JavaScriptが検索に必要です。
ナビゲーション・リンクをスキップ
印刷ビューの終了
Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0)
Oracle Technology Network
ライブラリ
PDF
印刷表示
フィードバック
検索フィルタ・アイコン
検索アイコン

ドキュメントの情報

はじめに

第1部 Directory Serverの管理

1.  Directory Serverのツール

2.  Directory Serverのインスタンスと接尾辞

3.  Directory Serverの構成

4.  Directory Serverのエントリ

5.  Directory Serverのセキュリティ

6.  Directory Serverのアクセス制御

7.  Directory Serverのパスワード・ポリシー

8.  Directory Serverのバックアップとリストア

9.  Directory Serverのグループ、ロールおよびCoS

10.  Directory Serverのレプリケーション

11.  Directory Serverのスキーマ

12.  Directory Serverの索引作成

13.  Directory Serverの属性値の一意性

14.  Directory Serverのロギング

15.  Directory Serverの監視

第2部 Directory Proxy Serverの管理

16.  Directory Proxy Serverのツール

17.  Directory Proxy Serverのインスタンス

18.  LDAPデータ・ビュー

19.  Directory Proxy Serverの証明書

デフォルトの自己署名証明書

デフォルトの自己署名証明書の表示

Directory Proxy Serverの証明書の作成、リクエストおよびインストール

Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには:

Directory Proxy ServerのCA署名付き証明書をリクエストするには:

Directory Proxy ServerのCA署名付きサーバー証明書をインストールするには:

Directory Proxy Serverの期限切れになったCA署名付き証明書の更新

Directory Proxy Serverの期限切れになったCA署名付きサーバー証明書を更新するには:

証明書のリスト表示

サーバー証明書をリスト表示するには:

CA証明書をリスト表示するには:

バックエンドLDAPサーバーからDirectory Proxy Serverの証明書データベースへの証明書の追加

バックエンドDirectory ServerからDirectory Proxy Serverの証明書データベースに証明書を追加するには:

バックエンドLDAPサーバーへの証明書のエクスポート

バックエンドLDAPサーバーにクライアント証明書をエクスポートするようにDirectory Proxy Serverを構成するには:

Directory Proxy Serverの証明書データベースのバックアップおよびリストア

証明書データベースにアクセスするためのパスワードの要求

証明書データベースにアクセスするためのパスワードを要求するには:

証明書データベースにアクセスするためのパスワード・プロンプトを無効化するには:

20.  Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ

21.  Directory Proxy Serverの配布

22.  Directory Proxy Serverによる仮想化

23.  仮想データ変換

24.  Directory Proxy ServerとバックエンドLDAPサーバーの接続

25.  クライアントとDirectory Proxy Serverの接続

26.  Directory Proxy Serverのクライアント認証

27.  Directory Proxy Serverのロギング

28.  Directory Proxy Serverの監視とアラート

第3部 Directory Service Control Centerの管理

29.  Directory Service Control Centerの構成

索引

Directory Proxy Serverの証明書の作成、リクエストおよびインストール

Directory Proxy ServerでSecure Sockets Layer(SSL)を実行するには、自己署名証明書または公開鍵インフラストラクチャ(PKI)ソリューションのいずれかを使用する必要があります。

PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、公開鍵と秘密鍵の両方を含むCA署名付きサーバー証明書が必要です。この証明書は、1つのDirectory Proxy Serverのインスタンスに固有です。公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。

デフォルトでない自己署名証明書の作成方法およびCA署名付き証明書のリクエスト方法とインストール方法の詳細は、次の手順を参照してください。

Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには:

Directory Proxy Serverのインスタンスを作成すると、デフォルトの自己署名証明書が自動的に提供されます。デフォルトでない設定で自己署名証明書を作成する場合、次の手順を使用します。

この手順では、サーバー証明書の公開鍵と秘密鍵のペアを作成します。この公開鍵は、Directory Proxy Serverによって署名されます。自己署名証明書は3か月間有効です。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

Directory Proxy ServerのCA署名付き証明書をリクエストするには:

自己署名証明書は、テストの目的で役に立ちます。ただし、本番環境では、信頼できる認証局(CA)の証明書を使用する方がより安全です。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

  1. CA署名付きサーバー証明書をリクエストします。
    $ dpadm request-cert instance-path cert-alias

    ここで、cert-aliasは、リクエストする証明書の名前です。認証局は、サーバーを識別するためにコマンドのオプションすべてを要求する場合があります。すべてのコマンド・オプションの説明は、dpadm(1M)マニュアル・ページを参照してください。

    CA証明書を取得するプロセスは、使用するCAによって異なります。証明書をダウンロードできるWebサイトを提供する商用CAもあります。電子メールで証明書を送信するCAもあります。

    たとえば、my-CA-signed-certという証明書を次のようにリクエストできます。

    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3
DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ
PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5
W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA
fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ
g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6
zwbn2EmIpjHzETtS5Nk=
-----END NEW CERTIFICATE REQUEST-----

    dpadm request-certコマンドを使用して証明書をリクエストすると、証明書リクエストは、プライバシ強化型メール(PEM)フォーマットのPKCS #10証明書リクエストになります。PEMは、RFC1421から1424で指定されているフォーマットです。詳細は、http://www.ietf.org/rfc/rfc1421.txtを参照してください。PEMフォーマットは、base64エンコード証明書リクエストをASCIIフォーマットで表します。

    CA署名付き証明書をリクエストすると、一時自己署名証明書が作成されます。CAからCA署名付き証明書を受信し、インストールすると、一時自己署名証明書が新しい証明書に置き換えられます。

    今後の参照のために証明書リクエストを保存します。証明書を更新するときにこれが必要になる場合があります。

  2. 手順に従って、証明書リクエストをCAに送信します。

    証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内の場合、レスポンス時間は短くなる可能性があります。ただし、CAが社外の場合、リクエストに対するCAのレスポンスに数週間かかる可能性があります。

  3. CAから受信した証明書を保存します。

    証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。

Directory Proxy ServerのCA署名付きサーバー証明書をインストールするには:

CA署名付きサーバー証明書を信頼できるようにするには、Directory Proxy Serverのインスタンスに証明書をインストールする必要があります。この手順では、CA証明書の公開鍵をDirectory Proxy Serverの証明書データベースにインストールします。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

  1. このCAの信頼できるCA証明書がすでにインストールされているかどうか確認します。

    このためには、「CA証明書をリスト表示するには:」の説明に従って、すべてのインストール済CA証明書をリスト表示します。

  2. 信頼できるCA証明書がインストールされていない場合、これをDirectory Proxy Serverのインスタンスの証明書データベースに追加します。
    $ dpadm add-cert instance-path cert-alias cert-file

    ここで、cert-aliasは信頼できるCA証明書の名前で、cert-fileは信頼できるCA証明書を含むファイルの名前です。

  3. CA署名付きサーバー証明書を証明書データベースにインストールします。
    $ dpadm add-cert instance-path cert-alias cert-file

    ここで、cert-aliasはCA署名付きサーバー証明書の名前で、cert-fileはCA署名付きサーバー証明書を含むファイルの名前です。

    注意: cert-aliasの名前は、証明書リクエストで使用したcert-aliasと同じである必要があります。

    たとえば、次のようにCA-certという名前のCA署名付きサーバー証明書を/local/dps上の証明書データベースに追加できます。

    $ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii
Copyright (C) 2011, Oracle and/or its affiliates.All rights reserved.法律上の注意点
戻る 次へ