ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド
11g リリース1 (11.1.1.7.0)
B72439-01
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

20 Directory Proxy Serverの証明書

この章では、Directory Proxy Serverの証明書の構成方法について説明します。Directory Serverで証明書を構成する詳細は、「証明書の管理」を参照してください。

この章の手順では、dpadmコマンドとdpconfコマンドを使用します。これらのコマンドの詳細は、dpadmおよびdpconfのマニュアル・ページを参照してください。

この章の内容は、次のとおりです。

20.1 デフォルトの自己署名証明書

Directory Proxy Serverのインスタンスを作成するとき、これにはデフォルトの自己署名証明書が含まれます。自己署名証明書は、公開鍵と秘密鍵のペアで、この公開鍵は、Directory Proxy Serverによって自己署名されます。

20.1.1 デフォルトの自己署名証明書の表示

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

デフォルトの自己署名証明書を表示します。

$ dpadm show-cert instance-path defaultservercert

20.2 Directory Proxy Serverの証明書の作成、リクエストおよびインストール

Directory Proxy ServerでSecure Sockets Layer(SSL)を実行するには、自己署名証明書または公開鍵インフラストラクチャ(PKI)ソリューションのいずれかを使用する必要があります。

PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、公開鍵と秘密鍵の両方を含むCA署名付きサーバー証明書が必要です。この証明書は、1つのDirectory Proxy Serverのインスタンスに固有です。公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。

デフォルトでない自己署名証明書の作成方法およびCA署名付き証明書のリクエスト方法とインストール方法の詳細は、次の手順を参照してください。

20.2.1 Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには

Directory Proxy Serverのインスタンスを作成すると、デフォルトの自己署名証明書が自動的に提供されます。デフォルトでない設定で自己署名証明書を作成する場合、次の手順を使用します。

この手順では、サーバー証明書の公開鍵と秘密鍵のペアを作成します。この公開鍵は、Directory Proxy Serverによって署名されます。自己署名証明書は3か月間有効です。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには、次のコマンドを入力します。

$ dpadm add-selfsign-cert instance-path cert-alias

ここで、cert-aliasは、自己署名証明書の名前です。

たとえば、my-self-signed-certという証明書を次のように作成できます。

$ dpadm add-selfsign-cert /local/dps my-self-signed-cert

すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照するか、またはコマンドラインでdpadm add-selfsign-cert --helpと入力してください。

20.2.2 Directory Proxy ServerのCA署名付き証明書をリクエストするには

自己署名証明書は、テストの目的で役に立ちます。ただし、本番環境では、信頼できる認証局(CA)の証明書を使用する方がより安全です。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. CA署名付きサーバー証明書をリクエストします。

    $ dpadm request-cert instance-path cert-alias
    

    ここで、cert-aliasは、リクエストする証明書の名前です。認証局は、サーバーを識別するためにコマンドのオプションすべてを要求する場合があります。すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照してください。

    CA証明書を取得するプロセスは、使用するCAによって異なります。証明書をダウンロードできるWebサイトを提供する商用CAもあります。電子メールで証明書を送信するCAもあります。

    たとえば、my-CA-signed-certという証明書を次のようにリクエストできます。

    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3
    DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ
    PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5
    W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA
    fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ
    g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6
    zwbn2EmIpjHzETtS5Nk=
    -----END NEW CERTIFICATE REQUEST-----
    

    dpadm request-certコマンドを使用して証明書をリクエストすると、証明書リクエストは、プライバシ強化型メール(PEM)フォーマットのPKCS #10証明書リクエストになります。PEMは、RFC1421から1424で指定されているフォーマットです。詳細は、http://www.ietf.org/rfc/rfc1421.txtを参照してください。PEMフォーマットは、base64エンコード証明書リクエストをASCIIフォーマットで表します。

    CA署名付き証明書をリクエストすると、一時自己署名証明書が作成されます。CAからCA署名付き証明書を受信し、インストールすると、一時自己署名証明書が新しい証明書に置き換えられます。

    今後の参照のために証明書リクエストを保存します。証明書を更新するときにこれが必要になる場合があります。

  2. 手順に従って、証明書リクエストをCAに送信します。

    証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内の場合、レスポンス時間は短くなる可能性があります。ただし、CAが社外の場合、リクエストに対するCAのレスポンスに数週間かかる可能性があります。

  3. CAから受信した証明書を保存します。

    証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。

20.2.3 Directory Proxy ServerのCA署名付きサーバー証明書をインストールするには

CA署名付きサーバー証明書を信頼できるようにするには、Directory Proxy Serverのインスタンスに証明書をインストールする必要があります。この手順では、CA証明書の公開鍵をDirectory Proxy Serverの証明書データベースにインストールします。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. このCAの信頼できるCA証明書がすでにインストールされているかどうかを確認します。

    このためには、「CA証明書をリスト表示するには:」の説明に従って、すべてのインストール済CA証明書をリスト表示します。

  2. 信頼できるCA証明書がインストールされていない場合、これをDirectory Proxy Serverのインスタンスの証明書データベースに追加します。

    $ dpadm add-cert instance-path cert-alias cert-file
    

    ここで、cert-aliasは信頼できるCA証明書の名前で、cert-fileは信頼できるCA証明書を含むファイルの名前です。

  3. CA署名付きサーバー証明書を証明書データベースにインストールします。

    $ dpadm add-cert instance-path cert-alias cert-file
    

    ここで、cert-aliasはCA署名付きサーバー証明書の名前で、cert-fileはCA署名付きサーバー証明書を含むファイルの名前です。


    注意:

    cert-aliasの名前は、証明書リクエストで使用したcert-aliasと同じである必要があります。


    たとえば、次のようにCA-certという名前のCA署名付きサーバー証明書を/local/dps上の証明書データベースに追加できます。

    $ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii
    

20.3 Directory Proxy Serverの期限切れになったCA署名付き証明書の更新

この項では、期限切れになったCA署名付きサーバー証明書を更新する方法について説明します。

20.3.1 Directory Proxy Serverの期限切れになったCA署名付きサーバー証明書を更新するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. CAから更新された証明書を取得します。

  2. 証明書をDirectory Proxy Serverのインスタンスにインストールします。

    $ dpadm renew-cert instance-path cert-alias cert-file
    

    ここで、cert-aliasは新しい証明書の名前で、cert-fileはこの証明書を含むファイルの名前です。すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照してください。

20.4 証明書のリスト表示

サーバーおよびCA証明書のリスト表示方法の詳細は、次の手順を参照してください。

20.4.1 サーバー証明書をリスト表示するには

この手順では、Directory Proxy Serverのインスタンスにインストールされているすべての証明書をリスト表示します。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverのインスタンスの証明書データベースにあるサーバー証明書をリスト表示します。

$ dpadm list-certs instance-path

デフォルトでは、Directory Proxy Serverのインスタンスには、defaultservercertというサーバー証明書が含まれています。Same as issuerは、デフォルト証明書が自己署名付きサーバー証明書であることを示します。

次に例を示します。

$ dpadm list-certs /local/dps

Alias             Valid from       Expires on       Self-signed? Issued by          Issued to
----------------- ---------------- ---------------- ------------ ------------------ --------------
defaultservercert 2006/06/01 04:15 2008/05/31 04:15 y            CN=myserver:myport Same as issuer
1 certificate found.

20.4.2 CA証明書をリスト表示するには

この手順では、Directory Proxy ServerのインスタンスにインストールされているCA証明書をリスト表示します。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

Directory Proxy Serverのインスタンスの証明書データベースにあるCA証明書をリスト表示します。

$ dpadm list-certs -C instance-path

次に例を示します。

$ dpadm list-certs -C /local/dps
Alias   Valid from       Expires on        Built-in  Issued by    Issued to
------  ----------       ----------------  --------- ---------    ---------
CAcert1 1999/06/21 06:00 2020/06/21 06:00  y         CN=company1, O=company2
...

20.5 バックエンドLDAPサーバーからDirectory Proxy Serverの証明書データベースへの証明書の追加

この項では、バックエンドLDAPサーバーからDirectory Proxy Serverの証明書データベースに証明書を追加する方法について説明します。

20.5.1 バックエンドDirectory ServerからDirectory Proxy Serverの証明書データベースに証明書を追加するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. 次のコマンド構文を使用して、バックエンドDirectory Serverからの証明書をPEMフォーマットで表示します。

    dsadm show-cert -F ascii instance-path [cert-alias]
    

    cert-aliasを指定しないと、デフォルトのサーバー証明書が表示されます。すべてのコマンド・オプションの説明は、dsadmマニュアル・ページを参照してください。

    たとえば、デフォルトの自己署名サーバー証明書を次のように表示します。

    $ dsadm show-cert -F ascii /local/dsInst defaultCert
    -----BEGIN CERTIFICATE-----
    MIICJjCCAY+gAwIBAgIFAIKL36kwDQYJKoZIhvcNAQEEBQAwVzEZMBcGA1UEChMQ
    U3VuIE1pY3Jvc3lzdGVtczEZMBcGA1UEAxMQRGlyZWN0b3J5IFNlcnZlcjENMAsG
    A1UEAxMEMjAxMTEQMA4GA1UEAxMHY29uZHlsZTAeFw0wNjA1MjIxMTQxNTVaFw0w
    NjA4MjIxMTQxNTVaMFcxGTAXBgNVBAoTEFN1biBNaWNyb3N5c3RlbXMxGTAXBgNV
    BAMTEERpcmVjdG9yeSBTZXJ2ZXIxDTALBgNVBAMTBDIwMTExEDAOBgNVBAMTB2Nv
    bmR5bGUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAK9U3ry3sJmEzwQY8CGd
    7S2MTZuBedo03Vea1lfDtD08WIsdDMzhHplTdeHAkWWNc8g2PDcEFXeWp9UXFMuD
    Pcia7t8HtFkm73VmlriWhMd8nn3l2vkxhsPK2LHFEeOIUDR9LBBiMiEeLkjdoEhE
    VLMSoYKqKI+Aa5grINdmtFzBAgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAF4eDbSd7
    qy2l10dIogT+rnXZ362gLTlQFCblhbGpmmptbegUdL1ITGv/62q1isPV2rW7CkjM
    Cqb0fo3k5UkKKvW+JbMowpQeAPnlgpX612HuDr1tldnKV4eyU7gpG31t/cpACALQ
    7OPi1A7oVb2Z8OJKfEJHkp3txBSsiI2gTkk=
    -----END CERTIFICATE-----
    
  2. 証明書を保存します。

    証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。

  3. バックエンドLDAPサーバーからDirectory Proxy Serverのインスタンスの証明書データベースに証明書を追加します。

    $ dpadm add-cert instance-path cert-alias cert-file
    

    ここで、cert-aliasは証明書の名前で、cert-fileはこの証明書を含むファイルの名前です。

    たとえば、証明書defaultCertを次のように追加できます。

    $ dpadm add-cert /local/dps defaultCert /local/safeplace/defaultCert.ascii
    

20.6 バックエンドLDAPサーバーへの証明書のエクスポート

バックエンドLDAPサーバーは、Directory Proxy Serverからの証明書を必要とする場合があります。この項では、バックエンドLDAPサーバーに証明書をエクスポートするようにDirectory Proxy Serverを構成する方法について説明します。

20.6.1 バックエンドLDAPサーバーにクライアント証明書をエクスポートするようにDirectory Proxy Serverを構成するには

  1. バックエンドLDAPサーバーに送信する証明書を指定します。

    $ dpconf set-server-prop -h host -p port ssl-client-cert-alias:cert-alias
    

    ここで、cert-aliasは、証明書の名前です。すべてのコマンド・オプションの説明は、dpconfマニュアル・ページを参照してください。

  2. 証明書の内容をファイルにコピーします。

    $ dpadm show-cert -F ascii -o filename instance-path cert-alias
    
  3. 「CA署名付きサーバー証明書と信頼できるCA証明書を追加するには」の説明に従って、バックエンドLDAPサーバーの証明書データベースに証明書を追加します。

次の手順

クライアント認証のためにバックエンドLDAPサーバーを構成します。Directory Serverでこれを行う方法の詳細は、「資格レベルおよび認証方法の構成」を参照してください。

関連項目:

クライアントとDirectory Proxy Serverの間の証明書ベースの認証の構成の詳細は、「証明書ベースの認証を構成するには:」を参照してください。

20.7 Directory Proxy Serverの証明書データベースのバックアップおよびリストア

サーバー証明書は、dpadmを使用してDirectory Proxy Serverをバックアップすると、バックアップされます。バックアップされた証明書はarchive-path/aliasディレクトリに格納されます。

Directory Proxy Serverのバックアップ方法およびリストア方法の詳細は、「Directory Proxy Serverのインスタンスのバックアップおよびリストア」を参照してください。

20.8 証明書データベースにアクセスするためのパスワードの要求

デフォルトでは、証明書データベースのパスワードは、内部で管理されます。したがって、証明書パスワードを入力したり、パスワード・ファイルを指定したりする必要はありません。証明書データベースが格納されたパスワードを使用して内部で管理される場合、パスワードは、セキュアな環境に格納されます。

セキュリティ・レベルを上げ、証明書を介した制御を強化するには、コマンドラインでパスワードを要求するようにDirectory Proxy Serverを構成します。こうすると、次のコマンドを除くすべてのdpadmサブコマンドに対してパスワードの入力を求められるようになります。例外のコマンドは、autostartbackupdisable-serviceenable-serviceinforestoreおよびstopです。

パスワードの入力を求めるまたは求めないようにDirectory Proxy Serverを構成するには、次の手順を参照してください。

20.8.1 証明書データベースにアクセスするためのパスワードを要求するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. サーバーを停止します。

    $ dpadm stop instance-path
    Directory Proxy Server instance 'instance-path' stopped
    
  2. パスワード・プロンプト・フラグをonに設定してから証明書データベースのパスワードを入力して確認します。

    $ dpadm set-flags instance-path cert-pwd-prompt=on
    Choose the certificate database password:
    Confirm the certificate database password:
    
  3. サーバーを起動してから証明書データベースのパスワードを入力します。

    $ dpadm start instance-path
    Enter the certificate database password:
    

20.8.2 証明書データベースにアクセスするためのパスワード・プロンプトを無効化するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

  1. サーバーを停止します。

    $ dpadm stop instance-path
    Directory Proxy Server instance 'instance-path' stopped
    
  2. パスワード・プロンプト・フラグをoffにしてから既存のパスワードを入力します。

    $ dpadm set-flags instance-path cert-pwd-prompt=off
    Enter the old password:
    
  3. サーバーを起動します。

    $ dpadm start instance-path