31証明書管理

この章の内容は次のとおりです。

• 証明書の概要

• 証明書のタイプ

• X.509証明書への署名

• X.509証明書のインポートとエクスポート

• PGP証明書のインポートとエクスポート

• 証明書の削除

証明書の概要

証明書は、Oracle Cloudアプリケーションが他のアプリケーションと交換するデータの暗号化および復号化に使用するキーを確立します。「セキュリティ・コンソール」機能領域の「証明書」ページを使用して、PGPおよびX.509の2つのいずれかの形式の証明書について作業を行います。

各形式について、証明書は公開キーと非公開キーから構成されます。証明書ページには、各証明書について1件のレコードが表示されます。各レコードはこれらの値をレポートします。

• タイプ:PGP証明書では、「公開キー」が唯一のタイプです。X.509証明書では、タイプは「自己署名証明書」または「信頼できる証明書(認証局が署名した証明書)」のいずれかです。

• 非公開キー: チェック・マークは、証明書の非公開キーが存在していることを示します。どちらの証明書形式でも、非公開キーは自身の証明書(セキュリティ・コンソールで生成する証明書)用に存在しています。証明書が外部ソースに属している場合、非公開キーは存在しておらず、セキュリティ・コンソールを通してインポートします。

• ステータス: PGP証明書では、唯一の値が「適用不可」です(PGP証明書にステータスはありません。)x.509証明書の場合、ステータスは証明書から導出されます。

「処理」メニューをクリックして、証明書に対する適切な処理を行います。処理には次のものが含まれます。

• PGP証明書またはX.509証明書を生成する。

• X.509証明書を自己署名証明書から信頼できる証明書に変換するための署名要求を生成する。

• PGP証明書またはX.509証明書をエクスポートまたはインポートする。

• 証明書を削除する。

証明書のタイプ

PGP証明書またはX.509証明書については、一度の操作で公開キーと非公開キーとを作成できます。「証明書」ページから「生成」オプションを選択します。「生成」ページで、証明書の形式を選択し、その形式に適した値を入力します。

PGP証明書の場合、値には次のものが含まれます。

• 書名所を一意に識別する別名(名前)およびパスフレーズ

• 生成されるキーのタイプ(DSAまたはRSA)。

• キー長(512、1024または2048)。

• キー生成の暗号化アルゴリズム・オプション(AES128、AES256)

X.509証明書の場合、値には次のものが含まれます。

• 書名所を一意に識別する別名(名前)および非公開キーのパスワード

• 証明書の「識別名」の要素である共通名共通名は、他のウェブ・エンティティとの通信において、証明書が作成された目的であるエンティティを識別するものです。証明書に示されているエンティティの名前と一致していなければなりません。最大の長さは64文字です。

• オプションの識別値: 組織、組織ユニット、地域、都道府県/州、および国。これらは証明書の識別名の要素でもありますが、セキュリティ・コンソールではこれらの値の検証は行われません。

• キーが生成されるアルゴリズム(MD5またはSHA1)。

• キー長。

• 有効期間(日)。この期間は、一般管理ページで指定された値に事前設定されます。新しい値を入力して事前設定値を上書きできます。

X.509証明書への署名

認証局(CA)に対して、自己署名のX.509証明書に署名を行い、信頼できる証明書にするように署名要求を生成することができます(このプロセスはPGP証明書には当てはまりません。)

1. 「証明書署名要求の生成」を選択します。このオプションは2つのメニューのどちらからも使用できます。

   • 1つのメニューは「証明書」ページで、自己署名のX.509証明書の行から開きます。

   • もう1つは、その証明書の詳細ページの「処理」メニューです。

2. 証明書の非公開キーのパスワードを入力し、ファイルの場所を選択します。

3. 要求ファイルを保存します。既定の名前は「[alias]_CSR.csr」です。

ファイルをCAに送付するには、組織で定められたプロセスに従う必要があります。返送された信頼できる証明書をインポートします。

X.509証明書のインポートとエクスポート

X.509証明書の場合、一度の操作で完全な証明書をインポートまたはエクスポートします。

エクスポートするには:

1. 「証明書」ページで、エクスポートする証明書の行で使用できるメニューを選択します。または、証明書の詳細ページを開き、「処理」メニューを選択します。

2. いずれかのメニューから「エクスポート」、次に「証明書」を選択します。

3. エクスポート・ファイルの場所を選択します。既定では、このファイルは[alias].cerという名前になります。

インポートするには、2つの手順のいずれかを使用します。目的に合う適切な手順を選択してください。

• 最初の手順では、自己署名の証明書を、同じ証明書の信頼できるバージョン(CAによって署名された証明書)に置き換えます(前提条件として、署名要求への応答を受け取っている必要があります。)

  1. 「証明書」ページで、自己署名の証明書の行に位置を合わせてメニューを開きます。または、証明書の詳細ページを開き、「処理」メニューを選択します。いずれかのメニューで「インポート」を選択します。

  2. 証明書の非公開キーのパスワードを入力します。

  3. 署名要求に対してCAから返されたファイルを表示して選択し、「インポート」ボタンをクリックします。

  「証明書」ページで、証明書のタイプの値が自己署名から信頼できる証明書に変わります。

• 2つ目の手順では、新しいX.509証明書をインポートします。.cerファイルをインポートすることも、1つ以上の証明書を含むキーストアをインポートすることもできます。

  1. 「証明書」ページで「インポート」ボタンをクリックします。「インポート」ページが開きます。

  2. X.509を選択し、証明書とキーストアのどちらをインポートするかを選択します。

  3. インポートの対象の選択によって異なる識別値を入力します。いずれの場合でも、別名(.cerファイルをインポートする場合は、その別名と一致する必要はありません)を入力します。キーストアの場合、キーストアのパスワードおよび非公開キーのパスワードも入力する必要があります。

  4. インポート・ファイルを表示して選択します。

  5. 「インポートおよびクローズ」を選択します。

PGP証明書のインポートとエクスポート

PGP証明書の場合、証明書の公開キーと非公開キーを別の操作でエクスポートします。公開キーのみがインポートできます(キーは外部のソースからインポートし、その外部ソースは非公開キーを提供しない、と仮定しています)。

エクスポートするには:

1. 「証明書」ページで、エクスポートする証明書の行で使用できるメニューを選択します。または、証明書の詳細ページを開き、「処理」メニューを選択します。

2. いずれかのメニューで、「エクスポート」を選択し、「公開キー」または「非公開キー」を選択します。

3. 「非公開キー」を選択した場合は、パスフレーズを入力します(公開キーの場合は必要ありません。)

4. エクスポート・ファイルの場所を選択します。既定では、このファイルは[alias]_pub.ascまたは[alias]_priv.ascという名前になります。

新しいPGP公開キーをインポートするには:

1. 「証明書」ページで「インポート」ボタンを選択します。

2. 「インポート」ページで、「PGP」を選択して別名(インポートするファイルの別名と一致する必要はありません)を指定します。

3. 公開キーファイルを表示し、「インポートおよびクローズ」を選択します。

「証明書」ページには、インポートされる証明書のレコードが、「非公開キー」セルがチェックされていない状態で表示されます。

インポート済の証明書の公開キーを置き換える必要があり、証明書の名前を変更しない場合は、別のインポート手順を使用します。

1. 「証明書」ページで、インポートした公開キーの証明書の行に位置を合わせてメニューを開きます。または、証明書の詳細ページを開き、「処理」メニューを選択します。いずれかのメニューで「インポート」を選択します。

2. 公開キーファイルを表示し、「インポート」を選択します。

証明書の削除

PGP証明書およびX.509証明書を削除できます。

1. 「証明書」ページで、削除する証明書の行で使用できるメニューを選択します。または、証明書の詳細ページで、「処理」メニューを選択します。

2. いずれかのメニューで「削除」を選択します。

3. 警告メッセージに応答します。警告への応答で、証明書の非公開キーが存在している場合、パスフレーズ(PGP証明書の場合)またはパスワード(X.509の場合)を入力しなければなりません。どちらの値も、組織が証明書を生成したときに作成されているはずです。