Oracle Application Server 10gには、ウォレットおよび証明書の管理用の次のユーティリティがありました。
また、Oracle Application Server 10gでは、SSL構成ツールが提供されていました。
Oracle Fusion Middleware 11g リリース2 (11.1.2.2)には、次の機能があります。
追加のorapki
機能
Fusion Middleware Controlを使用した、JKSベースのキーストア、ウォレットおよび証明書の管理機能
SSLを構成するコマンド行ツールとグラフィカル・ユーザー・インタフェースの両方。詳細は、第6章を参照してください。
この付録でorapki
の更新について学習するとともに、11g リリース2 (11.1.2.2)で提供される新たな証明書、ウォレット管理およびSSL構成ツールへの移行の参考としてください。この付録の項目は次のとおりです。
関連項目: Oracle Wallet Managerおよび
|
注意:
|
orapki
コマンド行ユーティリティには、Oracle Fusion Middleware 11gリリース2 (11.1.2.2)における次の新機能が含まれています。
関連項目: ドキュメントID 1226654.1 FMW 11gにおけるORAPKIを使用したウォレットの作成方法(OTNナレッジ・ベースにあります) |
# Create root wallet (for example, CA wallet) orapki wallet create -wallet ./root -pwd mypasswd # Add a self-signed certificate (CA certificate) to the root wallet orapki wallet add -wallet ./root -dn 'CN=root_test,C=US' -keysize 1024 -self_signed -validity 3650 -pwd mypasswd # Export self-signed certificate from the wallet orapki wallet export -wallet ./root -dn 'CN=root_test,C=US' -cert ./root/b64certificate.txt -pwd mypasswd # Create a user wallet (for example, a customer wallet) orapki wallet create -wallet ./user -pwd mypasswd # Add a certificate request orapki wallet add -wallet ./user -dn 'CN=user_test,C=US' -keysize 1024 -pwd mypasswd # Export the certificate request orapki wallet export -wallet ./user -dn 'CN=user_test,C=US' -request ./user/creq.txt -pwd mypasswd # Create a certificate (issued by CA) orapki cert create -wallet ./root -request ./user/creq.txt -cert ./user/cert.txt -validity 3650 -pwd mypasswd # Add a trusted certificate (CA certificate) to the wallet orapki wallet add -wallet ./user -trusted_cert -cert ./root/b64certificate.txt -pwd mypasswd # Add a user certificate orapki wallet add -wallet ./user -user_cert -cert ./user/cert.txt -pwd mypasswd # Display contents of wallet orapki wallet display -wallet ./root -pwd mypasswd
orapki
では、CRLの操作のために複数の新たなコマンド・オプションをサポートしています。
CRLの作成
CRLを作成するには、orapki crl createを使用します。
第I.2.6.3項「orapki crl create」を参照してください。
証明書の取消し
証明書を取り消すには、orapki crl revokeを使用します。
第I.2.6.8項「orapki crl revoke」を参照してください。
CRL署名の確認
CRL署名を確認するには、orapki crl verifyを使用します。
第I.2.6.11項「orapki crl verify」を参照してください。
証明書がCRL内で取り消されているかどうかのチェック
証明書が取り消されているかどうかを確認するには、orapki crl statusを使用します。
第I.2.6.9項「orapki crl status」を参照してください。
orapkiには次の機能があります。
証明書リクエストにサブジェクト・キー識別子の拡張子を追加する機能
バージョン3の自己署名証明書をウォレットに追加する機能
これらの機能の詳細は、第I.2.6.12項「orapki wallet add」を参照してください。
ユーザーのトラストのチェーン(証明書チェーン)をエクスポートするには、orapki wallet export_trust_chainを使用します。
ウォレット・パスワードを変更するには、orapki wallet change_pwdを使用します。
第I.2.6.13項「orapki wallet change_pwd」を参照してください。
JKSキーストアからOracleウォレットへの変換およびOracleウォレットからJKSへの変換を実行できます。
JKSからOracleウォレットへの変換
エントリをJKSストアからp12ウォレットに移行するには、次のコマンドを使用します。
jks_to_pkcs12 -wallet wallet -pwd pwd -keystore keystore -jkspwd jkspwd [-aliases [alias:alias..]]
このコマンドのパラメータは次のとおりです。
wallet
はウォレット・ロケーションです。エントリがJKSキーストアからこのウォレットに移行されます。
pwd
はウォレット・パスワードです。
keystore
はキーストアの場所です。このJKSはp12ウォレットに移行されます。
jkspwd
はJKSパスワードです。
aliases
はオプションです。これを指定すると、指定した別名に対応するエントリのみが移行されます。指定しないと、すべてのエントリが移行されます。
このコマンドについて説明するために、自己署名JKSキーストアの作成から始めます。
keytool -genkey -alias myalias -keyalg RSA -keysize 1024 -dname CN=root,C=US -validity 3650 -keystore ./ewallet.jks -storetype jks -storepass password -keypass password
次に、Oracleウォレットを作成します。
orapki wallet create -wallet ./ -pwd password
JKSキーストアのエントリをウォレットに移行します。
orapki wallet jks_to_pkcs12 -wallet ./ -pwd password -keystore ./ewallet.jks -jkspwd password
注意: この例では、ウォレットは新しく作成されたため空です。しかし実際には、このコマンドを使用するときにウォレットが空である必要はありません。事前に存在しているエントリは保持されます。 |
OracleウォレットからJKSへの変換
エントリをp12ウォレットからJKSキーストアに移行するには、次のコマンドを使用します。
pkcs12_to_jks -wallet p12wrl -pwd p12pwd
[-jksKeyStoreLoc jksKSloc
-jksKeyStorepwd jksKS_pwd][-jksTrustStoreLoc loc -jksTrustStorepwd pwd]
このコマンドのパラメータは次のとおりです。
wallet
はp12ウォレット・ロケーションです。
pwd
はウォレット・パスワードです。
jksKeyStoreLoc
はJKSキーストアの場所です。
jksKeyStorepwd
はJKSキーストア・パスワードです。
jksTrustStoreLoc
はJKSトラストストアの場所です。
jksTrustStorepwd
はJKSトラストストア・パスワードです。
注意: パスワードは、8文字以上で、アルファベットと、数字または特殊文字の組合せを含んでいる必要があります。 |
次の例では、すべてのウォレットのエントリが同じJKSキーストアに移行されます。
orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewallet.jks -jksKeyStorepwd mypasswd2
次の例では、キーおよび信頼できる証明書のエントリが別々のJKSキーストアに移行されます。
orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewalletK.jks -jksKeyStorepwd mypasswd2 -jksTrustStoreLoc ./ewalletT.jks -jksTrustStorepwd mypasswd2
この項の項目は次のとおりです。
orapki
ユーティリティは、公開鍵インフラストラクチャ(PKI)要素(ウォレット、証明書失効リストなど)をコマンド行で管理できるようにするために提供されています。これにより、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。
このコマンド行ユーティリティを使用して、次のタスクを実行できます。
テスト用の署名付き証明書の作成
Oracleウォレットの管理
Oracleウォレットの作成と表示
証明書リクエストの追加と削除
証明書の追加と削除
信頼できる証明書の追加と削除
証明書失効リスト(CRL)の管理
証明書検証用ハッシュ値によるCRLの名前変更
Oracle Internet DirectoryでのCRLのアップロード、一覧表示、表示および削除
orapki
を使用すると、証明書をDERフォーマットとPEMフォーマットの両方でインポートできます。
orapki
コマンド行ユーティリティの基本的な構文を次に示します。
orapki module command -parameter value
このコマンドでは、module
をwallet
(Oracleウォレット)、crl
(証明書失効リスト)またはcert
(PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmodule
によって異なります。たとえば、wallet
を使用している場合、add
コマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txt
にあるユーザー証明書が、ORACLE_HOME/wallet/ewallet.p12
にあるウォレットに追加されます。
orapki wallet add -wallet ORACLE_HOME/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt
コマンド行で次のコマンドを入力することにより、特定のモードで使用可能なorapki
コマンドをすべて表示できます。
orapki mode help
たとえば、証明書失効リスト(CRL)を管理するために使用可能なコマンドをすべて表示するには、コマンド行に次のように入力します。
orapki crl help
注意:
|
このコマンド行ユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。次の構文を使用して、署名付き証明書を作成し、証明書を表示できます。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-wallet
パラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。-validity
パラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。
orapki cert display -cert certificate_location [-summary | -complete]
このコマンドを使用すると、orapki
を使用して作成したテスト証明書を表示できます。-summary
または-complete
のいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summary
を選択すると、証明書とその有効期限が表示されます。-complete
を選択すると、シリアル番号、公開鍵などの追加の証明書情報が表示されます。
次の各項では、orapki
コマンド行ユーティリティを使用してOracleウォレットの作成および管理を行うために使用される構文について説明します。これらのorapki
ユーティリティのwallet
モジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
注意:
|
関連項目: パスワードで保護されたウォレットまたは自動ログイン・ウォレットの作成方法の例は、ドキュメントID 1226654.1 FMW 11gにおけるORAPKIを使用したウォレットの作成方法(OTNナレッジ・ベースにあります)を参照してください。 |
orapki wallet create -wallet wallet_location
このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。-wallet
で指定された場所にウォレットが作成されます。
orapki wallet create -wallet wallet_location -auto_login
このコマンドを使用すると、自動ログインが有効なウォレットが作成されます。また、このコマンドは、既存のウォレットの自動ログインを有効にするためにも使用できます。wallet_location
にすでにウォレットが含まれている場合、そのウォレットの自動ログインが有効になります。自動ログイン機能を無効にするには、cwallet.sso
を削除します。
注意: 自動ログイン機能を有効にしたウォレットでは、 |
orapki wallet display -wallet wallet_location
このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます。
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048|4096
このコマンドを使用すると、指定した識別名(user_dn
)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、リクエストされた証明書のキー・サイズ(512、1024または2048ビット)も指定します。リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第I.2.4.3項「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
このコマンドを使用すると、指定した場所(-cert
certificate_location
)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明書チェーンにあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days
このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validity
パラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書のキー・サイズ(-keysize
)は、512、1024、2048または4096ビットに指定できます。
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
このコマンドを使用すると、-cert
パラメータで指定された場所にあるユーザー証明書が、wallet_location
にあるOracleウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
このコマンドを使用すると、サブジェクトの識別名(-dn
)を持つ証明書が、ウォレットから-cert
で指定されたファイルにエクスポートされます。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
このコマンドを使用すると、サブジェクトの識別名(-dn
)を持つ証明書リクエストが、ウォレットから-request
で指定されたファイルにエクスポートされます。
CRLは、orapki
を使用して管理する必要があります。このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapki
を使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。次の各項では、CRLについて、CRLの使用方法、およびorapkiを使用してCRLを管理する方法について説明します。
関連項目:
|
指定の証明書を指定のコンテキストで使用できるかどうかを判定するプロセスは、証明書の検証と呼ばれます。証明書の検証には、次の項目の判定が含まれます。
信頼できる認証局(CA)にデジタル署名された証明書があるかどうか。
証明書のデジタル署名が、証明書自体の別個に計算されたハッシュ値および証明書の署名者の(CAの)公開鍵に対応しているかどうか。
証明書が期限切れになっていないかどうか。
証明書が失効していないかどうか。
SSLネットワーク・レイヤーは、自動的に最初の3つの検証チェックを実行しますが、証明書が失効していないことを確認するには、証明書失効リスト(CRL)のチェックを構成する必要があります。CRLは、失効した証明書のリストを含む署名付きデータ構造体です。これは通常、元の証明書を発行したエンティティと同じエンティティによって発行され署名されます。
使用するトラスト・ポイントすべてについてCRLが必要です。トラスト・ポイントは、一定の信頼レベルで資格を与えられたサード・パーティ・アイデンティティからの信頼できる証明書です。通常、信頼する認証局はトラスト・ポイントと呼ばれます。
証明書失効ステータスは、ファイル・システム・ディレクトリ(Oracle Internet Directory)にあるCRL、または証明書のCRL配布ポイント(CRL DP)の拡張子で指定された場所からダウンロードしたCRLに対してチェックされます。CRLをローカル・ファイル・システムまたはディレクトリに格納する場合、CRLを定期的に更新する必要があります。CRL DPを使用する場合、CRLは、対応する証明書が最初に使用されるときにダウンロードされます。
サーバーは、次の場所で(ここに示されている順番で)CRLを検索します。システムは、証明書のCAのDNと一致するCRLを検出すると、検索を停止します。
ローカル・ファイル・システム
システムは、まずsqlnet.ora
ファイルのSSL_CRL_FILE
パラメータを確認し、それからSSL_CRL_PATH
パラメータを確認します。システムは、これらの2つのパラメータが指定されていない場合、ウォレット・ロケーションで任意のCRLをチェックします。
注意: CRLをローカル・ファイル・システムに格納する場合、orapki
ユーティリティを使用してCRLを定期的に更新する必要があります。第I.2.5.2.1項「証明書検証用ハッシュ値によるCRLの名前変更」を参照してください。
Oracle Internet Directory
サーバーは、ローカル・ファイル・システムでCRLを検出できず、ORACLE_HOME/ldap/admin/ldap.ora
ファイルでディレクトリ接続情報が構成されている場合、このディレクトリを検索します。これは、CAの識別名(DN)およびCRLサブツリーのDNを使用してCRLサブツリーを検索します。
ディレクトリでCRLを検索するためには、サーバーに、適切に構成されたldap.ora
ファイルが存在している必要があります。Oracle Internet Directoryのドメイン・ネーム・システム(DNS)検出機能は使用できません。また、CRLをディレクトリに格納する場合、orapki
ユーティリティを使用してCRLを定期的に更新する必要があることに注意してください。第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
CRL DP
CAが、証明書が発行されたときのCRL DP X.509、バージョン3、証明書拡張子内の位置を指定すると、その証明書用の失効情報を含む適切なCRLがダウンロードされます。現在、Oracle Advanced Securityは、HTTPおよびLDAPを介したCRLのダウンロードをサポートしています。
注意:
|
証明書失効ステータスのチェックを有効にするには、まず、使用するCAから受信したCRLがシステムで使用できるフォームである(ハッシュ値で名前変更されている)こと、またはシステムで使用できる場所にある(ディレクトリにアップロードされている)ことを確認してください。Oracle Advanced Securityには、次のタスクを実行するために使用できるコマンド行ユーティリティ(orapki
)があります。
Oracle Internet DirectoryからのCRLの削除
注意: CRLは、正常な検証を行うために、(期限切れになる前に)定期的に更新する必要があります。このタスクは、スクリプトで |
LDAPコマンド行ツールを使用して、Oracle Internet DirectoryでCRLを管理することもできます。
関連項目: LDAPコマンド行ツールおよびその構文については、Oracle Fusion Middleware Oracle Identity Managementリファレンスのコマンド行ツールの概要に関する項を参照してください。 |
システムは、証明書を検証するとき、証明書を作成したCAが発行するCRLを見つける必要があります。システムは、証明書の発行者名とCRLにある発行者名を照合して適切なCRLを検出します。
Oracle Net Managerの「証明書失効リスト・パス」フィールドにCRL格納場所を指定する(sqlnet.ora
ファイルのSSL_CRL_PATH
パラメータを設定する)場合、orapki
ユーティリティを使用して発行者名を表すハッシュ値を使用してCRLを名前変更します。ハッシュ値を作成すると、サーバーでCRLをロードできます。
UNIXシステムでは、orapki
によってCRLへのシンボリック・リンクが作成されます。Windowsシステムでは、CRLファイルのコピーが作成されます。どちらの場合も、orapki
によって作成されたシンボリック・リンクまたはコピーは、発行者名のハッシュ値を使用して名前が付けられます。その後、システムが証明書を検証するとき、同じハッシュ関数が使用されて、適切なCRLをロードできるようにリンク(またはコピー)の名前が計算されます。
ご使用のオペレーティング・システムに応じて、次のコマンドのいずれかを入力して、ファイル・システムに格納されているCRLの名前を変更します。
UNIXファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -symlink crl_directory [-summary]
Windowsファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -copy crl_directory [-summary]
このコマンドで、crl_filename
はCRLファイルの名前、wallet_location
はCRLを発行したCAの証明書を含むウォレットの場所、crl_directory
はCRLがあるディレクトリです。
-wallet
および-summary
の使用はオプションです。-wallet
を指定すると、CRLの名前を変更する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summary
オプションを指定すると、ツールによってCRL発行者名が表示されます。
ディレクトリでCRLを発行すると、企業全体でのCRL検証が可能になり、個々のアプリケーションに固有のCRLを構成する必要がなくなります。すべてのアプリケーションで、一元的に管理可能なディレクトリに格納されたCRLを使用できるので、CRL管理および使用の管理オーバーヘッドが大幅に減ります。
orapki
を使用してディレクトリにCRLをアップロードするユーザーは、ディレクトリ・グループCRLAdmins
(cn=CRLAdmins,cn=groups,%s_OracleContextDN%
)のメンバーである必要があります。これらのCRLには企業全体でアクセスできるため、これは特権操作です。この管理ディレクトリ・グループに追加するには、ディレクトリ管理者に連絡してください。
CRLをディレクトリにアップロードするには:
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
このコマンドで、crl_location
はCRLがあるファイル名またはURL、hostname
およびssl_port
(認証なしのSSLポート)はディレクトリがインストールされているシステムに対するもの、username
はCRLをCRLサブツリーに追加する権限があるディレクトリ・ユーザー、wallet_location
はCRLを発行したCAの証明書を含むウォレットの場所です。
-wallet
および-summary
の使用はオプションです。-wallet
を指定すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summary
オプションを指定すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリがツールによって印刷されます。
orapki
を使用してディレクトリに格納されているすべてのCRLのリストを表示できます。特定のCRLを検出してローカル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。このコマンドを使用すると、CRLを発行したCA(発行者)およびディレクトリのCRLサブツリー内の場所(DN)が表示されます。
Oracle Internet DirectoryでCRLを一覧表示するには:
orapki crl list -ldap hostname:ssl_port
このコマンドで、hostname
およびssl_port
は、ディレクトリがインストールされているシステムに対するものです。これは、前の項で説明した認証なしのディレクトリのSSLポートであることに注意してください。
Oracle Internet Directoryに格納されている特定のCRLを要約された形式で表示するか、特定のCRLについて失効した証明書の完全なリストを要求できます。サマリー・リストには、CRL発行者名およびその有効期間が記載されています。完全なリストには、そのCRLに含まれるすべての失効した証明書のリストが記載されています。
Oracle Internet DirectoryでCRLのサマリー・リストを表示するには:
orapki crl display -crl crl_location [-wallet wallet_location] -summary
このコマンドで、crl_location
はディレクトリ内のCRLの場所です。orapki crl list
コマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。第I.2.5.2.3項「Oracle Internet Directoryに格納されているCRLの一覧表示」を参照してください。
Oracle Internet Directoryに格納されている指定したCRLに含まれているすべての失効した証明書のリストを表示するには:
orapki crl display -crl crl_location [-wallet wallet_location] -complete
たとえば、orapki
コマンドを次のように入力します。
orapki crl display -crl $T_WORK/pki/wlt_crl/nzcrl.txt -wallet $T_WORK/pki/wlt_crl -complete
次の出力が生成されます。これには、CRL発行者のDN、発行日、次の更新日、および含まれる失効した証明書が示されます。
issuer = CN=root,C=us, thisUpdate = Sun Nov 16 10:56:58 PST 2003, nextUpdate = Mon Sep 30 11:56:58 PDT 2013, revokedCertificates = {(serialNo = 153328337133459399575438325845117876415, revocationDate - Sun Nov 16 10:56:58 PST 2003)} CRL is valid
-wallet
オプションを使用すると、orapki crl display
コマンドにより、CAの証明書に対してCRLが検証されます。
-complete
オプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があります。
Oracle Directory Manager (Oracle Internet Directoryに付属するグラフィカル・ユーザー・インタフェース)を使用して、ディレクトリ内のCRLを表示することもできます。CRLは、次のディレクトリの場所に格納されます。
cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext
orapki
を使用してディレクトリからCRLを削除するユーザーは、ディレクトリ・グループCRLAdmins
のメンバーである必要があります。このディレクトリ管理グループの詳細は、第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
CRLをディレクトリから削除するには:
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-summary]
このコマンドで、issuer_name
はCRLを発行したCAの名前、hostname
およびssl_port
はディレクトリがインストールされているシステムに対するもの、username
はCRLをCRLサブツリーから削除する権限があるディレクトリ・ユーザーです。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-summary
オプションを使用すると、削除されたCRL LDAPエントリがツールによって印刷されます。
たとえば、orapki
コマンドを次のように入力します。
orapki crl delete -issuer "CN=root,C=us" -ldap machine1:3500 -user cn=orcladmin -summary
次の出力が生成されます。これには、ディレクトリ内の削除されたCRLの場所が示されます。
Deleted CRL at cn=root cd45860c.rN,cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext
この項では、次のorapki
コマンドについて説明します。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
-wallet
パラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。
-request
パラメータ(必須)は、作成する証明書の証明書リクエストの場所を指定します。
-cert
パラメータ(必須)は、ツールが新しい署名付き証明書を配置するディレクトリの場所を指定します。
-validity
パラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。
次の各項では、このコマンドについて説明します。
このコマンドは、CRLをOracle Internet Directoryから削除するために使用します。orapki
を使用してディレクトリからCRLを削除するユーザーは、CRLAdmins
(cn=CRLAdmins,cn=groups,%s_OracleContextDN%
)ディレクトリ・グループのメンバーである必要があることに注意してください。
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-summary]
-issuer
パラメータは、CRLを発行した認証局(CA)の名前を指定します。
-ldap
パラメータは、CRLが削除されるディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-user
パラメータは、ディレクトリのCRLサブツリーからCRLを削除する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
-summary
パラメータはオプションです。これを使用すると、削除されたCRL LDAPエントリがツールによって印刷されます。
次の各項では、このコマンドについて説明します。
orapki crl display -crl crl_location [-wallet wallet_location] [-summary|-complete]
-crl
パラメータは、ディレクトリ内のCRLの場所を指定します。orapki crl list
コマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。第I.2.6.7項「orapki crl list」を参照してください。
-wallet
パラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLを表示する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
-summaryパラメータまたは-completeパラメータのいずれかを選択すると、次の情報が表示されます。
-summary
を選択すると、CRL発行者名およびCRLの有効期間を含むリストが表示されます。
-complete
を選択すると、そのCRLに含まれるすべての失効した証明書のリストが表示されます。このオプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があることに注意してください。
次の各項では、このコマンドについて説明します。
orapki crl hash -crl crl_filename|URL [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]
-crl
パラメータは、CRLまたはCRLがあるURLを含むファイル名を指定します。
-wallet
パラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
オペレーティング・システムに応じて、-symlink
パラメータまたは-copy
パラメータのいずれかを使用します。
UNIX: -symlink
を使用してcrl_directory
にCRLへのシンボリック・リンクを作成します。
Windows: -copy
を使用してcrl_directory
にCRLのコピーを作成します。
-summary
パラメータ(オプション)を使用すると、ツールによってCRL発行者名が表示されます。
次の各項では、このコマンドについて説明します。
このコマンドは、Oracle Internet Directoryに格納されているCRLのリストを表示するために使用します。特定のCRLを検出してローカル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。
orapki crl list -ldap hostname:ssl_port
-ldap
パラメータは、CRLリストの作成対象のディレクトリ・サーバーのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
次の各項では、このコマンドについて説明します。
このコマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードするために使用します。CRLをディレクトリにアップロードするには、ディレクトリ管理グループCRLAdmins
(cn=CRLAdmins,cn=groups,%s_OracleContextDN%
)のメンバーである必要があることに注意してください。
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
-crl
パラメータは、ディレクトリの場所またはディレクトリにアップロードするCRLのURLを指定します。
-ldap
パラメータは、CRLのアップロード先のディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。このポートの詳細は、第I.2.5.2.2項「Oracle Internet DirectoryへのCRLのアップロード」を参照してください。
-user
パラメータは、ディレクトリのCRLサブツリーにCRLを追加する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
-wallet
パラメータは、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これはオプションのパラメータです。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
-summary
パラメータもオプションです。これを使用すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリがツールによって表示されます。
次の各項では、このコマンドについて説明します。
証明書リクエストを追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048
-wallet
パラメータは、証明書リクエストの追加先のウォレットの場所を指定します。
-dn
パラメータは、証明書の所有者の識別名を指定します。
-keysize
パラメータは、証明書のキー・サイズを指定します。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第I.2.6.16項「orapki wallet export」を参照してください。
信頼できる証明書を追加するには:
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
-trusted_cert
パラメータを使用すると、ツールによって、-cert
で指定された場所にある信頼できる証明書がウォレットに追加されます。
ルート証明書を追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -valid_from [mm/dd/yyyy] -valid_until [mm/dd/yyyy] -validity number_of_days
-self_signed
パラメータを使用すると、ツールによってルート証明書が作成されます。
-validity
パラメータを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定できます。
-valid_from
パラメータおよびvalid_until
パラメータを使用して、このルート証明書が有効である正確な日付範囲を指定できます。-validity
number_of_days
のかわりに、この方法で有効期間を指定できます。
ユーザー証明書を追加するには:
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
-user_cert
パラメータを使用すると、ツールによって、-cert
パラメータで指定された場所にあるユーザー証明書がウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
証明書リクエストにサブジェクト・キー識別子の拡張子を追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048 -addext_ski
バージョン3の自己署名証明書をウォレットに追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days -addext_ski
次の各項では、このコマンドについて説明します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
-wallet
パラメータは、証明書のエクスポート元のウォレットがあるディレクトリを指定します。
-dn
パラメータは、証明書の識別名を指定します。
-cert
パラメータは、エクスポートされる証明書を含むファイルのパスおよびファイル名を指定します。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
-request
パラメータは、エクスポートされる証明書リクエストを含むファイルのパスおよびファイル名を指定します。
表I-1に、Oracle Wallet Managerが提供するウォレット管理機能と、11g リリース2 (11.1.2.2)で同等の機能が得られるコマンドまたはオプションを示します。
表I-1 ウォレット用のOracle Wallet Manager機能のマッピング
Oracle Wallet Manager機能 | 11gR1のFusion Middleware Controlにおける実装方法 | 注意 |
---|---|---|
標準PKCS #12ウォレットの作成 |
「セキュリティ」→「ウォレット」 |
|
PKCS#11ウォレットの作成 |
サポート対象外 |
Oracle Wallet Managerまたはorapkiコマンド行ツールを使用します。 |
ウォレットを開く |
「セキュリティ」→「ウォレット」 |
ウォレットをクリックし、自動ログイン・ウォレットでなければパスワードを入力します。 |
ウォレットを閉じる |
ウォレット・ページに移動するか、別のウォレットを開くと、既存のウォレットが自動的に閉じられます。 |
|
LDAPディレクトリへのウォレットのアップロード |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
LDAPディレクトリからのウォレットのダウンロード |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
開いているウォレットに対する変更を保存 |
「注意」を参照 |
「証明書の管理」ページに対する変更は、操作の完了時に自動的に保存されます。 |
開いているウォレットの新しい場所への保存 |
「セキュリティ」→「ウォレット」→「エクスポート」 |
|
システムのデフォルトへの保存 |
「セキュリティ」→「ウォレット」→「エクスポート」 |
|
ウォレットの削除 |
「セキュリティ」→「ウォレット」→「削除」 |
|
パスワードの変更 |
サポート対象外 |
WLSTまたはorapkiのコマンド行ツールを使用します。 |
自動ログインの有効化 |
「注意」を参照 |
自動ログイン・ウォレットは、パスワードで保護されたウォレットではすべて自動的に作成されます。 |
自動ログインの無効化 |
サポート対象外 |
自動ログイン・ウォレットは、実行時には常に必要なため、生成を無効にすることはできません。 |
表I-2に、Oracle Wallet Managerが提供する証明書管理機能と、11g リリース2 (11.1.2.2)における同等のコマンドまたはオプションを示します。
表I-2 証明書用のOracle Wallet Manager機能のマッピング
Oracle Wallet Manager機能 | 11gR1のFusion Middleware Controlにおける実装方法 | 注意 |
---|---|---|
証明書リクエストの追加 |
「セキュリティ」→「ウォレット」。任意のウォレットを選択→「証明書リクエストの追加」。 |
|
ユーザー証明書のインポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→「インポート」 |
ドロップダウン・ボックスで、ユーザー証明書を選択します。 |
信頼できる証明書のインポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→「インポート」 |
ドロップダウン・ボックスで、信頼できる証明書を選択します。 |
証明書リクエストの削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の証明書リクエストを選択→「削除」 |
|
ユーザー証明書の削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意のユーザー証明書を選択→「削除」 |
|
信頼できる証明書の削除 |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の信頼できる証明書を選択→「削除」 |
|
ユーザー証明書のエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意のユーザー証明書を選択→「エクスポート」 |
|
証明書リクエストのエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の証明書リクエストを選択→「エクスポート」 |
|
信頼できる証明書のエクスポート |
「セキュリティ」→「ウォレット」→任意のウォレットを選択→任意の信頼できる証明書を選択→「エクスポート」 |
|
すべての信頼できる証明書のエクスポート |
サポート対象外 |
WLSTまたは |
ウォレットへのPKCS#7証明書チェーンのインポート |
サポート対象外 |
WLSTまたは |
ウォレットからのPKCS#7証明書チェーンのエクスポート |
サポート対象外 |
WLSTまたは |
デフォルトのウォレットの場所
ウォレットのデフォルトの場所は、ORACLE_HOME設定によって異なります。
ORACLE_HOME
が設定されている場合、デフォルトのウォレットの場所は、$ORACLE_HOME/owm/wallets/
username
です。
ORACLE_HOME
が設定されていない場合、デフォルトのウォレットの場所は、CurrentDir
/owm/wallets
/username
です。
表I-3に、OracleウォレットおよびCRL用にorapki
ユーティリティが提供する機能と、11g リリース2 (11.1.2.2)における同等のコマンドおよびオプションを示します。
表I-3 ウォレットおよびCRL用のorapki機能のマッピング
orapki機能 | 11gR1における実装方法 | 注意 |
---|---|---|
標準PKCS#12ウォレットの作成 |
WLST createWallet() |
パスワードで保護される自動ログイン・ウォレットを管理するには、空でないパスワード値を指定します。単なる自動ログイン・ウォレットを管理するには、空のパスワード値(つまり'')を指定します。 |
PKCS#11ウォレットの作成 |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
LDAPディレクトリへのウォレットのアップロード |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
LDAPディレクトリからのウォレットのダウンロード |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
ウォレットの削除 |
WLST deleteWallet() |
|
ウォレット・パスワードの変更 |
WLST changeWalletPassword() |
当然のことですが、パスワードは、パスワードで保護されたウォレットに対してのみ変更できます。 |
自動ログインの有効化 |
自動ログイン・ウォレットは、パスワードで保護されたウォレットではすべて自動的に作成されます。 |
|
ローカル・マシン上でのみ動作する自動ログイン・ウォレットの有効化 |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
CRLの作成、取消し、ハッシュ、検証、アップロード、一覧表示、表示および削除 |
サポート対象外 |
orapkiコマンド行ツールを使用します。 |
表I-4に、証明書用にorapki
ユーティリティが提供する機能と、11g リリース2 (11.1.2.2)における同等のコマンドまたはオプションを示します。
表I-4 証明書用のorapki機能のマッピング
orapki機能 | 11gR1のWLSTにおける実装方法 | 注意 |
---|---|---|
証明書リクエストの追加 |
addCertificateRequest() |
|
自己署名証明書の追加 |
addSelfSignedCertificate() |
|
ウォレットのすべてのエントリの一覧表示 |
listWalletObjects() |
有効なタイプ値を指定します(「CertificateRequest」、「Certificate」または「TrustedCertificate」)。 |
ユーザー証明書のインポート |
importWalletObject() |
タイプとして「Certificate」と入力します。 |
信頼できる証明書のインポート |
importWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
証明書リクエストの削除 |
removeWalletObject() |
タイプとして「CertificateRequest」と入力します。 |
ユーザー証明書の削除 |
removeWalletObject() |
タイプとして「Certificate」と入力します。 |
信頼できる証明書の削除 |
removeWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
すべての信頼できる証明書の削除 |
removeWalletObject() |
タイプとして「TrustedAll」と入力します。 |
ユーザー証明書のエクスポート |
exportKeyStoreObject() |
タイプとして「Certificate」と入力します。 |
証明書リクエストのエクスポート |
exportWalletObject() |
タイプとして「CertificateRequest」と入力します。 |
信頼できる証明書のエクスポート |
exportWalletObject() |
タイプとして「TrustedCertificate」と入力します。 |
証明書チェーンのエクスポート |
exportWalletObject() |
タイプとして「CertificateChain」と入力します。 |
ウォレットへのPKCS#7証明書チェーンのインポート |
importWalletObject() |
タイプとして「TrustedChain」と入力します。 |
表I-5に、11g リリース2 (11.1.2.2)以前のSSL構成ツールが提供する機能と、11g リリース2 (11.1.2.2)における同等のコマンドまたはオプションを示します。
表I-5 SSL構成ツールと同等の機能
SSL構成ツール | 11g リリース2 (11.1.2.2)におけるSSL構成 |
---|---|
ウォレット管理ではサポートされていません。 |
SSL構成の他に、OracleウォレットおよびJavaキーストアの管理をサポートします。 |
SSLでサポートされるスタンドアロン・タイプは、Oracle Web Cacheのみです。 |
スタンドアロンSSL構成に対しては、Oracle HTTP Server、Oracle Web Cache、Oracle Internet DirectoryおよびOracle Virtual Directoryがサポートされます。 |
コマンド行インタフェースのみ提供されます。 |
コマンド行インタフェース(WLST)とグラフィカル・インタフェース(Fusion Middleware Control)の両方が提供されます。 |
このツールの実行には構成ファイルが必要です。ファイルが提供されないと、ツールは、値の入力を求めるプロンプトを表示します。 |
構成ファイルは、WLSTコマンドではオプションです。ファイルが提供されない場合、SSL属性についてはデフォルト値が使用されます。 |
Web層のみに対してSSL構成がサポートされます。 |
Web層とデータ層の両方に対してSSL構成がサポートされます。 |
ツールは、コンポーネントがインストールされた同じ物理ホスト上で実行する必要があります。 |
コンポーネントのリモート管理が可能です。 |