アウトバウンド・メッセージとインバウンド・メッセージのPretty Good Privacy (PGP)暗号化およびデジタル署名の構成方法
ペイロード・セキュリティを使用して、アウトバウンド・メッセージとインバウンド・メッセージの両方を保護できます。ペイロード・セキュリティでは、OpenPGP標準に基づいた支払ファイルの暗号化とデジタル署名を使用して、支払ファイルおよびその他のファイルを保護します。
銀行との既存の接続に暗号化とデジタル署名を使用するように、既存の伝送構成を更新できます
アウトバウンド・メッセージの場合、Oracle Payments Cloudでは次のものについて暗号化とデジタル署名がサポートされています。
-
支出の支払ファイルおよび正支払ファイル
-
資金取得の決済バッチ・ファイル
インバウンド・メッセージの場合、アプリケーションでは、次のものについてデジタル署名された暗号化ファイルの復号化と検証がサポートされています。
-
資金取得承認ファイル
-
銀行取引明細書
SFTPやHTTPSなど、保護された伝送プロトコルを使用して支払データを保護することもできます。
アウトバウンド・メッセージとインバウンド・メッセージの暗号化およびデジタル署名の構成には、次の処理が含まれます。
-
キーの生成
-
アウトバウンド伝送構成の設定
-
インバウンド伝送構成の設定
-
銀行から提供された公開キー・ファイルのアップロード
-
システム生成の公開キー・ファイルのダウンロード
キーの生成
暗号化とデジタル署名の検証には公開キーが必要です。反対に、復号化とデジタル署名には非公開キーが必要です。非公開キーと公開キーのペアは、キー・ペアと呼ばれます。キー・ペアを生成したパーティが非公開キーを保持し、公開キーを他方のパーティと共有します。銀行との契約の対象となる公開キーを生成または受信できます。
次の表は、公開キーと非公開キーのペアの生成に関する一般的な詳細を示しています。
生成されるキー・ペア |
Paymentsからのアウトバウンド・メッセージを生成 |
Paymentsへのインバウンド・メッセージを生成 |
---|---|---|
PGP公開暗号化キーおよびPGP非公開署名キー |
銀行 |
当該会社 |
PGP公開署名検証キーおよびPGP非公開復号化キー |
当該会社 |
銀行 |
キー・ペアを生成する場合、Oracle Applications Cloud内で自動的に生成できます。
UCMを使用して、受信した公開暗号キーまたは公開署名検証キーをOracle Application Cloudにインポートする必要があります。
アウトバウンド伝送構成の設定
支払ファイル、正支払ファイル、決済バッチ・ファイルなどのアウトバウンド・メッセージについては、次のことを行う必要があります。
-
銀行から提供された公開暗号化キーを使用して支払ファイルを暗号化します。
-
オプションで、生成した非公開署名キーを使用して支払ファイルにデジタル署名します。
「伝送構成の作成」ページには、次の表に記載されているアウトバウンド・パラメータが表示されます。
アウトバウンド・パラメータ |
説明 |
---|---|
PGP公開暗号化キー |
アウトバウンド支払ファイルの暗号化に使用する、銀行から提供されるキー。 銀行から提供された公開暗号化キーをアップロードするには、「ツール」→「ファイル・インポート/エクスポート」にナビゲートしてUCMを使用します。 最後に、「伝送構成の作成」ページの「PGP公開暗号化キー」パラメータについて、「値」選択リストから公開暗号化キー・ファイルを選択します。 |
PGP非公開署名キー |
アウトバウンド支払ファイルにデジタル署名するために、ユーザーによって生成されるキー。 非公開署名キーを生成するには、「PGP非公開署名キー」パラメータの「値」選択リストから「クイック作成」を選択します。アプリケーションは、次の処理を実行します。
ノート: クイック作成機能を使用して非公開署名キーを生成するには、キー・パスワードを指定する必要があります。このパスワードは、このキーのエクスポートおよび削除にも使用されます。
|
インバウンド伝送構成の設定
承認や銀行取引明細書などのインバウンド支払メッセージについては、次のことを行う必要があります。
-
銀行から提供された公開署名検証キーを使用してデジタル署名を検証します。
-
生成した非公開復号化キーを使用してファイルを復号化します。
「伝送構成の作成」ページには、次の表に記載されているインバウンド・パラメータが表示されます。
インバウンド・パラメータ |
説明 |
---|---|
PGP公開署名検証キー |
インバウンド承認ファイルや銀行取引明細書のデジタル署名を検証するために使用する、銀行から提供されるキー。 銀行から提供された公開署名検証キーをアップロードするには、「ツール」→「ファイル・インポート/エクスポート」にナビゲートしてUCMを使用します。 UCMを使用して銀行提供の公開署名検証キーをアップロードした後に、「伝送構成の作成」ページでキー・ファイルを選択できます。PGP公開署名検証キー・パラメータを「値」選択リストで選択します。公開署名検証キー・ファイルを選択すると、自動的にインポートされます。 |
PGP非公開復号化キー |
インバウンド暗号化ファイルを復号化するために、ユーザーによって生成されるキー。非公開復号化キーを生成するには、「PGP非公開復号化キー」パラメータの「値」選択リストから「クイック作成」を選択します。アプリケーションは、次の処理を実行します。
ノート: クイック作成機能を使用して非公開署名キーを生成するには、キー・パスワードを指定する必要があります。このパスワードは、このキーのエクスポートおよび削除にも使用されます。
|
拡張作成機能を使用した非公開キーの作成
「値」選択リストから「拡張作成」を選択して非公開キーを生成することもできます。拡張作成機能を使用すると、特定のプロパティを構成してより強力なキーを生成できます。これにより、銀行に伝送される支払ファイルのセキュリティが強化されます。PGP非公開署名キー用に構成できるプロパティを次に示します。
オプション |
説明 |
---|---|
キー・タイプ |
生成される非公開署名キーのタイプ。
|
長さ |
非公開署名キーのビット数(つまりキー・サイズ)。
|
失効日 |
この非公開署名キーが期限切れになる日付。 |
暗号化アルゴリズム |
非公開署名キーの暗号化アルゴリズム。
|
ハッシュ・アルゴリズム |
非公開署名キーのハッシュ・アルゴリズム。
|
圧縮アルゴリズム |
非公開署名キーの圧縮アルゴリズム。
|
これらのプロパティを構成することで、銀行固有の支払ファイルのセキュリティ要件を満たすことができます。「拡張作成」オプションを使用して非公開キーを生成すると、対応する公開キーがUCMにエクスポートされ、そこからダウンロードできます。クイック作成と同様に、拡張作成を使用して非公開キーを生成する場合はキー・パスワードを指定する必要があります。
銀行から提供された公開キー・ファイルのアップロード
銀行から提供されたPGP公開暗号化キーまたはPGP公開署名検証キーをOracle Applications Cloudにアップロード(インポート)するには、次のステップを実行します。
-
銀行から提供されたキー・ファイルの名前にサフィクスとして_public.keyを追加して変更します。キー・ファイル名にアンダースコア以外の特殊文字が含まれていないことを確認してください。
-
「ナビゲータ」→「ツール」→「ファイル・インポート/エクスポート」にナビゲートします。
-
銀行から提供されたキー・ファイルをアカウントfin/payments/importにインポートします。
-
「伝送構成の作成」ページにナビゲートします。
-
該当するパラメータの「値」選択リストから、アップロードしたキー・ファイルを選択します。
ヒント: 選択リスト内のキー名は、UCMを使用してアップロードしたものと同じです。 -
キーを選択して伝送構成を保存すると、キーが自動的にPaymentsにインポートされます。
システム生成の公開キー・ファイルのダウンロード
システム生成の公開キー・ファイルをPaymentsからダウンロードして銀行と共有するには、次のステップを実行します。
-
「伝送構成の作成」ページで、該当するパラメータについて「クイック作成」を選択します。
-
「保存してクローズ」ボタンをクリックします。
-
「ナビゲータ」→「ツール」→「ファイル・インポート/エクスポート」にナビゲートします。
-
「アカウント」選択リストから、fin/payments/importを選択し、システム生成の公開キー・ファイルを検索します。
-
システム生成の公開キー・ファイルをダウンロードします。
ヒント: ファイル名は、生成されて伝送構成に関連付けられた非公開キー・ファイルと類似しています。
キーのエクスポートと削除
「エクスポートおよび削除」オプションを使用すると、選択した非公開キーや公開キーを安全にエクスポートできます。これにより、異なる環境で同じキーを使用できます。この機能を使用してキーをエクスポートすると、キーはダウンロード元からUCMにエクスポートされます。選択したキーが非公開キーの場合、キーの生成時に使用されたキー・パスワードを指定する必要があります。公開キーのエクスポートにキー・パスワードは必要ありません。
この機能を使用してPGPを削除することもできます。ただし、伝送構成に現在添付されているキーは削除できません。システム生成非公開キーを削除すると、対応する公開キーも削除されます。エクスポートの動作と同じく、選択したキーが非公開キーの場合はキーの削除にもキーのパスワードが必要です。公開キーの削除にパスワードは必要ありません。
「エクスポートおよび削除」機能は、アプリケーションで生成されたキーのみでなく、インポートされたキーに対しても機能します。