この章では、キーストア・サービスを使用してキーおよび証明書を管理する方法について説明します。
OPSSキーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化および関連タスク用のキーおよび証明書を管理できます。キーストア・サービスは、キー、証明書およびその他のアーティファクトを含むキーストアを作成および管理するために使用します。次の各項目で、キーストア・サービスの概要を説明します。
キーストア・サービスで作成される各キーストアは、アプリケーション・ストライプおよびキーストアによって一意に参照されます。
アプリケーション・ストライプ
キーストア内に作成されたキーおよび証明書はアプリケーション・ストライプまたは製品内に存在し、ドメイン内の各ストライプには一意の名前が付けられます。
キーストア
キーストア名はアプリケーション・ストライプ内で一意です。各製品またはアプリケーションは、そのアプリケーション・ストライプ内に複数のキーストアを作成できます。
したがって、(appstripe1, keystoreA)
は一意であり、(appstripe1, keystoreB)
とも、(appstripe2, keystoreA)
とも区別されます。
同様に、各キーストアは、キーストア内で一意の別名によって参照される次のエントリを含むことができます。
非対称鍵 - これには公開鍵と対応する秘密鍵が含まれ、通常はSSL通信に使用されます。公開鍵は証明書でラップされています。
対称鍵 - これらのキーは通常、暗号化に使用されます。
信頼できる証明書 - これらの証明書は通常、SSLピアとの信頼を構築するために使用されます。
キーストア・サービスでは、次の2つのタイプのキーストアを作成できます。
権限によって保護されるキーストア
このタイプのキーストアは認可ポリシーによって保護され、ランタイム・コードによるアクセスはコード・ソース権限によって保護されます。バックエンドのキー・データは、それぞれのドメインに対して一意に生成された暗号化鍵を使用して暗号化されます。
パスワードによって保護されるキーストア
このタイプのキーストアは、キーストア・パスワードおよび/またはキー・パスワードによって保護されます。ランタイム・コードがこれらにアクセスするには、キーストア・パスワードとキー・パスワード(キーストア・パスワードと異なる場合)へのアクセスが必要になります。バックエンドのキー・データは、Password Based Encryption (PBE)によりキーストア/キー・パスワードを使用して暗号化されます。
アプリケーションには、権限によって保護されたキーストアを使用することをお薦めします。ただし、高度なセキュリティが必要であり、パスワードの管理をいとわない場合は、パスワードによって保護されるキーストアの使用を検討してください。
注意: キーストア・サービスでは、キーストアまたはキーに対するパスワードは管理されません。製品またはアプリケーションで、適切なリポジトリ内でパスワードを管理する必要があります。たとえば、アプリケーションに対するパスワードを資格証明ストアに格納することを選択できます。 |
各アプリケーションではSSL用に複数のキーストアを構成できますが、すべての製品およびアプリケーションに対して、信頼管理用のドメイン・レベルのトラスト・ストアが事前に構成されています。
このドメイン・トラスト・ストアには、一般的に知られているほとんどのサード・パーティ認証局(CA)の信頼できる証明書、およびキーストア・サービスに構成されているデモCAの信頼できる証明書が含まれます。各アプリケーションではSSLに対してこのドメイン・トラスト・ストアを指定でき、このタスク用に専用のトラスト・ストアを作成する必要はありません。
一方向SSL
一方向SSLでは、アプリケーションはドメイン・トラスト・ストアを使用するだけで、キーストアやトラスト・ストアを作成する必要はありません。
双方向SSL
双方向SSLについては、アプリケーションは自身のアイデンティティ証明書を含むキーストアのみを作成する必要があり、信頼にはドメイン・トラスト・ストアを使用します。
注意: ドメイン・トラスト・ストアは、ドメイン内のすべての製品およびアプリケーションに対する共有ストアです。ドメイン内の他のすべての製品に影響する可能性があるため、信頼の追加または削除に関する決定は慎重に行う必要があります。 カスタム・トラスト・ストアの作成は、ドメイン・トラスト・ストアで製品の信頼管理要件を満たせない場合にのみ検討してください。 |
複数のサーバーがあるドメインでは、推奨されるストア・タイプはLDAPまたはDBのみです。このような環境では、ファイルベースのストアは構成しないでください。
この項では、キーストアおよび証明書の一般的なライフサイクル、およびキーストア・サービスを使用してキーストアおよび証明書を作成および保守する方法について説明します。次のトピックが含まれます:
KSSキーストアの一般的なライフサイクル・イベントは、次のとおりです。
キーストアはアプリケーション・ストライプのコンテキストで作成されます。キーストアは直接作成するか、ファイル・システムからキーストア・ファイルをインポートすることによって作成できます。
使用可能なキーストアのリストが表示され、特定のキーストアが選択されて更新されます。
キーストアが更新または削除されます。パスワードで保護されたキーストアの場合は、更新操作ではキーストア・パスワードを入力する必要があります。
キーストア・パスワードは変更できます。
キーストアは削除できます。
キーストアはエクスポートおよびインポートできます。KSSはJKSおよびJCEKSの証明書形式の移行をサポートしています。
この項では、Fusion Middleware Controlを通じてまたはコマンドラインで実行できる、次のキーストア操作を説明します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
その中にキーストアが作成されるストライプを選択します。必要に応じて、次のようにストライプを作成します。
「ストライプの作成」をクリックします。「ストライプの作成」ダイアログが表示されます。
一意のストライプ名を指定してください。任意の文字の組み合せが可能ですが、名前の中にはフォワード・スラッシュ(/)を使用しないことをお薦めします。
「発行」をクリックします。新しいストライプがストライプの一覧に表示され、キーストアの作成用にそれを選択できます。
「キーストアの作成」をクリックします。
「キーストアの作成」ダイアログが表示されます。
次のようにダイアログ・フォームを完了します。
キーストア名: 一意のキーストア名を入力します。特殊(非ASCII)文字、またはエンコーディングやロケールの異なる文字は使用しないでください。
「保護」タイプ: キーストアの保護メカニズムを「ポリシー」および「パスワード」から選択します。
パスワードで保護されたキーストアの場合は、有効なパスワードを入力します。
権限の付与: コードURLを使用して権限を付与するにはこのチェック・ボックスを選択します。
「OK」をクリックします。新しいキーストアが適切なストライプの下に表示されます。
コマンドラインでcreateKeyStore
スクリプトを使用してキーストアを作成できます。たとえば、ストライプ名をteststripe1
とすると、次のコマンドを使用してパーミッションベースのキーストアを作成します。
svc.createKeyStore(appStripe='teststripe1', name='keystore1', password='password',permission=true)
ここでpassword
は、このキーストアのパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
新しいストライプを指定する際は任意の文字の組み合せが可能ですが、名前の中にはフォワード・スラッシュ(/)を使用しないことをお薦めします。
一意のキーストア名を入力します。特殊(非ASCII)文字、またはエンコーディングやロケールの異なる文字は使用しないでください。
キーストアを削除すると、キーストア内のすべての証明書も削除されることに注意してください。それらの証明書に依存している機能がある場合は、結果としてそれらの機能は使用できなくなります。
次の手順を実行して、キーストアを削除します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「削除」をクリックします。
「キーストアの削除」ダイアログが表示されます。
これがパスワードで保護されたキーストアの場合は、キーストア・パスワードを入力します。
「OK」をクリックします。
コマンドラインでdeleteKeyStore
スクリプトを使用してキーストアを削除できます。たとえば、ストライプ名をappstripe1
とすると、次のコマンドを使用してキーストアを削除します。
svc.deleteKeyStore(appStripe='appstripe1', name='keystore1', password='password')
ここでpassword
は、このキーストアのパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
パスワードで保護されたキーストアのパスワードを変更する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「パスワードの変更」をクリックします。
「キーストア・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力します。
「OK」をクリックします。
コマンドラインでchangeKeyStorePassword
スクリプトを使用してキーストアのパスワードを変更できます。たとえば、インスタンス名をsystemとすると、次のコマンドを使用してキーストア・パスワードを変更します。
svc.changeKeyStorePassword(appStripe='system', name='keystore2', currentpassword='currentpassword', newpassword='newpassword')
ここで、currentpassword
がこのキーストアの現在のパスワードであり、newpassword
が新しいパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
コマンドラインでexportKeyStore
スクリプトを使用してキーストアをエクスポートできます。たとえば、ストライプ名をmystripe、エクスポートする別名をmyorakey、別名のパスワードをkeypassword1とすると、次のコマンドでキーストアをファイルにエクスポートします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JKS',filepath='/tmp/file.jks')
ここでpassword
は、このキーストアのパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
このコマンドを使用して複数のキーをエクスポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
対称鍵を含むキーストアをエクスポートする場合は、JCEKS
タイプを使用します。例:
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JCEKS',filepath='/tmp/file.jks')
コマンドラインでmportKeyStore
スクリプトを使用してキーストアをインポートできます。たとえば、ストライプ名をmystripe、インポートする別名をmyorakey、別名のパスワードをkeypassword1とすると、次のコマンドでオペレーティング・システム・ファイルからキーストアをインポートします。
svc.importKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JKS', permission=true, filepath='/tmp/file.jks')
ここでpassword
は、キーストア・パスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
このコマンドを使用して複数のキーをインポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
この項では、キーストア・サービスで証明書を管理する方法について説明します。内容は次のとおりです。
キーストア・サービス・キーストアに存在する証明書の一般的なライフサイクル・イベントは、次のとおりです。
鍵のペアの自己署名証明書が自動的に作成されます。
証明書に対して証明書署名リクエスト(CSR)が生成され、ファイルに保存できます。
CSRは認証局に送られます。認証局は送信者を検証し、署名し、署名付きの証明書を返送します。
証明書がキーストアにインポートされます。証明書はテキスト・ボックスに貼り付けることも、ファイル・システムからインポートすることもできます。ユーザー証明書も信頼できる証明書(CA証明書ともいいます)も、このようにインポートできます。
証明書または信頼できる証明書が、キーストアからファイルにエクスポートされます。
証明書または信頼できる証明書が、キーストアから削除されます。
この項では、一般的な証明書の操作を説明します。
関連する鍵ペアとともに証明書を生成する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。
「鍵ペアの生成」ボタンをクリックします。
「鍵ペアの生成」ダイアログ・ボックスが表示されます。
次の情報を入力します。
別名(必須)
共通名(必須)
組織単位
組織
市区町村
都道府県
国: ドロップダウン・ボックスから選択します。
RSAキー・サイズ: ドロップダウン・ボックスから選択します。デフォルトは1024バイトです。
「OK」をクリックします。
新しい証明書が証明書の一覧に表示されます。
証明書の別名をクリックすることで、証明書の詳細を表示できます。
生成された鍵ペアはCA署名付き証明書でラップされています(デモCA使用)。この証明書をSSLなどの信頼を確立する必要のある場所で使用するには、アプリケーションはトラスト・ストアとしてドメイン・トラスト・ストア(デモCA証明書を含むため)を使用するか、もしくは証明書をカスタムのアプリケーション固有のトラスト・ストアにインポートする必要があります。
コマンドラインでgenerateKeyPair
スクリプトを使用して、キーストア用の鍵ペアを生成できます。たとえば、appstripe2というアプリケーション・ストライプがあるとすると、次のコマンドでは別名がmyaliasの鍵ペアが作成されます。
svc.generateKeyPair(appStripe='appstripe2', name='keystore2', password='password', dn='cn=www.example.com', keysize='1024', alias='myalias', keypassword='keypassword')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
生成された鍵ペアはCA署名付き証明書でラップされています(デモCA使用)。この証明書をSSLなどの信頼を確立する必要のある場所で使用するには、アプリケーションはトラスト・ストアとしてドメイン・トラスト・ストア(デモCA証明書を含むため)を使用するか、もしくは証明書をカスタムのアプリケーション固有のトラスト・ストアにインポートする必要があります。
証明書または信頼できる証明書用のCSRを生成する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「CSRの生成」をクリックします。
「CSRの生成」ダイアログ・ボックスが表示されます。
次の操作を実行できます。
CSR全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
または
「CSRのエクスポート」をクリックすると、CSRが自動的にファイルに保存されます。
生成された証明書リクエストを認証局(CA)に送信すると、CAから署名付きの証明書が返送されます。
コマンドラインでexportKeyStoreCertificateRequest
スクリプトを使用して、鍵ペアに対してCSRを生成できます。たとえば、アプリケーション・ストライプをstripe1とすると、次のコマンドで鍵ペアtestaliasからCSRを生成できます。
svc.exportKeyStoreCertificateRequest(appStripe='stripe1', name='keystore1', password='password', alias='testalias', keypassword='keypassword', filepath='/tmp/csr-file')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。CSRはオペレーティング・システム・ファイルにエクスポートされます。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
パスワードで保護されたキーストアに証明書をインポートする手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。「インポート」をクリックします。
「証明書のインポート」ダイアログ・ボックスが表示されます。
フォームに次のように入力します。
証明書のタイプについて、ドロップダウン・リストの「証明書」または「信頼できる証明書」のいずれかを選択します。
ドロップダウン・リストから別名を選択します。
証明書ソースを指定します。「証明書または証明連鎖の貼付け」オプションを使用する場合は、証明書を直接テキスト・ボックスにコピーして貼り付けます。「証明書または証明連鎖を含むファイルの選択」オプションを使用する場合は、「参照」をクリックしてオペレーティング・システムからファイルを選択します。
「OK」をクリックします。インポートされた証明書または信頼できる証明書は、証明書の一覧に表示されます。
「OK」をクリックします。
証明書が証明書の一覧に表示されます。
コマンドラインでimportKeyStoreCertificateスクリプトを使用して証明書をインポートできます。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドで別名がmykeyの証明書をオペレーティング・システム・ファイルからインポートできます。
svc.importKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
次の手順を実行して、証明書または信頼できる証明書をエクスポートします。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「エクスポート」をクリックします。
証明書のエクスポート・ダイアログが表示されます。
次の操作を実行できます。
証明書全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
または
「証明書のエクスポート」をクリックすると、証明書が自動的にファイルに保存されます。
コマンドラインでexportKeyStoreCertificateスクリプトを使用して証明書をエクスポートできます。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドで別名がmykeyの証明書をオペレーティング・システム・ファイルにエクスポートできます。
svc.exportKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
次の手順を実行して、証明書を削除します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「削除」をクリックします。
「証明書の削除」ダイアログが表示されます。
削除するかどうかを確認するメッセージが表示されます。「OK」をクリックします。
コマンドラインでdeleteKeyStoreEntryスクリプトを使用してキーストアから証明書を削除できます。たとえば、アプリケーション・ストライプをappstripeとすると、次のコマンドで別名がorakeyの証明書を削除できます。
ssvc.deleteKeyStoreEntry(appStripe='appstripe', name='keystore2', password='password', alias='orakey', keypassword='keypassword')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
次の手順を実行して、証明書のパスワードを変更します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「パスワードの変更」をクリックします。
「キー・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力し、「OK」をクリックします。
コマンドラインでchangeKeyPasswordスクリプトを使用して証明書のパスワードを変更できます。たとえば、アプリケーション・ストライプをsystem1とすると、次のコマンドで別名がtestkeyの証明書を削除できます。
svc.changeKeyPassword(appStripe='system1', name='keystore', password='password', alias='testkey', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
ここで、password
はキーストア・パスワードで、keypassword
は証明書の別名のパスワードです。第11.4項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
キーストア・サービスでは、キーストアの作成と管理、証明書のエクスポート、鍵ペアの生成などのキーストア操作に、専用のコマンドラインのコマンド・セットを使用します。これらのコマンドの使用方法は似ていますが、他のOPSSコマンドとは異なります。
キーストア・サービス・コマンド・セットを使用するための開始点はgetOpssService
です。これは次の操作を可能にするOPSSサービス・コマンド・オブジェクトを取得します。
サービスに対してコマンドを実行する
コマンド・ヘルプを表示する
一般的な構文は次のとおりです。
variable = getOpssService(name='service_name')
説明
variable
はコマンド・オブジェクトを格納します。
サービス名は、コマンド・オブジェクトを取得する対象のサービスを指します。有効な値は、KeyStoreService
のみです。
例:
svc = getOpssService(name='KeyStoreService')
キーストア・サービス・コマンドに対するヘルプを表示するには、第11.4項に示したように、サービス・コマンド・オブジェクトの取得から始めます。このオブジェクトを、ヘルプ・コマンドおよび当該のコマンドとともに使用します。
すべてのキーストア・サービス・コマンドのリストを取得するには、次のように入力します。
svc.help()
特定のコマンドに対するヘルプを表示するには、次のように入力します。
svc.help('command-name')
たとえば次のように入力すると、exportKeyStore
コマンドに対するヘルプが表示されます。
svc.help('exportKeyStore')
この項では、表11-1に示すキーストア・サービス・コマンドのリファレンスを提供します。
注意: コマンドの説明で、KSSという略語はキーストア・サービスを指しています。KSSキーストアとは、キーストア・サービスで作成され管理されるキーストアを指しています。 |
表11-1 キーストア・サービス・コマンド
コマンド | 説明 |
---|---|
キーに対するパスワードを変更します。 |
|
キーストアに対するパスワードを変更します。 |
|
新しいキーストアを作成します。 |
|
指定されたキーストアを削除します。 |
|
キーストア・エントリを削除します。 |
|
キーストアをファイルにエクスポートします。 |
|
証明書、信頼できる証明書または証明書チェーンをエクスポートします。 |
|
証明書リクエストを生成してエクスポートします。 |
|
キーストア内にキー・ペアを生成します。 |
|
キーストア内に対称鍵を生成します。 |
|
証明書または信頼できる証明書に関する情報を取得します。 |
|
秘密鍵のプロパティを取得します。 |
|
キーストアをファイルからインポートします。 |
|
証明書、信頼できる証明書または証明書チェーンをインポートします。 |
|
期限が切れる証明書をリストし、オプションで更新します。 |
|
キーストア内の別名をリストします。 |
|
ストライプ内のキーストアをリストします。 |
説明
別名によって識別されるキー用のパスワードを変更します。
構文
svc.changeKeyPassword(appStripe='stripe', name='keystore', password='password', alias='alias', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= パスワードが変更されるキー・エントリの別名。
currentkeypassword= キーの現在のパスワード。
newkeypassword= キーの新しいパスワード。
例
svc.changeKeyPassword(appStripe='system', name='keystore', password='password', alias='orakey', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
説明
KSSキーストアに対するパスワードを変更します。
構文
svc.changeKeyStorePassword(appStripe='stripe', name='keystore', currentpassword='currentpassword', newpassword='newpassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= パスワードが変更されるキーストアの名前。
currentpassword= キーストアの現在のパスワード。
newpassword= キーストアの新しいパスワード。
例
svc.changeKeyStorePassword(appStripe='system', name='keystore2', currentpassword='currentpassword', newpassword='newpassword')
説明
新しいKSSキーストアを作成します。
構文
svc.createKeyStore(appStripe='stripe', name='keystore', password='password',permission=true|false)
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= その中にキーストアが作成されるストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
permission= キーストアが権限によってのみ保護される場合はtrue、パスワードによって保護される場合はfalse。
例
svc.createKeyStore(appStripe='system', name='keystore1', password='password',permission=true)
説明
指定されたKSSキーストアを削除します。
構文
svc.deleteKeyStore(appStripe='stripe', name='keystore', password='password')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアがその中に存在するストライプの名前。
name= 削除するキーストアの名前。
password= 削除するキーストアのパスワード。
例
svc.deleteKeyStore(appStripe='system', name='keystore1', password='password')
説明
KSSキーストア・エントリを削除します。
構文
svc.deleteKeyStoreEntry(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= 削除するエントリの別名。
keypassword= 削除するエントリのキー・パスワード。
例
svc.deleteKeyStoreEntry(appStripe='system', name='keystore2', password='password', alias='orakey', keypassword='keypassword')
説明
KSSキーストアをファイルにエクスポートします。
構文
svc.exportKeyStore(appStripe='stripe', name='keystore', password='password', aliases='comma-separated-aliases', keypasswords='comma-separated-keypasswords', type='keystore-type', filepath='absolute_file_path')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= KSSキーストアおよびキーストアがエクスポートされるファイルのパスワード。ファイルが存在しない場合、パスワードは、指定されたパスワードに設定されます。存在する場合、パスワードは、指定されたパスワードに変更されます。
aliases= エクスポートする別名のカンマ区切りリスト。
keypasswords= 別名に対応するキー・パスワードのカンマ区切りリスト。パスワードで保護されたキーストアからエクスポートする場合は、パスワードが必要です。権限によって保護されたキーストアの場合は、パスワードは無視されます。
type= エクスポートされるキーストアのタイプ。有効な値は、JKSまたはJCEKSです。
filepath= キーストアのエクスポート先のファイルの絶対パス。
例
svc.exportKeyStore(appStripe='system', name='keystore2', password='password',aliases='orakey,seckey', keypasswords='keypassword1,keypassword2', type='JKS',filepath='/tmp/file.jks')
説明
証明書、信頼できる証明書または証明書チェーンをKSSキーストアからエクスポートします。
構文
svc.exportKeyStoreCertificate(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword', type='entrytype',filepath='absolute_file_path')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= エクスポートするエントリの別名。
keypassword= キーのパスワード。
type= エクスポートするキーストア・エントリのタイプ。有効な値は、Certificate、TrustedCertificateまたはCertificateChainです。
filepath= 証明書、信頼できる証明書または証明書チェーンのエクスポート先のファイルの絶対パス。
例
svc.exportKeyStoreCertificate(appStripe='system', name='keystore2', password='password', alias='orakey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
説明
証明書リクエストを生成してエクスポートします。
構文
svc.exportKeyStoreCertificateRequest(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword', filepath='absolute_file_path')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= 証明書リクエストの生成元のキー・ペアの別名。
keypassword= キー・ペアのパスワード。
filepath= 証明書リクエストのエクスポート先のファイルの絶対パス。
例
svc.exportKeyStoreCertificateRequest(appStripe='system', name='keystore2', password='password', alias='orakey', keypassword='keypassword', filepath='/tmp/certreq.txt')
説明
KSSキーストア内に鍵ペアを生成し、それをデモCAによって署名された証明書でラップします。
構文
svc.generateKeyPair(appStripe='stripe', name='keystore', password='password', dn='distinguishedname', keysize='keysize', alias='alias', keypassword='keypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キー・ペアが生成されるキーストアの名前。
password= キーストアのパスワード。
dn= キー・ペアをラップする証明書の識別名。
keysize= キーのサイズ。
alias= キー・ペア・エントリの別名。
keypassword= キーのパスワード。
例
svc.generateKeyPair(appStripe='system', name='keystore2', password='password', dn='cn=www.myhost.com', keysize='1024', alias='orakey', keypassword='keypassword')
説明
KSSキーストア内に対称鍵を生成します。
構文
svc.generateSecretKey(appStripe='stripe', name='keystore', password='password', algorithm='algorithm', keysize='keysize', alias='alias', keypassword='keypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= 対称鍵が生成されるキーストアの名前。
password= キーストアのパスワード。
algorithm= 対称鍵アルゴリズム。
keysize= キーのサイズ。
alias= キー・エントリの別名。
keypassword= キーのパスワード。
例
svc.generateSecretKey(appStripe='system', name='keystore2', password='password', algorithm='AES', keysize='128', alias='seckey', keypassword='keypassword')
説明
証明書または信頼できる証明書に関する情報を取得します。
構文
svc.getKeyStoreCertificates(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
keypassword= キーのパスワード。
name= キーストアの名前。
password= キーストアのパスワード。
alias= 表示する証明書、信頼できる証明書または証明書チェーンの別名。
例
svc.getKeyStoreCertificates(appStripe='system', name='keystore3', password='password', alias='orakey', keypassword='keypassword')
説明
アルゴリズムなどの秘密鍵のプロパティを取得します。
構文
svc.getKeyStoreSecretKeyProperties(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= プロパティを表示する秘密鍵の別名。
keypassword= 秘密鍵のパスワード。
例
svc.getKeyStoreSecretKeyProperties(appStripe='system', name='keystore3', password='password', alias='seckey', keypassword='keypassword')
説明
KSSキーストアをファイルからインポートします。
構文
svc.importKeyStore(appStripe='stripe', name='keystore', password='password', aliases='comma-separated-aliases', keypasswords='comma-separated-keypasswords', type='keystore-type', permission=true|false, filepath='absolute_file_path')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
aliases= ファイルからインポートするエントリのカンマ区切りの別名。
keypasswords= ファイル内のキーのカンマ区切りのパスワード。
type= インポートされるキーストアのタイプ。有効な値は、JKSまたはJCEKSです。
filepath= インポートするキーストア・ファイルの絶対パス。
例
svc.importKeyStore(appStripe='system', name='keystore2', password='password',aliases='orakey, seckey', keypasswords='keypassword1, keypassword2', type='JKS', permission=true, filepath='/tmp/file.jks')
説明
証明書、信頼できる証明書または証明書チェーンをKSSキーストアにインポートします。
構文
svc.importKeyStoreCertificate(appStripe='stripe', name='keystore', password='password', alias='alias', keypassword='keypassword', type='entrytype', filepath='absolute_file_path')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
alias= インポートするエントリの別名。
keypassword= 新たにインポートするエントリのキー・パスワード。
type= インポートするキーストア・エントリのタイプ。有効な値は、Certificate、TrustedCertificateまたはCertificateChainです。
filepath= 証明書、信頼できる証明書または証明書チェーンのインポート元のファイルの絶対パス。
例
svc.importKeyStoreCertificate(appStripe='system', name='keystore2', password='password', alias='orakey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
説明
期限が切れる証明書をリストし、オプションで更新します。
構文
svc.listExpiringCertificates(days='days', autorenew=true|false)
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
days= 期限までの日数がこの日数以下の証明書のみをリストします。
autorenew= 期限が切れる証明書を自動的に更新する場合はtrue
、表示するだけの場合はfalse
。
例
svc.listExpiringCertificates(days='365', autorenew=true)
説明
KSSキーストア内の特定のエントリ・タイプに対する別名をリストします。
構文
svc.listKeyStoreAliases(appStripe='stripe', name='keystore', password='password', type='entrytype')
説明:
svc= getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト。
appStripe= キーストアを含むストライプの名前。
name= キーストアの名前。
password= キーストアのパスワード。
type= 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*(ワイルドカード)です。
例
svc.listKeyStoreAliases(appStripe='system', name='keystore2', password='password', type='Certificate') svc.listKeyStoreAliases(appStripe='system', name='keystore2', password='password', type='TrustedCertificate') svc.listKeyStoreAliases(appStripe='system', name='keystore2', password='password', type='SecretKey') svc.listKeyStoreAliases(appStripe='system', name='keystore2', password='password', type='*')