この章では、Windowsオペレーティング・システムにおける、Oracle Public Key Infrastructure(PKI)とPublic Key Infrastructure(Windows PKI)との統合について説明します。
この章の項目は次のとおりです。
Oracle Public Key Infrastructure(PKI)は、Oracle Enterprise Security Manager、LDAP対応のOracle Enterprise Manager、OracleのSecure Sockets Layer(SSL)認証、Oracle DatabaseおよびOracle Application Serverで使用されます。
注意: Oracle Security Managerは、Oracle Database Clientでのみインストールされます。 |
Oracle PKIには次のコンポーネントが含まれます。
Oracle Wallet
Oracle Wallet Manager(OWM)
Oracle Walletでは、暗号化、復号化、デジタル署名および検証のために公開鍵アプリケーションで使用されるデジタル証明、トラスト・ポイントおよび秘密鍵が格納されます。
この項では、Windows PKIについて説明します。
次の項目について説明します。
Oracle PKIアプリケーションでのMicrosoft証明書ストアの使用
注意: Microsoft証明書ストアとの統合は、Microsoft Enhanced Cryptographic Providerを使用するデジタル証明がある場合にのみ機能します。このような証明書を作成するには、Windows High Encryption Packをインストールし、Microsoft Enhanced Cryptographic Providerを選択する必要があります。また、同じ鍵の使用(署名および鍵交換)のために使用可能な証明書が複数ある場合、取得された最初の証明書はOracle SSLに使用されます。 |
Microsoft証明書ストアは、デジタル証明およびそれに関連するプロパティを格納するリポジトリです。Windowsオペレーティング・システムでは、デジタル証明および証明書失効リストが、論理ストアおよび物理ストアに格納されます。論理ストアには、物理ストアにある公開鍵オブジェクトへのポインタが含まれます。論理ストアにより、各ユーザー、コンピュータまたはサービス間で、それらのオブジェクトの複製を格納する必要なく、公開鍵オブジェクトを共有できます。公開鍵オブジェクトは、物理的にローカル・コンピュータのレジストリに格納されますが、一部のユーザー証明書についてはActive Directoryに格納されます。Microsoftにより定義される標準システム証明書ストアは、次のとおりです。
MYまたはPersonal
CA
ROOT
MYまたはPersonalは、関連する秘密鍵が使用可能なユーザー証明書を保持します。MY証明書ストアは、秘密鍵に関連するCryptographic Service Provider(CSP)を示す証明書プロパティを管理します。アプリケーションは、この情報を使用して、関連する証明書のCSPから秘密鍵を取得します。CAは、発行元または中間認証局(CA)証明書を保持します。ROOTは、信頼できるルートCAの自己署名CA証明書のみを保持します。
Microsoft証明書サービス(MCS)は、次のモジュールで構成されます。
Server Engine
中間点
Policy
Server Engineは、すべての証明書リクエストを処理します。これは、リクエストの状態に応じた対処が適切に行われるように、それぞれの処理段階で他のモジュールと相互に情報交換します。Intermediaryモジュールは、クライアントから新しい証明書のリクエストを受信すると、そのリクエストをServer Engineに送信します。Policyモジュールは証明書の発行を制御する一連のルールを収容します。このモジュールは、必要に応じてアップグレードされたりカスタマイズされることがあります。
ウォレット・リソース・ロケータ(WRL)により、ファイルsqlnet.ora
のパラメータWALLET_LOCATION
が、特定のPKIを識別するよう指定されます。sqlnet.ora
のパラメータWALLET_LOCATION
を設定することにより、Oracle Walletを使用するか、またはMicrosoft証明書ストアを使用するかを選択できます。Microsoft証明書ストアからの資格証明を使用するには、sqlnet.ora
のパラメータWALLET_LOCATION
を次のように設定します。
WALLET_LOCATION = (SOURCE = (METHOD=MCS))
Oracleアプリケーションでは、OracleのSSL付きTCP/IPプロトコル(TCPS)を使用し、Oracleサーバーに接続します。SSLプロトコルでは、SSL認証のためにユーザーのMicrosoft証明書ストアからのX.509証明書およびトラスト・ポイントが使用されます。