| Oracle® Fusion Middleware管理者ガイド 11gリリース1 (11.1.1.8.0) B60984-07 |
|
 前 |
 次 |
Oracle Application Server 10gには、ウォレットおよび証明書の管理用の次のユーティリティがありました。
また、Oracle Application Server 10gでは、SSL構成ツールが提供されていました。
Oracle Fusion Middleware 11g リリース1 (11.1.1.8.0)には、次の機能があります。
追加のorapki機能
Fusion Middleware Controlを使用した、JKSベースのキーストア、ウォレットおよび証明書の管理機能
SSLを構成するコマンドライン・ツールとグラフィカル・ユーザー・インタフェースの両方。詳細は、第6章を参照してください。
この付録でorapkiの更新について学習するとともに、11g リリース1 (11.1.1.8.0)で提供される新たな証明書、ウォレット管理およびSSL構成ツールへの移行の参考としてください。この付録の項目は次のとおりです。
|
関連項目: Oracle Wallet Managerおよび
|
|
注意:
|
|
注意: マルチバイト・キャラクタ・セット(MBCS)に基づくウォレット名はサポートされていません。MBCSを使用してウォレットを作成しないでください。 |
orapkiコマンドライン・ユーティリティには、Oracle Fusion Middleware 11gリリース1 (11.1.1.8.0)における次の新機能が含まれています。
|
関連項目: ドキュメントID 1226654.1 FMW 11gにおけるORAPKIを使用したウォレットの作成方法(OTNナレッジ・ベースにあります) |
# Create root wallet (for example, CA wallet) orapki wallet create -wallet ./root -pwd mypasswd # Add a self-signed certificate (CA certificate) to the root wallet orapki wallet add -wallet ./root -dn 'CN=root_test,C=US' -keysize 1024 -self_signed -validity 3650 -pwd mypasswd # Export self-signed certificate from the wallet orapki wallet export -wallet ./root -dn 'CN=root_test,C=US' -cert ./root/b64certificate.txt -pwd mypasswd # Create a user wallet (for example, a customer wallet) orapki wallet create -wallet ./user -pwd mypasswd # Add a certificate request orapki wallet add -wallet ./user -dn 'CN=user_test,C=US' -keysize 1024 -pwd mypasswd # Export the certificate request orapki wallet export -wallet ./user -dn 'CN=user_test,C=US' -request ./user/creq.txt -pwd mypasswd # Create a certificate (issued by CA) orapki cert create -wallet ./root -request ./user/creq.txt -cert ./user/cert.txt -validity 3650 -pwd mypasswd # Add a trusted certificate (CA certificate) to the wallet orapki wallet add -wallet ./user -trusted_cert -cert ./root/b64certificate.txt -pwd mypasswd # Add a user certificate orapki wallet add -wallet ./user -user_cert -cert ./user/cert.txt -pwd mypasswd # Display contents of wallet orapki wallet display -wallet ./root -pwd mypasswd
orapkiでは、CRLの操作のために複数の新たなコマンド・オプションをサポートしています。
CRLの作成
CRLを作成するには、orapki crl createを使用します。
第H.2.6.3項「orapki crl create」を参照してください。
証明書の取消し
証明書を取り消すには、orapki crl revokeを使用します。
第H.2.6.8項「orapki crl revoke」を参照してください。
CRL署名の確認
CRL署名を確認するには、orapki crl verifyを使用します。
第H.2.6.11項「orapki crl verify」を参照してください。
証明書がCRL内で取り消されているかどうかのチェック
証明書が取り消されているかどうかを確認するには、orapki crl statusを使用します。
第H.2.6.9項「orapki crl status」を参照してください。
orapkiには次の機能があります。
証明書リクエストにサブジェクト・キー識別子の拡張子を追加する機能
バージョン3の自己署名証明書をウォレットに追加する機能
これらの機能の詳細は、第H.2.6.12項「orapki wallet add」を参照してください。
ユーザーのトラストのチェーン(証明書チェーン)をエクスポートするには、orapki wallet export_trust_chainを使用します。
ウォレット・パスワードを変更するには、orapki wallet change_pwdを使用します。
第H.2.6.13項「orapki wallet change_pwd」を参照してください。
JKSキーストアからOracleウォレットへの変換およびOracleウォレットからJKSへの変換を実行できます。
JKSからOracleウォレットへの変換
エントリをJKSストアからp12ウォレットに移行するには、次のコマンドを使用します。
jks_to_pkcs12 -wallet wallet -pwd pwd -keystore keystore -jkspwd jkspwd [-aliases [alias:alias..]]
このコマンドのパラメータは次のとおりです。
walletはウォレット・ロケーションです。エントリがJKSキーストアからこのウォレットに移行されます。
pwdはウォレット・パスワードです。
keystoreはキーストアの場所です。このJKSはp12ウォレットに移行されます。
jkspwdはJKSパスワードです。
aliasesはオプションです。これを指定すると、指定した別名に対応するエントリのみが移行されます。指定しないと、すべてのエントリが移行されます。
このコマンドについて説明するために、自己署名JKSキーストアの作成から始めます。
keytool -genkey -alias myalias -keyalg RSA -keysize 1024 -dname CN=root,C=US -validity 3650 -keystore ./ewallet.jks -storetype jks -storepass password -keypass password
次に、Oracleウォレットを作成します。
orapki wallet create -wallet ./ -pwd password
JKSキーストアのエントリをウォレットに移行します。
orapki wallet jks_to_pkcs12 -wallet ./ -pwd password -keystore ./ewallet.jks -jkspwd password
|
注意: この例では、ウォレットは新しく作成されたため空です。しかし実際には、このコマンドを使用するときにウォレットが空である必要はありません。事前に存在しているエントリは保持されます。 |
OracleウォレットからJKSへの変換
エントリをp12ウォレットからJKSキーストアに移行するには、次のコマンドを使用します。
pkcs12_to_jks -wallet p12wrl -pwd p12pwd
[-jksKeyStoreLoc jksKSloc -jksKeyStorepwd jksKS_pwd][-jksTrustStoreLoc loc -jksTrustStorepwd pwd]
このコマンドのパラメータは次のとおりです。
walletはp12ウォレット・ロケーションです。
pwdはウォレット・パスワードです。
jksKeyStoreLocはJKSキーストアの場所です。
jksKeyStorepwdはJKSキーストア・パスワードです。
jksTrustStoreLocはJKSトラストストアの場所です。
jksTrustStorepwdはJKSトラストストア・パスワードです。
|
注意: パスワードは、8文字以上で、アルファベットと、数字または特殊文字の組合せを含んでいる必要があります。 |
次の例では、すべてのウォレットのエントリが同じJKSキーストアに移行されます。
orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewallet.jks -jksKeyStorepwd mypasswd2
次の例では、キーおよび信頼できる証明書のエントリが別々のJKSキーストアに移行されます。
orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewalletK.jks -jksKeyStorepwd mypasswd2 -jksTrustStoreLoc ./ewalletT.jks -jksTrustStorepwd mypasswd2
この項の項目は次のとおりです。
orapkiユーティリティは、公開鍵インフラストラクチャ(PKI)要素(ウォレット、証明書失効リストなど)をコマンドラインで管理できるようにするために提供されています。これにより、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。
このコマンドライン・ユーティリティを使用して、次のタスクを実行できます。
テスト用の署名付き証明書の作成
Oracleウォレットの管理
Oracleウォレットの作成と表示
証明書リクエストの追加と削除
証明書の追加と削除
信頼できる証明書の追加と削除
証明書失効リスト(CRL)の管理
証明書検証用ハッシュ値によるCRLの名前変更
Oracle Internet DirectoryでのCRLのアップロード、一覧表示、表示および削除
orapkiを使用すると、証明書をDERフォーマットとPEMフォーマットの両方でインポートできます。
orapkiコマンドライン・ユーティリティの基本的な構文を次に示します。
orapki module command -parameter value
このコマンドでは、moduleをwallet (Oracleウォレット)、crl(証明書失効リスト)またはcert (PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmoduleによって異なります。たとえば、walletを使用している場合、addコマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txtにあるユーザー証明書が、ORACLE_HOME/wallet/ewallet.p12にあるウォレットに追加されます。
orapki wallet add -wallet ORACLE_HOME/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt
コマンドラインで次のコマンドを入力することにより、特定のモードで使用可能なorapkiコマンドをすべて表示できます。
orapki mode help
たとえば、証明書失効リスト(CRL)を管理するために使用可能なコマンドをすべて表示するには、コマンドラインに次のように入力します。
orapki crl help
|
注意:
|
このコマンドライン・ユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。次の構文を使用して、署名付き証明書を作成し、証明書を表示できます。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。-validityパラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。
orapki cert display -cert certificate_location [-summary | -complete]
このコマンドを使用すると、orapkiを使用して作成したテスト証明書を表示できます。-summaryまたは-completeのいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summaryを選択すると、証明書とその有効期限が表示されます。-completeを選択すると、シリアル番号、公開鍵などの追加の証明書情報が表示されます。
次の各項では、orapkiコマンドライン・ユーティリティを使用してOracleウォレットの作成および管理を行うために使用される構文について説明します。これらのorapkiユーティリティのwalletモジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
|
注意:
|
|
関連項目: パスワードで保護されたウォレットまたは自動ログイン・ウォレットの作成方法の例は、ドキュメントID 1226654.1 FMW 11gにおけるORAPKIを使用したウォレットの作成方法(OTNナレッジ・ベースにあります)を参照してください。 |
orapki wallet create -wallet wallet_location
このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。-walletで指定された場所にウォレットが作成されます。
orapki wallet create -wallet wallet_location -auto_login
このコマンドを使用すると、自動ログインが有効なウォレットが作成されます。また、このコマンドは、既存のウォレットの自動ログインを有効にするためにも使用できます。wallet_locationにすでにウォレットが含まれている場合、そのウォレットの自動ログインが有効になります。自動ログイン機能を無効にするには、cwallet.ssoを削除します。
|
注意: 自動ログイン機能を有効にしたウォレットでは、 |
orapki wallet display -wallet wallet_location
このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます。
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048|4096
このコマンドを使用すると、指定した識別名(user_dn)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、リクエストされた証明書のキー・サイズ(512、1024または2048ビット)も指定します。リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第H.2.4.3項「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
このコマンドを使用すると、指定した場所(-cert certificate_location)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明書チェーンにあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days
このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書のキー・サイズ(-keysize)は、512、1024、2048または4096ビットに指定できます。
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
このコマンドを使用すると、-certパラメータで指定された場所にあるユーザー証明書が、wallet_locationにあるOracleウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書が、ウォレットから-certで指定されたファイルにエクスポートされます。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書リクエストが、ウォレットから-requestで指定されたファイルにエクスポートされます。
CRLは、orapkiを使用して管理する必要があります。このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapkiを使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。次の各項では、CRLについて、CRLの使用方法、およびorapkiを使用してCRLを管理する方法について説明します。
|
関連項目:
|
指定の証明書を指定のコンテキストで使用できるかどうかを判定するプロセスは、証明書の検証と呼ばれます。証明書の検証には、次の項目の判定が含まれます。
信頼できる認証局(CA)にデジタル署名された証明書があるかどうか。
証明書のデジタル署名が、証明書自体の別個に計算されたハッシュ値および証明書の署名者の(CAの)公開鍵に対応しているかどうか。
証明書が期限切れになっていないかどうか。
証明書が失効していないかどうか。
SSLネットワーク・レイヤーは、自動的に最初の3つの検証チェックを実行しますが、証明書が失効していないことを確認するには、証明書失効リスト(CRL)のチェックを構成する必要があります。CRLは、失効した証明書のリストを含む署名付きデータ構造体です。これは通常、元の証明書を発行したエンティティと同じエンティティによって発行され署名されます。
使用するトラスト・ポイントすべてについてCRLが必要です。トラスト・ポイントは、一定の信頼レベルで資格を与えられたサード・パーティ・アイデンティティからの信頼できる証明書です。通常、信頼する認証局はトラスト・ポイントと呼ばれます。
証明書失効ステータスは、ファイル・システム・ディレクトリ(Oracle Internet Directory)にあるCRL、または証明書のCRL配布ポイント(CRL DP)の拡張子で指定された場所からダウンロードしたCRLに対してチェックされます。CRLをローカル・ファイル・システムまたはディレクトリに格納する場合、CRLを定期的に更新する必要があります。CRL DPを使用する場合、CRLは、対応する証明書が最初に使用されるときにダウンロードされます。
サーバーは、次の場所で(ここに示されている順番で)CRLを検索します。システムは、証明書のCAのDNと一致するCRLを検出すると、検索を停止します。
ローカル・ファイル・システム
システムは、まずsqlnet.oraファイルのSSL_CRL_FILEパラメータを確認し、それからSSL_CRL_PATHパラメータを確認します。システムは、これらの2つのパラメータが指定されていない場合、ウォレット・ロケーションで任意のCRLをチェックします。
注意: CRLをローカル・ファイル・システムに格納する場合、orapkiユーティリティを使用してCRLを定期的に更新する必要があります。第H.2.5.2.1項「証明書検証用ハッシュ値によるCRLの名前変更」を参照してください。
Oracle Internet Directory
サーバーは、ローカル・ファイル・システムでCRLを検出できず、ORACLE_HOME/ldap/admin/ldap.oraファイルでディレクトリ接続情報が構成されている場合、このディレクトリを検索します。これは、CAの識別名(DN)およびCRLサブツリーのDNを使用してCRLサブツリーを検索します。
ディレクトリでCRLを検索するためには、サーバーに、適切に構成されたldap.oraファイルが存在している必要があります。Oracle Internet Directoryのドメイン・ネーム・システム(DNS)検出機能は使用できません。また、CRLをディレクトリに格納する場合、orapkiユーティリティを使用してCRLを定期的に更新する必要があることに注意してください。第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
CRL DP
CAが、証明書が発行されたときのCRL DP X.509、バージョン3、証明書拡張子内の位置を指定すると、その証明書用の失効情報を含む適切なCRLがダウンロードされます。現在、Oracle Advanced Securityは、HTTPおよびLDAPを介したCRLのダウンロードをサポートしています。
|
注意:
|
証明書失効ステータスのチェックを有効にするには、まず、使用するCAから受信したCRLがシステムで使用できるフォームである(ハッシュ値で名前変更されている)こと、またはシステムで使用できる場所にある(ディレクトリにアップロードされている)ことを確認してください。Oracle Advanced Securityには、次のタスクを実行するために使用できるコマンドライン・ユーティリティ(orapki)があります。
Oracle Internet DirectoryからのCRLの削除
|
注意: CRLは、正常な検証を行うために、(期限切れになる前に)定期的に更新する必要があります。このタスクは、スクリプトで |
LDAPコマンドライン・ツールを使用して、Oracle Internet DirectoryでCRLを管理することもできます。
|
関連項目: LDAPコマンドライン・ツールおよびその構文については、Oracle Fusion Middleware Oracle Identity Managementリファレンスのコマンドライン・ツールの概要に関する項を参照してください。 |
システムは、証明書を検証するとき、証明書を作成したCAが発行するCRLを見つける必要があります。システムは、証明書の発行者名とCRLにある発行者名を照合して適切なCRLを検出します。
Oracle Net Managerの「証明書失効リスト・パス」フィールドにCRL格納場所を指定する(sqlnet.oraファイルのSSL_CRL_PATHパラメータを設定する)場合、orapkiユーティリティを使用して発行者名を表すハッシュ値を使用してCRLを名前変更します。ハッシュ値を作成すると、サーバーでCRLをロードできます。
UNIXシステムでは、orapkiによってCRLへのシンボリック・リンクが作成されます。Windowsシステムでは、CRLファイルのコピーが作成されます。どちらの場合も、orapkiによって作成されたシンボリック・リンクまたはコピーは、発行者名のハッシュ値を使用して名前が付けられます。その後、システムが証明書を検証するとき、同じハッシュ関数が使用されて、適切なCRLをロードできるようにリンク(またはコピー)の名前が計算されます。
ご使用のオペレーティング・システムに応じて、次のコマンドのいずれかを入力して、ファイル・システムに格納されているCRLの名前を変更します。
UNIXファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -symlink crl_directory [-summary]
Windowsファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -copy crl_directory [-summary]
このコマンドで、crl_filenameはCRLファイルの名前、wallet_locationはCRLを発行したCAの証明書を含むウォレットの場所、crl_directoryはCRLがあるディレクトリです。
-walletおよび-summaryの使用はオプションです。-walletを指定すると、CRLの名前を変更する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summaryオプションを指定すると、ツールによってCRL発行者名が表示されます。
ディレクトリでCRLを発行すると、企業全体でのCRL検証が可能になり、個々のアプリケーションに固有のCRLを構成する必要がなくなります。すべてのアプリケーションで、一元的に管理可能なディレクトリに格納されたCRLを使用できるので、CRL管理および使用の管理オーバーヘッドが大幅に減ります。
orapkiを使用してディレクトリにCRLをアップロードするユーザーは、ディレクトリ・グループCRLAdmins (cn=CRLAdmins,cn=groups,%s_OracleContextDN%)のメンバーである必要があります。これらのCRLには企業全体でアクセスできるため、これは特権操作です。この管理ディレクトリ・グループに追加するには、ディレクトリ管理者に連絡してください。
CRLをディレクトリにアップロードするには:
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
このコマンドで、crl_locationはCRLがあるファイル名またはURL、hostnameおよびssl_port(認証なしのSSLポート)はディレクトリがインストールされているシステムに対するもの、usernameはCRLをCRLサブツリーに追加する権限があるディレクトリ・ユーザー、wallet_locationはCRLを発行したCAの証明書を含むウォレットの場所です。
-walletおよび-summaryの使用はオプションです。-walletを指定すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summaryオプションを指定すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリがツールによって印刷されます。
orapkiを使用してディレクトリに格納されているすべてのCRLのリストを表示できます。特定のCRLを検出してローカル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。このコマンドを使用すると、CRLを発行したCA(発行者)およびディレクトリのCRLサブツリー内の場所(DN)が表示されます。
Oracle Internet DirectoryでCRLを一覧表示するには:
orapki crl list -ldap hostname:ssl_port
このコマンドで、hostnameおよびssl_portは、ディレクトリがインストールされているシステムに対するものです。これは、前の項で説明した認証なしのディレクトリのSSLポートであることに注意してください。
Oracle Internet Directoryに格納されている特定のCRLを要約された形式で表示するか、特定のCRLについて失効した証明書の完全なリストを要求できます。サマリー・リストには、CRL発行者名およびその有効期間が記載されています。完全なリストには、そのCRLに含まれるすべての失効した証明書のリストが記載されています。
Oracle Internet DirectoryでCRLのサマリー・リストを表示するには:
orapki crl display -crl crl_location [-wallet wallet_location] -summary
このコマンドで、crl_locationはディレクトリ内のCRLの場所です。orapki crl listコマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。第H.2.5.2.3項「Oracle Internet Directoryに格納されているCRLの一覧表示」を参照してください。
Oracle Internet Directoryに格納されている指定したCRLに含まれているすべての失効した証明書のリストを表示するには:
orapki crl display -crl crl_location [-wallet wallet_location] -complete
たとえば、orapkiコマンドを次のように入力します。
orapki crl display -crl $T_WORK/pki/wlt_crl/nzcrl.txt -wallet $T_WORK/pki/wlt_crl -complete
次の出力が生成されます。これには、CRL発行者のDN、発行日、次の更新日、および含まれる失効した証明書が示されます。
issuer = CN=root,C=us, thisUpdate = Sun Nov 16 10:56:58 PST 2003,
nextUpdate = Mon Sep 30 11:56:58 PDT 2013, revokedCertificates =
{(serialNo = 153328337133459399575438325845117876415,
revocationDate - Sun Nov 16 10:56:58 PST 2003)}
CRL is valid
-walletオプションを使用すると、orapki crl displayコマンドにより、CAの証明書に対してCRLが検証されます。
-completeオプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があります。
Oracle Directory Manager (Oracle Internet Directoryに付属するグラフィカル・ユーザー・インタフェース)を使用して、ディレクトリ内のCRLを表示することもできます。CRLは、次のディレクトリの場所に格納されます。
cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext
orapkiを使用してディレクトリからCRLを削除するユーザーは、ディレクトリ・グループCRLAdminsのメンバーである必要があります。このディレクトリ管理グループの詳細は、第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
CRLをディレクトリから削除するには:
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-summary]
このコマンドで、issuer_nameはCRLを発行したCAの名前、hostnameおよびssl_portはディレクトリがインストールされているシステムに対するもの、usernameはCRLをCRLサブツリーから削除する権限があるディレクトリ・ユーザーです。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-summaryオプションを使用すると、削除されたCRL LDAPエントリがツールによって印刷されます。
たとえば、orapkiコマンドを次のように入力します。
orapki crl delete -issuer "CN=root,C=us" -ldap machine1:3500 -user cn=orcladmin -summary
次の出力が生成されます。これには、ディレクトリ内の削除されたCRLの場所が示されます。
Deleted CRL at cn=root cd45860c.rN,cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext
この項では、次のorapkiコマンドについて説明します。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
-walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。
-requestパラメータ(必須)は、作成する証明書の証明書リクエストの場所を指定します。
-certパラメータ(必須)は、ツールが新しい署名付き証明書を配置するディレクトリの場所を指定します。
-validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。
次の各項では、このコマンドについて説明します。
このコマンドは、CRLをOracle Internet Directoryから削除するために使用します。orapkiを使用してディレクトリからCRLを削除するユーザーは、CRLAdmins (cn=CRLAdmins,cn=groups,%s_OracleContextDN%)ディレクトリ・グループのメンバーである必要があることに注意してください。
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-summary]
-issuerパラメータは、CRLを発行した認証局(CA)の名前を指定します。
-ldapパラメータは、CRLが削除されるディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-userパラメータは、ディレクトリのCRLサブツリーからCRLを削除する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
-summaryパラメータはオプションです。これを使用すると、削除されたCRL LDAPエントリがツールによって印刷されます。
次の各項では、このコマンドについて説明します。
orapki crl display -crl crl_location [-wallet wallet_location] [-summary|-complete]
-crlパラメータは、ディレクトリ内のCRLの場所を指定します。orapki crl listコマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。第H.2.6.7項「orapki crl list」を参照してください。
-walletパラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLを表示する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
-summaryパラメータまたは-completeパラメータのいずれかを選択すると、次の情報が表示されます。
-summaryを選択すると、CRL発行者名およびCRLの有効期間を含むリストが表示されます。
-completeを選択すると、そのCRLに含まれるすべての失効した証明書のリストが表示されます。このオプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があることに注意してください。
次の各項では、このコマンドについて説明します。
orapki crl hash -crl crl_filename|URL [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]
-crlパラメータは、CRLまたはCRLがあるURLを含むファイル名を指定します。
-walletパラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
オペレーティング・システムに応じて、-symlinkパラメータまたは-copyパラメータのいずれかを使用します。
UNIX: -symlinkを使用してcrl_directoryにCRLへのシンボリック・リンクを作成します。
Windows: -copyを使用してcrl_directoryにCRLのコピーを作成します。
-summaryパラメータ(オプション)を使用すると、ツールによってCRL発行者名が表示されます。
次の各項では、このコマンドについて説明します。
このコマンドは、Oracle Internet Directoryに格納されているCRLのリストを表示するために使用します。特定のCRLを検出してローカル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。
orapki crl list -ldap hostname:ssl_port
-ldapパラメータは、CRLリストの作成対象のディレクトリ・サーバーのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
次の各項では、このコマンドについて説明します。
このコマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードするために使用します。CRLをディレクトリにアップロードするには、ディレクトリ管理グループCRLAdmins (cn=CRLAdmins,cn=groups,%s_OracleContextDN%)のメンバーである必要があることに注意してください。
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
-crlパラメータは、ディレクトリの場所またはディレクトリにアップロードするCRLのURLを指定します。
-ldapパラメータは、CRLのアップロード先のディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第H.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-userパラメータは、ディレクトリのCRLサブツリーにCRLを追加する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
-walletパラメータは、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これはオプションのパラメータです。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
-summaryパラメータもオプションです。これを使用すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリがツールによって表示されます。
次の各項では、このコマンドについて説明します。
証明書リクエストを追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048
-walletパラメータは、証明書リクエストの追加先のウォレットの場所を指定します。
-dnパラメータは、証明書の所有者の識別名を指定します。
-keysizeパラメータは、証明書のキー・サイズを指定します。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第H.2.6.16項「orapki wallet export」を参照してください。
信頼できる証明書を追加するには:
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
-trusted_certパラメータを使用すると、ツールによって、-certで指定された場所にある信頼できる証明書がウォレットに追加されます。
ルート証明書を追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -valid_from [mm/dd/yyyy] -valid_until [mm/dd/yyyy] -validity number_of_days
-self_signedパラメータを使用すると、ツールによってルート証明書が作成されます。
-validityパラメータを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定できます。
-valid_fromパラメータおよびvalid_untilパラメータを使用して、このルート証明書が有効である正確な日付範囲を指定できます。-validity number_of_daysのかわりに、この方法で有効期間を指定できます。
ユーザー証明書を追加するには:
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
-user_certパラメータを使用すると、ツールによって、-certパラメータで指定された場所にあるユーザー証明書がウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
証明書リクエストにサブジェクト・キー識別子の拡張子を追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048 -addext_ski
バージョン3の自己署名証明書をウォレットに追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days -addext_ski
次の各項では、このコマンドについて説明します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
-walletパラメータは、証明書のエクスポート元のウォレットがあるディレクトリを指定します。
-dnパラメータは、証明書の識別名を指定します。
-certパラメータは、エクスポートされる証明書を含むファイルのパスおよびファイル名を指定します。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
-requestパラメータは、エクスポートされる証明書リクエストを含むファイルのパスおよびファイル名を指定します。
表H-1に、Oracle Wallet Managerが提供するウォレット管理機能と、11g リリース1 (11.1.1.8.0)で同等の機能が得られるコマンドまたはオプションを示します。
表H-1 ウォレット用のOracle Wallet Manager機能のマッピング
| Oracle Wallet Manager機能 | 11gR1のFusion Middleware Controlにおける実装方法 | 注意 |
|---|---|---|
|
標準PKCS #12ウォレットの作成 |
「セキュリティ」→「ウォレット」 |
|
|
PKCS#11ウォレットの作成 |
サポート対象外 |
Oracle Wallet Managerまたはorapkiコマンドライン・ツールを使用します。 |
|
ウォレットを開く |
「セキュリティ」→「ウォレット」 |
ウォレットをクリックし、自動ログイン・ウォレットでなければパスワードを入力します。 |
|
ウォレットを閉じる |
ウォレット・ページに移動するか、別のウォレットを開くと、既存のウォレットが自動的に閉じられます。 |
|
|
LDAPディレクトリへのウォレットのアップロード |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
LDAPディレクトリからのウォレットのダウンロード |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
開いているウォレットに対する変更を保存 |
「注意」を参照 |
「証明書の管理」ページに対する変更は、操作の完了時に自動的に保存されます。 |
|
開いているウォレットの新しい場所への保存 |
「セキュリティ」→「ウォレット」→「エクスポート」 |
|
|
システムのデフォルトへの保存 |
「セキュリティ」→「ウォレット」→「エクスポート」 |
|
|
ウォレットの削除 |
「セキュリティ」→「ウォレット」→「削除」 |
|
|
パスワードの変更 |
サポート対象外 |
WLSTまたはorapkiのコマンドライン・ツールを使用します。 |
|
自動ログインの有効化 |
「注意」を参照 |
自動ログイン・ウォレットは、パスワードで保護されたウォレットではすべて自動的に作成されます。 |
|
自動ログインの無効化 |
サポート対象外 |
自動ログイン・ウォレットは、実行時には常に必要なため、生成を無効にすることはできません。 |
表H-2に、Oracle Wallet Managerが提供する証明書管理機能と、11gリリース1 (11.1.1.8.0)における同等のコマンドまたはオプションを示します。
表H-2 証明書用のOracle Wallet Manager機能のマッピング
| Oracle Wallet Manager機能 | 11gR1のFusion Middleware Controlにおける実装方法 | 注意 |
|---|---|---|
|
証明書リクエストの追加 |
「セキュリティ」→「ウォレット」。任意のウォレットを選択→「証明書リクエストの追加」。 |
|
|
ユーザー証明書のインポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→「インポート」 |
ドロップダウン・ボックスで、ユーザー証明書を選択します。 |
|
信頼できる証明書のインポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→「インポート」 |
ドロップダウン・ボックスで、信頼できる証明書を選択します。 |
|
証明書リクエストの削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の証明書リクエストを選択→「削除」 |
|
|
ユーザー証明書の削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意のユーザー証明書を選択→「削除」 |
|
|
信頼できる証明書の削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の信頼できる証明書を選択→「削除」 |
|
|
ユーザー証明書のエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意のユーザー証明書を選択→「エクスポート」 |
|
|
証明書リクエストのエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の証明書リクエストを選択→「エクスポート」 |
|
|
信頼できる証明書のエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の信頼できる証明書を選択→「エクスポート」 |
|
|
すべての信頼できる証明書のエクスポート |
サポート対象外 |
WLSTまたは |
|
ウォレットへのPKCS#7証明書チェーンのインポート |
サポート対象外 |
WLSTまたは |
|
ウォレットからのPKCS#7証明書チェーンのエクスポート |
サポート対象外 |
WLSTまたは |
デフォルトのウォレットの場所
ウォレットのデフォルトの場所は、ORACLE_HOME設定によって異なります。
ORACLE_HOMEが設定されている場合、デフォルトのウォレットの場所は、$ORACLE_HOME/owm/wallets/usernameです。
ORACLE_HOMEが設定されていない場合、デフォルトのウォレットの場所は、CurrentDir/owm/wallets/usernameです。
表H-3に、OracleウォレットおよびCRL用にorapkiユーティリティが提供する機能と、11g リリース1 (11.1.1.8.0)における同等のコマンドおよびオプションを示します。
表H-3 ウォレットおよびCRL用のorapki機能のマッピング
| orapki機能 | 11gR1における実装方法 | 注意 |
|---|---|---|
|
標準PKCS#12ウォレットの作成 |
WLST createWallet() |
パスワードで保護される自動ログイン・ウォレットを管理するには、空でないパスワード値を指定します。単なる自動ログイン・ウォレットを管理するには、空のパスワード値(つまり'')を指定します。 |
|
PKCS#11ウォレットの作成 |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
LDAPディレクトリへのウォレットのアップロード |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
LDAPディレクトリからのウォレットのダウンロード |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
ウォレットの削除 |
WLST deleteWallet() |
|
|
ウォレット・パスワードの変更 |
WLST changeWalletPassword() |
当然のことですが、パスワードは、パスワードで保護されたウォレットに対してのみ変更できます。 |
|
自動ログインの有効化 |
自動ログイン・ウォレットは、パスワードで保護されたウォレットではすべて自動的に作成されます。 |
|
|
ローカル・マシン上でのみ動作する自動ログイン・ウォレットの有効化 |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
|
CRLの作成、取消し、ハッシュ、検証、アップロード、一覧表示、表示および削除 |
サポート対象外 |
orapkiコマンドライン・ツールを使用します。 |
表H-4に、証明書用にorapkiユーティリティが提供する機能と、11g リリース1 (11.1.1.8.0)における同等のコマンドまたはオプションを示します。
表H-4 証明書用のorapki機能のマッピング
| orapki機能 | 11gR1のWLSTにおける実装方法 | 注意 |
|---|---|---|
|
証明書リクエストの追加 |
addCertificateRequest() |
|
|
自己署名証明書の追加 |
addSelfSignedCertificate() |
|
|
ウォレットのすべてのエントリの一覧表示 |
listWalletObjects() |
有効なタイプ値を指定します(「CertificateRequest」、「Certificate」または「TrustedCertificate」)。 |
|
ユーザー証明書のインポート |
importWalletObject() |
タイプとして「Certificate」と入力します。 |
|
信頼できる証明書のインポート |
importWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
|
証明書リクエストの削除 |
removeWalletObject() |
タイプとして「CertificateRequest」と入力します。 |
|
ユーザー証明書の削除 |
removeWalletObject() |
タイプとして「Certificate」と入力します。 |
|
信頼できる証明書の削除 |
removeWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
|
すべての信頼できる証明書の削除 |
removeWalletObject() |
タイプとして「TrustedAll」と入力します。 |
|
ユーザー証明書のエクスポート |
exportKeyStoreObject() |
タイプとして「Certificate」と入力します。 |
|
証明書リクエストのエクスポート |
exportWalletObject() |
タイプとして「CertificateRequest」と入力します。 |
|
信頼できる証明書のエクスポート |
exportWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
|
証明書チェーンのエクスポート |
exportWalletObject() |
タイプとして「CertificateChain」と入力します。 |
|
ウォレットへのPKCS#7証明書チェーンのインポート |
importWalletObject() |
タイプとして「TrustedChain」と入力します。 |
表H-5に、11gリリース1 (11.1.1.8.0)以前のSSL構成ツールが提供する機能と、11gリリース1 (11.1.1.8.0)における同等のコマンドまたはオプションを示します。
表H-5 SSL構成ツールと同等の機能
| SSL構成ツール | 11g リリース1 (11.1.1.8.0)におけるSSL構成 |
|---|---|
|
ウォレット管理ではサポートされていません。 |
SSL構成の他に、OracleウォレットおよびJavaキーストアの管理をサポートします。 |
|
SSLでサポートされるスタンドアロン・タイプは、Oracle Web Cacheのみです。 |
スタンドアロンSSL構成に対しては、Oracle HTTP Server、Oracle Web Cache、Oracle Internet DirectoryおよびOracle Virtual Directoryがサポートされます。 |
|
コマンドライン・インタフェースのみ提供されます。 |
コマンドライン・インタフェース(WLST)とグラフィカル・インタフェース(Fusion Middleware Control)の両方が提供されます。 |
|
このツールの実行には構成ファイルが必要です。ファイルが提供されないと、ツールは、値の入力を求めるプロンプトを表示します。 |
構成ファイルは、WLSTコマンドではオプションです。ファイルが提供されない場合、SSL属性についてはデフォルト値が使用されます。 |
|
Web層のみに対してSSL構成がサポートされます。 |
Web層とデータ層の両方に対してSSL構成がサポートされます。 |
|
ツールは、コンポーネントがインストールされた同じ物理ホスト上で実行する必要があります。 |
コンポーネントのリモート管理が可能です。 |
