| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
この章では、Directory Proxy Serverの証明書の構成方法について説明します。Directory Serverで証明書を構成する詳細は、「証明書の管理」を参照してください。
この章の手順では、dpadmコマンドとdpconfコマンドを使用します。これらのコマンドの詳細は、dpadmおよびdpconfのマニュアル・ページを参照してください。
この章の内容は、次のとおりです。
Directory Proxy Serverのインスタンスを作成するとき、これにはデフォルトの自己署名証明書が含まれます。自己署名証明書は、公開鍵と秘密鍵のペアで、この公開鍵は、Directory Proxy Serverによって自己署名されます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
デフォルトの自己署名証明書を表示します。
$ dpadm show-cert instance-path defaultservercert
Directory Proxy ServerでSecure Sockets Layer(SSL)を実行するには、自己署名証明書または公開鍵インフラストラクチャ(PKI)ソリューションのいずれかを使用する必要があります。
PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、公開鍵と秘密鍵の両方を含むCA署名付きサーバー証明書が必要です。この証明書は、1つのDirectory Proxy Serverのインスタンスに固有です。公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。
デフォルトでない自己署名証明書の作成方法およびCA署名付き証明書のリクエスト方法とインストール方法の詳細は、次の手順を参照してください。
Directory Proxy Serverのインスタンスを作成すると、デフォルトの自己署名証明書が自動的に提供されます。デフォルトでない設定で自己署名証明書を作成する場合、次の手順を使用します。
この手順では、サーバー証明書の公開鍵と秘密鍵のペアを作成します。この公開鍵は、Directory Proxy Serverによって署名されます。自己署名証明書は3か月間有効です。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには、次のコマンドを入力します。
$ dpadm add-selfsign-cert instance-path cert-alias
ここで、cert-aliasは、自己署名証明書の名前です。
たとえば、my-self-signed-certという証明書を次のように作成できます。
$ dpadm add-selfsign-cert /local/dps my-self-signed-cert
すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照するか、またはコマンドラインでdpadm add-selfsign-cert --helpと入力してください。
自己署名証明書は、テストの目的で役に立ちます。ただし、本番環境では、信頼できる認証局(CA)の証明書を使用する方がより安全です。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
CA署名付きサーバー証明書をリクエストします。
$ dpadm request-cert instance-path cert-alias
ここで、cert-aliasは、リクエストする証明書の名前です。認証局は、サーバーを識別するためにコマンドのオプションすべてを要求する場合があります。すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照してください。
CA証明書を取得するプロセスは、使用するCAによって異なります。証明書をダウンロードできるWebサイトを提供する商用CAもあります。電子メールで証明書を送信するCAもあります。
たとえば、my-CA-signed-certという証明書を次のようにリクエストできます。
$ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert -----BEGIN NEW CERTIFICATE REQUEST----- MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3 DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5 W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6 zwbn2EmIpjHzETtS5Nk= -----END NEW CERTIFICATE REQUEST-----
dpadm request-certコマンドを使用して証明書をリクエストすると、証明書リクエストは、プライバシ強化型メール(PEM)フォーマットのPKCS #10証明書リクエストになります。PEMは、RFC1421から1424で指定されているフォーマットです。詳細は、http://www.ietf.org/rfc/rfc1421.txtを参照してください。PEMフォーマットは、base64エンコード証明書リクエストをASCIIフォーマットで表します。
CA署名付き証明書をリクエストすると、一時自己署名証明書が作成されます。CAからCA署名付き証明書を受信し、インストールすると、一時自己署名証明書が新しい証明書に置き換えられます。
今後の参照のために証明書リクエストを保存します。証明書を更新するときにこれが必要になる場合があります。
手順に従って、証明書リクエストをCAに送信します。
証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内の場合、レスポンス時間は短くなる可能性があります。ただし、CAが社外の場合、リクエストに対するCAのレスポンスに数週間かかる可能性があります。
CAから受信した証明書を保存します。
証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。
CA署名付きサーバー証明書を信頼できるようにするには、Directory Proxy Serverのインスタンスに証明書をインストールする必要があります。この手順では、CA証明書の公開鍵をDirectory Proxy Serverの証明書データベースにインストールします。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
このCAの信頼できるCA証明書がすでにインストールされているかどうかを確認します。
このためには、「CA証明書をリスト表示するには:」の説明に従って、すべてのインストール済CA証明書をリスト表示します。
信頼できるCA証明書がインストールされていない場合、これをDirectory Proxy Serverのインスタンスの証明書データベースに追加します。
$ dpadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasは信頼できるCA証明書の名前で、cert-fileは信頼できるCA証明書を含むファイルの名前です。
CA署名付きサーバー証明書を証明書データベースにインストールします。
$ dpadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasはCA署名付きサーバー証明書の名前で、cert-fileはCA署名付きサーバー証明書を含むファイルの名前です。
|
注意: cert-aliasの名前は、証明書リクエストで使用したcert-aliasと同じである必要があります。 |
たとえば、次のようにCA-certという名前のCA署名付きサーバー証明書を/local/dps上の証明書データベースに追加できます。
$ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii
この項では、期限切れになったCA署名付きサーバー証明書を更新する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
CAから更新された証明書を取得します。
証明書をDirectory Proxy Serverのインスタンスにインストールします。
$ dpadm renew-cert instance-path cert-alias cert-file
ここで、cert-aliasは新しい証明書の名前で、cert-fileはこの証明書を含むファイルの名前です。すべてのコマンド・オプションの説明は、dpadmマニュアル・ページを参照してください。
サーバーおよびCA証明書のリスト表示方法の詳細は、次の手順を参照してください。
この手順では、Directory Proxy Serverのインスタンスにインストールされているすべての証明書をリスト表示します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverのインスタンスの証明書データベースにあるサーバー証明書をリスト表示します。
$ dpadm list-certs instance-path
デフォルトでは、Directory Proxy Serverのインスタンスには、defaultservercertというサーバー証明書が含まれています。Same as issuerは、デフォルト証明書が自己署名付きサーバー証明書であることを示します。
次に例を示します。
$ dpadm list-certs /local/dps Alias Valid from Expires on Self-signed? Issued by Issued to ----------------- ---------------- ---------------- ------------ ------------------ -------------- defaultservercert 2006/06/01 04:15 2008/05/31 04:15 y CN=myserver:myport Same as issuer 1 certificate found.
この手順では、Directory Proxy ServerのインスタンスにインストールされているCA証明書をリスト表示します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverのインスタンスの証明書データベースにあるCA証明書をリスト表示します。
$ dpadm list-certs -C instance-path
次に例を示します。
$ dpadm list-certs -C /local/dps Alias Valid from Expires on Built-in Issued by Issued to ------ ---------- ---------------- --------- --------- --------- CAcert1 1999/06/21 06:00 2020/06/21 06:00 y CN=company1, O=company2 ...
この項では、バックエンドLDAPサーバーからDirectory Proxy Serverの証明書データベースに証明書を追加する方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
次のコマンド構文を使用して、バックエンドDirectory Serverからの証明書をPEMフォーマットで表示します。
dsadm show-cert -F ascii instance-path [cert-alias]
cert-aliasを指定しないと、デフォルトのサーバー証明書が表示されます。すべてのコマンド・オプションの説明は、dsadmマニュアル・ページを参照してください。
たとえば、デフォルトの自己署名サーバー証明書を次のように表示します。
$ dsadm show-cert -F ascii /local/dsInst defaultCert -----BEGIN CERTIFICATE----- MIICJjCCAY+gAwIBAgIFAIKL36kwDQYJKoZIhvcNAQEEBQAwVzEZMBcGA1UEChMQ U3VuIE1pY3Jvc3lzdGVtczEZMBcGA1UEAxMQRGlyZWN0b3J5IFNlcnZlcjENMAsG A1UEAxMEMjAxMTEQMA4GA1UEAxMHY29uZHlsZTAeFw0wNjA1MjIxMTQxNTVaFw0w NjA4MjIxMTQxNTVaMFcxGTAXBgNVBAoTEFN1biBNaWNyb3N5c3RlbXMxGTAXBgNV BAMTEERpcmVjdG9yeSBTZXJ2ZXIxDTALBgNVBAMTBDIwMTExEDAOBgNVBAMTB2Nv bmR5bGUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAK9U3ry3sJmEzwQY8CGd 7S2MTZuBedo03Vea1lfDtD08WIsdDMzhHplTdeHAkWWNc8g2PDcEFXeWp9UXFMuD Pcia7t8HtFkm73VmlriWhMd8nn3l2vkxhsPK2LHFEeOIUDR9LBBiMiEeLkjdoEhE VLMSoYKqKI+Aa5grINdmtFzBAgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAF4eDbSd7 qy2l10dIogT+rnXZ362gLTlQFCblhbGpmmptbegUdL1ITGv/62q1isPV2rW7CkjM Cqb0fo3k5UkKKvW+JbMowpQeAPnlgpX612HuDr1tldnKV4eyU7gpG31t/cpACALQ 7OPi1A7oVb2Z8OJKfEJHkp3txBSsiI2gTkk= -----END CERTIFICATE-----
証明書を保存します。
証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。
バックエンドLDAPサーバーからDirectory Proxy Serverのインスタンスの証明書データベースに証明書を追加します。
$ dpadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasは証明書の名前で、cert-fileはこの証明書を含むファイルの名前です。
たとえば、証明書defaultCertを次のように追加できます。
$ dpadm add-cert /local/dps defaultCert /local/safeplace/defaultCert.ascii
バックエンドLDAPサーバーは、Directory Proxy Serverからの証明書を必要とする場合があります。この項では、バックエンドLDAPサーバーに証明書をエクスポートするようにDirectory Proxy Serverを構成する方法について説明します。
$ dpconf set-server-prop -h host -p port ssl-client-cert-alias:cert-alias
ここで、cert-aliasは、証明書の名前です。すべてのコマンド・オプションの説明は、dpconfマニュアル・ページを参照してください。
証明書の内容をファイルにコピーします。
$ dpadm show-cert -F ascii -o filename instance-path cert-alias
「CA署名付きサーバー証明書と信頼できるCA証明書を追加するには」の説明に従って、バックエンドLDAPサーバーの証明書データベースに証明書を追加します。
次の手順
クライアント認証のためにバックエンドLDAPサーバーを構成します。Directory Serverでこれを行う方法の詳細は、「資格レベルおよび認証方法の構成」を参照してください。
関連項目:
クライアントとDirectory Proxy Serverの間の証明書ベースの認証の構成の詳細は、「証明書ベースの認証を構成するには:」を参照してください。
サーバー証明書は、dpadmを使用してDirectory Proxy Serverをバックアップすると、バックアップされます。バックアップされた証明書はarchive-path/aliasディレクトリに格納されます。
Directory Proxy Serverのバックアップ方法およびリストア方法の詳細は、「Directory Proxy Serverのインスタンスのバックアップおよびリストア」を参照してください。
デフォルトでは、証明書データベースのパスワードは、内部で管理されます。したがって、証明書パスワードを入力したり、パスワード・ファイルを指定したりする必要はありません。証明書データベースが格納されたパスワードを使用して内部で管理される場合、パスワードは、セキュアな環境に格納されます。
セキュリティ・レベルを上げ、証明書を介した制御を強化するには、コマンドラインでパスワードを要求するようにDirectory Proxy Serverを構成します。こうすると、次のコマンドを除くすべてのdpadmサブコマンドに対してパスワードの入力を求められるようになります。例外のコマンドは、autostart、backup、disable-service、enable-service、info、restoreおよびstopです。
パスワードの入力を求めるまたは求めないようにDirectory Proxy Serverを構成するには、次の手順を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
サーバーを停止します。
$ dpadm stop instance-path Directory Proxy Server instance 'instance-path' stopped
パスワード・プロンプト・フラグをonに設定してから証明書データベースのパスワードを入力して確認します。
$ dpadm set-flags instance-path cert-pwd-prompt=on
Choose the certificate database password:
Confirm the certificate database password:
サーバーを起動してから証明書データベースのパスワードを入力します。
$ dpadm start instance-path
Enter the certificate database password:
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
サーバーを停止します。
$ dpadm stop instance-path Directory Proxy Server instance 'instance-path' stopped
パスワード・プロンプト・フラグをoffにしてから既存のパスワードを入力します。
$ dpadm set-flags instance-path cert-pwd-prompt=off
Enter the old password:
サーバーを起動します。
$ dpadm start instance-path
