされます。ウォレット内でSSL鍵を使用する証明書のみがウォレットとともにエクスポートされます。
テキストベースのPKI形式でウォレットをエクスポートするには、次の手順を実行します。
「操作」→「ウォレットのエクスポート」を選択します。「ウォレットのエクスポート」ダイアログ・ボックスが表示されます。
ウォレット用の宛先ファイル・システム・ディレクトリを入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
ウォレットの宛先ファイル名を入力します。
「OK」をクリックしてメイン・ウィンドウに戻ります。
Oracle Wallet Managerでは、SSL証明書を含むウォレットをLDAPディレクトリにアップロードする場合、SSLが使用されます。それ以外の場合は、ユーザーがディレクトリのパスワードを入力します。
ウォレットを誤って壊してしまうことがないように、Oracle Wallet Managerでは、ターゲットのウォレットが現在開いており、かつ、少なくとも1つのユーザー証明書が含まれている場合を除いて、アップロード・オプションを実行できないようになっています。
ウォレットをアップロードするには、次の手順を実行します。
「ウォレット」→「ディレクトリ・サービス内へのアップロード」を選択します。現在開いているウォレットが保存されていない場合は、次のメッセージを含むダイアログ・ボックスが表示されます。
アップロードする前に、ウォレットを保存する必要があります。
次に進むには、「はい」をクリックします。
ウォレットの証明書に、SSLの鍵使用方法が含まれているかどうかがチェックされます。SSLの鍵使用方法を含む証明書がウォレットに見つかるかどうかにより、結果は次のいずれかになります。
少なくとも1つの証明書にSSLの鍵使用方法がある場合: LDAPディレクトリ・サーバー・ホスト名とポート情報の入力が要求されたらそれを入力し、「OK」をクリックします。Oracle Wallet Managerにより、SSLを使用してLDAPディレクトリ・サーバーへの接続が試行されます。ウォレットが正常にアップロードされたか、失敗したかを示すメッセージが表示されます。
どの証明書にもSSLの鍵使用方法がない場合: ユーザーの識別名(DN)、LDAPサーバー・ホスト名およびポート情報の入力が要求されたらそれらを入力し、「OK」をクリックします。Oracle Wallet Managerにより、ウォレットのパスワードがディレクトリ・パスワードと同じであると仮定して、簡易パスワード認証モードを使用してLDAPディレクトリ・サーバーへの接続が試行されます。
接続が失敗すると、指定したDNのディレクトリ・パスワードの入力を求めるダイアログ・ボックスが表示されます。Oracle Wallet Managerにより、このパスワードを使用してLDAPディレクトリ・サーバーへの接続が試行され、失敗すると警告メッセージが表示されます。それ以外の場合、Oracle Wallet Managerは、ウィンドウの下部にアップロードの正常終了を示すメッセージを表示します。
|
注意:
|
LDAPディレクトリからダウンロードされたウォレットは作業メモリー内に格納されます。次の項で説明する保存オプションを使用して明示的に保存しないかぎり、ファイル・システムには保存されません。
次の手順で、LDAPディレクトリからウォレットをダウンロードします。
「ウォレット」→「ディレクトリ・サービスからのダウンロード」を選択します。
ユーザーの識別名(DN)、LDAPディレクトリ・パスワード、ホスト名およびポート情報の入力を求めるダイアログ・ボックスが表示されます。Oracle Wallet Managerは、簡易パスワード認証を使用してLDAPディレクトリに接続します。
ダウンロード操作が成功したかどうかにより、結果は次のいずれかになります。
ダウンロードが失敗した場合: ユーザーのDN、LDAPサーバー・ホスト名およびポート情報を正しく入力したかどうかを確認します。使用するポートは、非SSLポートである必要があります。
ダウンロードが成功した場合: 「OK」をクリックして、ダウンロードしたウォレットを開きます。Oracle Wallet Managerは、ディレクトリのパスワードを使用してウォレットを開こうとします。ディレクトリのパスワードを使用して操作に失敗した場合、ウォレットのパスワードの入力を求めるダイアログ・ボックスが表示されます。
Oracle Wallet Managerでウォレットのパスワードを使用してターゲット・ウォレットを開くことができない場合は、正しいパスワードを入力したかどうかが確認されます。成功すると、ウィンドウの下部にウォレットが正常にダウンロードされたことを示すメッセージが表示されます。
現在開いているウォレットに対する変更を保存するには、次の手順を実行します。
「ウォレット」→「保存」を選択します。
選択したディレクトリ位置のウォレットに、ウォレットの変更が正しく保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。
開いているウォレットを新しい場所に保存するには、「別名保存」メニュー・オプションを使用します。
「ウォレット」→「別名保存」を選択します。「ディレクトリの選択」ダイアログ・ボックスが表示されます。
ウォレットを保存するディレクトリの場所を選択します。
「OK」をクリックします。
選択した場所にウォレットがすでに存在している場合は、次のメッセージが表示されます。
A wallet already exists in the selected path. Do you want to overwrite it?
既存のウォレットを上書きする場合は「はい」を選択し、ウォレットを別の場所に保存する場合は「いいえ」を選択します。
ウィンドウの下部に、選択したディレクトリの場所にウォレットが正常に保存されたことを示すメッセージが表示されます。
デフォルトのディレクトリの場所にウォレットを保存するには、「システム・デフォルトに保存」メニュー・オプションを使用します。
「ウォレット」→「システム・デフォルトに保存」を選択します。
ウォレットがシステム・デフォルトのウォレット位置に正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。UNIXおよびWindowsプラットフォームでは、この位置は次のとおりです。
(UNIX) $ORACLE_HOME/owm/wallets/username - ORACLE_HOME環境変数が設定されている場合
./owm/wallets/username - ORACLE_HOME環境変数が設定されていない場合
(WINDOWS) ORACLE_HOME\owm\wallets\username - ORACLE_HOME環境変数が設定されている場合
.\owm\wallets\username - ORACLE_HOME環境変数が設定されていない場合
次の手順で、現在開かれているウォレットを削除します。
「ウォレット」→「削除」を選択します。「ウォレットの削除」ダイアログ・ボックスが表示されます。
表示されたウォレット・ロケーションをチェックして、削除しようとしているウォレットが正しいことを確認します。
ウォレットのパスワードを入力します。
「OK」をクリックします。ウォレットが正常に削除されたことを通知するダイアログ・パネルが表示されます。
|
注意: アプリケーション・メモリー内で開いているウォレットはすべて、アプリケーションを終了するまでメモリー内に残ります。したがって、使用中のウォレットを削除しても、システム・オペレーションに直接影響することはありません。 |
パスワードの変更は、すぐに有効になります。ウォレットは、現在選択されているディレクトリにパスワードで暗号化されて保存されます。
現在開いているウォレットのパスワードを変更するには、次の手順を実行します。
「ウォレット」→「パスワードの変更」を選択します。「ウォレット・パスワードの変更」ダイアログ・ボックスが表示されます。
既存のウォレット・パスワードを入力します。
新しいパスワードを入力します。
新しいパスワードを再度入力します。
「OK」をクリックします。
パスワードが正常に変更されたことを確認するメッセージが、ウィンドウの下部に表示されます。
ユーザーが必要なパスワードを手動で入力しなくても済むよう、サービスに対するPKIベースのアクセスを有効化できます。この機能は自動ログインと呼ばれます。自動ログインを有効化すると、ウォレットの不明瞭化されたコピーが作成されます。これは、ウォレットの自動ログイン機能を無効化するまで自動的に使用されます。
自動ログイン・ウォレットは、ファイル・システム権限によって保護されます。ウォレットの自動ログインを有効化すると、そのウォレットを作成したオペレーティング・システム・ユーザーのみがOracle Wallet Managerでウォレットを管理できるようになります。
複数のOracleデータベースに対するシングル・サインオン・アクセスを希望する場合は、自動ログインを有効化する必要があります。通常、このようなアクセスはデフォルトで無効化されています。不明瞭化された自動ログイン・ウォレットは、シングル・サインオン機能をサポートするため、SSOウォレットと呼ばれることもあります。
自動ログインを有効化するには、次の手順を実行します。
メニュー・バーから「ウォレット」を選択します。
「自動ログイン」を選択します。ウィンドウの下部に、自動ログインが有効化されたことを示すメッセージが表示されます。
自動ログインを無効化するには、次の手順を実行します。
メニュー・バーから「ウォレット」を選択します。
自動ログインの選択を解除します。ウィンドウの下部に、自動ログインが無効化されたことを示すメッセージが表示されます。
すべての証明書は、ネットワーク・アイデンティティを対応する公開鍵とバインドする署名付きのデータ構造体です。表14-5に、この章で区別される2つのタイプの証明書を示します。
表14-5 証明書のタイプ
| 証明書のタイプ | 例 |
|---|---|
|
ユーザー証明書 |
公開鍵/秘密鍵交換でエンド・エンティティの識別情報を証明するためにサーバーまたはユーザーに対して発行される証明書 |
|
信頼できる証明書 |
ユーザー証明書を発行して署名する認証局など、信頼できるエンティティを表す証明書 |
次の各項では、両方のタイプの証明書を管理する方法について説明します。
|
注意: ユーザー証明書をインストールするには、そのユーザー証明書を発行した認証局を表す信頼できる証明書がウォレットに含まれている必要があります。ただし、新しいウォレットを作成するたびに、公的に信頼できて、広く使用されている証明書がいくつか自動的にインストールされます。必要な認証局が表示されない場合、最初にその証明書をインストールする必要があります。また、PKCS#7証明連鎖形式を使用してインポートすることもできます。この形式では、ユーザー証明書とCA証明書が同時に提供されます。 |
ユーザー証明書(サーバー証明書を含む)は、エンド・ユーザー、スマートカード、Webサーバーのようなアプリケーションによって使用されます。たとえば、CAがWebサーバーの識別名(DN)を「サブジェクト」フィールドに入力して証明書を発行すると、Webサーバーが証明書所有者となり、このユーザー証明書のユーザーとなります。
ユーザー証明書の管理には、次のタスクがあります。
Oracle Wallet Managerを使用すると、複数の証明書リクエストを追加できます。Oracle Wallet Managerでは、複数のリクエストを追加すると、以降のリクエスト・ダイアログ・ボックスに初期リクエストの内容が自動的に表示されます。ユーザーはこの内容を編集できます。
実際の証明書リクエストがウォレットの一部になります。証明書リクエストのいずれかを再利用して、新規証明書を取得できます。ただし、既存の証明書リクエストは編集できません。適切な情報を入力した証明書リクエストのみをウォレットに格納してください。
PKCS #10証明書リクエストを作成するには、次の手順を実行します。
「操作」→「証明書リクエストの追加」を選択します。「証明書リクエストの追加」ダイアログ・ボックスが表示されます。
|
注意: 証明書リクエスト情報を入力するダイアログ・ボックスなどのモーダル・ダイアログ・ボックスが表示されているとき、Oracle Wallet Managerオンライン・ヘルプは応答しません。モーダル・ダイアログ・ボックスを閉じると、オンライン・ヘルプが応答するようになります。 |
表14-6で指定されている情報を入力します。
「OK」をクリックします。証明書リクエストが正常に作成されたことを示すメッセージが表示されます。このダイアログ・パネルの本文から証明書リクエストのテキストをコピーして、それを認証局に送信する電子メール・メッセージに貼り付けるか、またはその証明書リクエストをファイルにエクスポートできます。この時点で、Oracle Wallet Managerにより秘密鍵と公開鍵のペアが作成され、ウォレットに格納されます。認証局が証明書を発行すると、この証明書もウォレットに格納され、対応する秘密鍵に関連付けられます。
「OK」をクリックして、Oracle Wallet Managerのメイン・ウィンドウに戻ります。証明書の状態が「リクエスト済」に変わります。
表14-6 証明書リクエスト: フィールドと説明
| フィールド名 | 説明 |
|---|---|
|
共通名 |
必須です。ユーザーの識別情報またはサービスの識別情報の名前を入力します。名/姓の形式でユーザー名を入力します。 例: Eileen.Sanger |
|
組織単位 |
オプションです。識別情報の組織単位の名前を入力します。例: 財務 |
|
組織 |
オプションです。識別情報の組織の名前を入力します。例: XYZ Corp. |
|
市町村 |
オプションです。識別情報が常駐する地方または市の名前を入力します。 |
|
都道府県 |
オプションです。識別情報が常駐する都道府県の完全名を入力します。 2文字からなる省略形を受け入れない認証局もあるため、都道府県は完全名で入力してください。 |
|
国 |
必須です。「国」を選択して、国の略称のリストを表示します。その組織がある国名を選択します。 |
|
鍵サイズ |
必須です。「鍵のサイズ」を選択して、公開鍵と秘密鍵のペアを作成するときに使用する鍵サイズのリストを表示します。鍵サイズの値は、表14-7を参照してください。 |
|
詳細 |
オプションです。「詳細」を選択して、「証明書リクエストの詳細」ダイアログ・パネルを表示します。このフィールドを使用して、識別情報の識別名(DN)を編集またはカスタマイズします。たとえば、都道府県名や地域名を編集できます。 |
表14-7に、使用可能な鍵サイズと各サイズで提供される関連セキュリティを示します。一般的に、CAは1024または2048の鍵サイズを使用します。証明書所有者が鍵の長期保有を希望する場合は、3072または4096ビットの鍵を選択します。
認証局から証明書が付与される場合、テキスト(BASE64)形式の証明書を含む電子メールか、証明書がバイナリ・ファイルとして添付された電子メールが届きます。
電子メール・メッセージからテキスト(BASE64)形式の証明書をコピーします。Begin CertificateからEnd Certificateまでをコピーしてください。
「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。
「証明書の貼付け」を選択し、「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。
Please provide a base64 format certificate and paste it below.
ダイアログ・ボックスに証明書を貼り付けて、「OK」をクリックします。
PKCS#7形式の証明書を受信した場合、この証明書はインストールされます。このPKCS#7データと一緒に含まれていた他の証明書はすべて、信頼できる証明書のリストに追加されます。
PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が信頼できる証明書のリストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、信頼できる証明書のリストに追加されます。(CA証明書がすでに信頼できる証明書のリストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、ウィンドウの下部に証明書が正常にインストールされたことを示すメッセージが表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリの状態が「待機中」に変わります。
|
注意: 標準X.509証明書には、次の開始テキストと終了テキストが含まれます。
一般的なPKCS#7証明書には、前述のようにさらに多くの情報が含まれています。開始テキストと終了テキストは次のとおりです。
コピーするには、ダッシュを含めてすべて選択し、[Ctrl]キーを押しながら[C]キーを押し、貼り付けるには、[Ctrl]キーを押しながら[V]キーを押します。 |
ファイル内のユーザー証明書は、テキスト(BASE64)形式またはバイナリ(der)形式になります。
「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。
「証明書を含むファイルを選択」を選択し、「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスが表示されます。
証明書ファイルがあるパス名またはフォルダ名を入力します。
証明書ファイルの名前(cert.txt、cert.derなど)を選択します。
「OK」をクリックします。
PKCS#7形式の証明書を受信した場合、この証明書はインストールされます。このPKCS#7データと一緒に含まれていた他の証明書はすべて、信頼できる証明書のリストに追加されます。
PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が信頼できる証明書のリストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、信頼できる証明書のリストに追加されます。(CA証明書がすでに信頼できる証明書のリストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、ウィンドウの下部に証明書が正常にインストールされたことを示すメッセージが表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリの状態が「待機中」に変わります。
サード・パーティ証明書とは、Oracle Wallet Managerを使用して生成されなかった証明書リクエストから作成された証明書のことです。このようなサード・パーティ証明書には、ユーザー証明書の他にその証明書の秘密鍵も含まれるため、実際にはウォレットです。さらに、サード・パーティ証明書には、証明書が信頼できるエンティティによって作成されたことを示す信頼できる証明書の連鎖が含まれます。
これらのウォレットは、Oracle Wallet ManagerによりPKCS#12形式でインポートすることにより、1回の手順で使用可能になります。この形式には、前述の3つの要素(ユーザー証明書、秘密鍵および信頼できる証明書)がすべて含まれます。次のPKCS #12形式の証明書がサポートされています。
Oracle Wallet ManagerはPKCS#12標準に準拠しているため、PKCS#12準拠ツールによってエクスポートされた証明書はOracle Wallet Managerで使用できます。
こうしたサード・パーティ証明書は、秘密鍵と信頼できる認証局の連鎖がないため、既存のOracleウォレットに格納することはできません。かわりに、こうした証明書はそれぞれ、独立したPKCS#12ファイルとして、つまり独自のウォレットとしてエクスポートおよび取得されます。
サード・パーティによって作成されたウォレットを利用するには、この項で説明するように、そのウォレットをインポートする必要があります。
サード・パーティ・ツールを使用して作成された証明書をインポートするには、次の手順を実行します。
特定の製品固有の手順に従って、証明書をエクスポートします。エクスポート元製品の指示に従って秘密鍵をエクスポートに含め、エクスポートされた証明書を保護するための新しいパスワードを指定します。関連するトラスト・ポイントもすべて含めます。(PKCS #12では、ブラウザは必ずしも署名者自身の証明書以外に信頼できる証明書をエクスポートするとはかぎりません。接続先に対する認証のために、別の証明書を追加する必要がある場合があります。Oracle Wallet Managerを使用して、信頼できる証明書をインポートできます。)
証明書、秘密鍵およびトラスト・ポイントが含まれたエクスポート・ファイルは、サード・パーティ証明書を使用可能にする新しいウォレットになります。
ウォレットを特定のアプリケーションまたはサーバー(WebサーバーやLDAPサーバーなど)で使用できるようにするには、ウォレットを正確に配置する必要があります。必要なウォレットが含まれていると想定されるディレクトリは、アプリケーションごとに異なります。ウォレットを正しいシステムおよびディレクトリにコピーして、適切に検索されるようにする必要があります。
UNIXまたはWindowsアプリケーションまたはサーバーで使用する場合、ウォレットにewallet.p12という名前を付ける必要があります。
その他のオペレーティング・システムについては、該当するオペレーティング・システム固有のOracleマニュアルを参照してください。
サード・パーティ証明書がewallet.p12として格納されると、Oracle Wallet Managerで開いて管理できるようになります。このウォレットをエクスポートする場合、作成したパスワードを入力する必要があります。
|
注意: このパスワードは、関連するアプリケーションを起動するたびに、または証明書が必要になるたびに要求されます。このようなアクセスを自動化するには、「自動ログインの使用」を参照してください。ただし、必要な証明書の秘密鍵が別のハードウェア・セキュリティ・モジュールで保持されている場合、その証明書をインポートすることはできません。 |
次の手順で、ウォレットからユーザー証明書を削除します。
左パネルのサブツリーで、削除する証明書を選択します。
「操作」→「ユーザー証明書の削除」を選択します。ダイアログ・パネルが表示され、ウォレットからそのユーザー証明書を削除するかどうか確認を求められます。
「はい」を選択して、Oracle Wallet Managerのメイン・パネルに戻ります。証明書の状態として「要求済」が表示されます。
リクエストを削除するには、該当する証明書を事前に削除する必要があります。
証明書リクエストを削除するには、次の手順を実行します。
左パネルのサブツリーで、削除する証明書リクエストを選択します。
「操作」→「証明書リクエストの削除」を選択します。
「はい」をクリックします。証明書の状態として「空」が表示されます。
ファイル・システム・ディレクトリに証明書を保存するには、次の手順を使用して証明書をエクスポートします。
左パネルのサブツリーで、エクスポートする証明書を選択します。
メニュー・バーから「操作」→「ユーザー証明書のエクスポート」を選択します。証明書のエクスポート・ダイアログ・ボックスが表示されます。
証明書を保存するファイル・システムのディレクトリ位置を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
「ファイル名」フィールドに、証明書のファイル名を入力します。
「OK」をクリックします。証明書が正しくファイルにエクスポートされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
|
関連項目: ウォレットのエクスポートの詳細は、「サード・パーティ環境へのOracleウォレットのエクスポート」を参照してください。Oracle Wallet Managerは単一のウォレットへの複数の証明書の格納をサポートしていますが、現在のブラウザの多くは、単一証明書を含むウォレットのみをサポートすることに注意してください。したがって、このようなブラウザを使用している場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。 |
ファイル・システム・ディレクトリに証明書リクエストを保存するには、次の手順を使用して証明書リクエストをエクスポートします。
左パネルのサブツリーで、エクスポートする証明書リクエストを選択します。
「操作」→「証明書リクエストのエクスポート」を選択します。「証明書リクエストのエクスポート」ダイアログ・ボックスが表示されます。
証明書リクエストを保存するファイル・システムのディレクトリ位置を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
「ファイル名」フィールドに、証明書リクエストのファイル名を入力します。
「OK」を選択します。証明書リクエストが正しくファイルにエクスポートされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
信頼できる証明書の管理には、次のタスクがあります。
認証局から受信する電子メールから貼り付けるか、ファイルからインポートするかのいずれかの方法で、信頼できる証明書をウォレットにインポートできます。
Oracle Wallet Managerでは、新規ウォレットの作成時に、VeriSign社、RSA社、Entrust社およびGTE CyberTrust社の信頼できる証明書が自動的にインストールされます。
ユーザー証明書が含まれている電子メール・メッセージが届いたら、本文から信頼できる証明書をコピーします。Begin CertificateからEnd Certificateまでをコピーしてください。
メニュー・バーから「操作」→「信頼できる証明書のインポート」を選択します。「信頼できる証明書のインポート」ダイアログ・パネルが表示されます。
「証明書の貼付け」を選択し、「OK」をクリックします。別の「信頼できる証明書のインポート」ダイアログ・パネルに次のメッセージが表示されます。
Please provide a base64 format certificate and paste it below.
ウィンドウに証明書を貼り付けて、「OK」をクリックします。ウィンドウの下部に、信頼できる証明書が正常にインストールされたことを示すメッセージが表示されます。
「OK」をクリックします。Oracle Wallet Managerのメイン・パネルに戻り、信頼できる証明書が「信頼できる証明書」ツリーの下部に表示されます。
|
証明書のコピーと貼付けに使用するキーボード・ショートカットは、次のとおりです。 コピーするには[Ctrl]キーを押しながら[C]キーを押し、貼り付けるには[Ctrl]キーを押しながら[V]キーを押します。 |
信頼できる証明書を含むファイルはテキスト(BASE64)またはバイナリ(der)形式で保存されている必要があります。
「操作」→「信頼できる証明書のインポート」を選択します。「信頼できる証明書のインポート」ダイアログ・パネルが表示されます。
信頼できる証明書があるパス名またはフォルダ名を入力します。
信頼できる証明書ファイルの名前(cert.txtなど)を選択します。
「OK」をクリックします。ウィンドウの下部に、信頼できる証明書がウォレットに正常にインポートされたことを示すメッセージが表示されます。
「OK」をクリックしてダイアログ・パネルを終了します。Oracle Wallet Managerのメイン・パネルに戻り、信頼できる証明書が「信頼できる証明書」ツリーの下部に表示されます。
信頼できる証明書は、ウォレットに存在するユーザー証明書の署名に使用されている場合は削除できません。このような信頼できる証明書を削除するには、それによって署名された証明書を事前に削除する必要があります。また、信頼できる証明書がウォレットから削除された後は、関連する証明書を検証できません。
次の手順で、信頼できる証明書をウォレットから削除します。
「信頼できる証明書」ツリーのリストから信頼できる証明書を選択します。
メニュー・バーから「操作」→「信頼できる証明書の削除」を選択します。
ダイアログ・パネルに警告が表示され、署名に使用した信頼できる証明書を削除すると、受信者側でユーザー証明書を検証できなくなることが通知されます。
「はい」を選択します。選択した信頼できる証明書が、「信頼できる証明書」ツリーから削除されます。
次の手順で、別のファイル・システム位置に信頼できる証明書をエクスポートします。
左パネルのサブツリーで、エクスポート対象の信頼できる証明書を選択します。
「操作」→「信頼できる証明書のエクスポート」を選択します。「信頼できる証明書のエクスポート」ダイアログ・ボックスが表示されます。
信頼できる証明書を保存するファイル・システムのディレクトリを入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
信頼できる証明書の保存先のファイル名を入力します。
「OK」をクリックします。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
信頼できるすべての証明書を別のファイル・システムにエクスポートするには、次の手順を実行します。
「操作」→「すべての信頼できる証明書のエクスポート」を選択します。「信頼できる証明書のエクスポート」ダイアログ・ボックスが表示されます。
信頼できる証明書を保存するファイル・システムのディレクトリ位置を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
信頼できる証明書の保存先のファイル名を入力します。
「OK」をクリックします。Oracle Wallet Managerのメイン・ウィンドウに戻ります。
