Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.1.3) E59413-03 |
|
前 |
次 |
この章では、キーストア・サービスを使用してキーおよび証明書を管理する方法について説明します。
この章の内容は次のとおりです。
OPSSキーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化および関連タスク用のキーおよび証明書を管理できます。キーストア・サービスは、キー、証明書およびその他のアーティファクトを含むキーストアを作成および管理するために使用します。Oracleウォレットとの間でインポートやエクスポートを行うこともできます。Oracleウォレットとは、Oracle HTTP Serverなど実行時にウォレットを使用するシステム・コンポーネントに有用な機能です。
次の各項目で、キーストア・サービスの概要を説明します。
キーストア・サービスで作成される各キーストアは、アプリケーション・ストライプおよびキーストアによって一意に参照されます。
アプリケーション・ストライプ
キーストア内に作成されたキーおよび証明書はアプリケーション・ストライプまたは製品内に存在し、ドメイン内の各ストライプには一意の名前が付けられます。
キーストア
キーストア名はアプリケーション・ストライプ内で一意です。各製品またはアプリケーションは、そのアプリケーション・ストライプ内に複数のキーストアを作成できます。
したがって、(appstripe1, keystoreA)
は一意であり、(appstripe1, keystoreB)
とも、(appstripe2, keystoreA)
とも区別されます。
同様に、各キーストアは、キーストア内で一意の別名によって参照される次のエントリを含むことができます。
非対称鍵 - これには公開鍵と対応する秘密鍵が含まれ、通常はSSL通信に使用されます。公開鍵は証明書でラップされています。
対称鍵 - これらのキーは通常、暗号化に使用されます。
信頼できる証明書 - これらの証明書は通常、SSLピアとの信頼を構築するために使用されます。
キーストア・サービスでは、次の2つのタイプのキーストアを作成できます。
権限によって保護されるキーストア
このタイプのキーストアは認可ポリシーによって保護され、ランタイム・コードによるアクセスはコード・ソース権限によって保護されます。バックエンドのキー・データは、それぞれのドメインに対して一意に生成された暗号化鍵を使用して暗号化されます。
パスワードによって保護されるキーストア
このタイプのキーストアは、キーストア・パスワードおよび/またはキー・パスワードによって保護されます。ランタイム・コードがこれらにアクセスするには、キーストア・パスワードとキー・パスワード(キーストア・パスワードと異なる場合)へのアクセスが必要になります。バックエンドのキー・データは、Password Based Encryption (PBE)によりキーストア/キー・パスワードを使用して暗号化されます。
アプリケーションには、権限によって保護されたキーストアを使用することをお薦めします。ただし、高度なセキュリティが必要であり、パスワードの管理をいとわない場合は、パスワードによって保護されるキーストアの使用を検討してください。
注意: キーストア・サービスでは、キーストアまたはキーに対するパスワードは管理されません。製品またはアプリケーションで、適切なリポジトリ内でパスワードを管理する必要があります。たとえば、アプリケーションに対するパスワードを資格証明ストアに格納することを選択できます。 |
キーストアとウォレット間でのエクスポート/インポート
Oracleウォレットとキーストアの間でインポートやエクスポートを行うこともできます。Oracleウォレットとは、Oracle HTTP Serverなど実行時にウォレットを使用するシステム・コンポーネントに有用な機能です。
詳細は、第12.2.2.7項および第12.2.2.8項を参照してください。
注意: このデモCAには、ハードコピーされた有名な秘密鍵があります。このデモCAによって署名された証明書を信頼しないように注意してください。信頼ストアのデモCA証明書を本番で使用しないでください。本番のドメイン信頼ストアからこれを削除してください。 |
各アプリケーションではSSL用に複数のキーストアを構成できますが、すべての製品およびアプリケーションに対して、信頼管理用のドメイン・レベルのトラスト・ストアが事前に構成されています。
このドメイン・トラスト・ストアには、一般的に知られているほとんどのサード・パーティ認証局(CA)の信頼できる証明書、およびキーストア・サービスに構成されているデモCAの信頼できる証明書が含まれます。各アプリケーションではSSLに対してこのドメイン・トラスト・ストアを指定でき、このタスク用に専用のトラスト・ストアを作成する必要はありません。
一方向SSL
一方向SSLでは、アプリケーションはドメイン・トラスト・ストアを使用するだけで、キーストアやトラスト・ストアを作成する必要はありません。
双方向SSL
双方向SSLについては、アプリケーションは自身のアイデンティティ証明書を含むキーストアのみを作成する必要があり、信頼にはドメイン・トラスト・ストアを使用します。
注意: ドメイン・トラスト・ストアは、ドメイン内のすべての製品およびアプリケーションに対する共有ストアです。ドメイン内の他のすべての製品に影響する可能性があるため、信頼の追加または削除に関する決定は慎重に行う必要があります。カスタム・トラスト・ストアの作成は、ドメイン・トラスト・ストアで製品の信頼管理要件を満たせない場合にのみ検討してください。 |
複数のサーバーがあるドメインでは、推奨されるストア・タイプはLDAPまたはDBのみです。このような環境では、ファイルベースのストアは構成しないでください。
キーストア・サービスのトラブルシューティングに関する項目については、付録Jで説明します。ここでは、次の項目を参照してください。
この項では、キーストアおよび証明書の一般的なライフサイクル、およびキーストア・サービスを使用してキーストアおよび証明書を作成および保守する方法について説明します。次のトピックが含まれます:
KSSキーストアの一般的なライフサイクル・イベントは、次のとおりです。
キーストアはアプリケーション・ストライプのコンテキストで作成されます。キーストアは直接作成するか、ファイル・システムからキーストア・ファイルをインポートすることによって作成できます。
使用可能なキーストアのリストが表示され、特定のキーストアが選択されて更新されます。
キーストアが更新または削除されます。パスワードで保護されたキーストアの場合は、更新操作ではキーストア・パスワードを入力する必要があります。
キーストア・パスワードは変更できます。
キーストアは削除できます。
キーストアはエクスポートおよびインポートできます。KSSは次の証明書形式の移行をサポートしています。
JKS
JCEKS
Oracleウォレット
この項では、Fusion Middleware Controlを通じてまたはコマンドラインで実行できる、次のキーストア操作を説明します。
次の手順を実行して、キーストアを作成します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
その中にキーストアが作成されるストライプを選択します。必要に応じて、次のようにストライプを作成します。
「ストライプの作成」をクリックします。「ストライプの作成」ダイアログが表示されます。
一意のストライプ名を指定してください。任意の文字の組み合せが可能ですが、名前の中にはフォワード・スラッシュ(/)を使用しないことをお薦めします。
「発行」をクリックします。新しいストライプがストライプの一覧に表示され、キーストアの作成用にそれを選択できます。
「キーストアの作成」をクリックします。
「キーストアの作成」ダイアログが表示されます。
次のようにダイアログ・フォームを完了します。
キーストア名: 一意のキーストア名を入力します。特殊(非ASCII)文字、またはエンコーディングやロケールの異なる文字は使用しないでください。
「保護」タイプ: キーストアの保護メカニズムを「ポリシー」および「パスワード」から選択します。
パスワードで保護されたキーストアの場合は、有効なパスワードを入力します。
権限の付与: コードURLを使用して権限を付与するにはこのチェック・ボックスを選択します。
「OK」をクリックします。新しいキーストアが適切なストライプの下に表示されます。
コマンドラインでcreateKeyStore
スクリプトを使用してキーストアを作成できます。たとえば、ストライプ名をteststripe1
とすると、次のコマンドを使用してパーミッションベースのキーストアを作成します。
svc.createKeyStore(appStripe='teststripe1', name='keystore1', password='password',permission=true)
ここでpassword
は、このキーストアのパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
新しいストライプを指定する際は任意の文字の組み合せが可能ですが、名前の中にはフォワード・スラッシュ(/)を使用しないことをお薦めします。
一意のキーストア名を入力します。特殊(非ASCII)文字、またはエンコーディングやロケールの異なる文字は使用しないでください。
関連項目: Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス |
キーストアを削除すると、キーストア内のすべての証明書も削除されることに注意してください。それらの証明書に依存している機能がある場合は、結果としてそれらの機能は使用できなくなります。
次の手順を実行して、キーストアを削除します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「削除」をクリックします。
「キーストアの削除」ダイアログが表示されます。
これがパスワードで保護されたキーストアの場合は、キーストア・パスワードを入力します。
「OK」をクリックします。
コマンドラインでdeleteKeyStore
スクリプトを使用してキーストアを削除できます。たとえば、ストライプ名をappstripe1
とすると、次のコマンドを使用してキーストアを削除します。
svc.deleteKeyStore(appStripe='appstripe1', name='keystore1', password='password')
ここでpassword
は、このキーストアのパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』 |
パスワードで保護されたキーストアのパスワードを変更する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「パスワードの変更」をクリックします。
「キーストア・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力します。
「OK」をクリックします。
コマンドラインでchangeKeyStorePassword
スクリプトを使用してキーストアのパスワードを変更できます。たとえば、インスタンス名をsystemとすると、次のコマンドを使用してキーストア・パスワードを変更します。
svc.changeKeyStorePassword(appStripe='system', name='keystore2', currentpassword='currentpassword', newpassword='newpassword')
ここで、currentpassword
がこのキーストアの現在のパスワードであり、newpassword
が新しいパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
コマンドラインでexportKeyStore
スクリプトを使用してキーストアをエクスポートできます。
単一キーのエクスポート
たとえば、ストライプ名をmystripe、エクスポートする別名をmyorakey、別名のパスワードをkeypassword1とすると、次のコマンドでキーストアをファイルにエクスポートします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JKS',filepath='/tmp/file.jks')
ここでpassword
は、このキーストアのパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
複数キーのエクスポート
このコマンドを使用して複数のキーをエクスポートするには、aliasesとkey passwordsのカンマ区切りリストを指定します。
対称キーのエクスポート
対称鍵を含むキーストアをエクスポートする場合は、JCEKS
タイプを使用します。例:
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JCEKS',filepath='/tmp/file.jks')
Oracleウォレットへのエクスポート
キーストアをOracleウォレットにエクスポートするには、'OracleWallet'タイプを使用します。例:
svc.exportKeyStore(appStripe='mystripe', name='keystore3', password='mypassword',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet',path='/tmp')
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』 |
コマンドラインでmportKeyStore
スクリプトを使用してキーストアをインポートできます。
単一キーのインポート
たとえば、ストライプ名をmystripe、インポートする別名をmyorakey、別名のパスワードをkeypassword1とすると、次のコマンドでオペレーティング・システム・ファイルからキーストアをインポートします。
svc.importKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JKS', permission=true, filepath='/tmp/file.jks')
ここでpassword
は、キーストア・パスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
複数キーのインポート
このコマンドを使用して複数のキーをインポートするには、aliasesとkey passwordsのカンマ区切りリストを指定します。
Oracleウォレットのインポート
Oracleウォレットから1つまたは複数のキーをインポートするには、'OracleWallet'タイプを使用します。例:
svc.importKeyStore(appStripe='mystripe', name='keystore4', password='owPwd1234',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet', permission=true, filepath='/tmp')
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』 |
この項では、キーストア・サービスで証明書を管理する方法について説明します。内容は次のとおりです。
キーストア・サービス(KSS)キーストアに存在する証明書の一般的なライフサイクル・イベントは次のとおりです。
鍵のペアの自己署名証明書が自動的に作成されます。
証明書に対して証明書署名リクエスト(CSR)が生成され、ファイルに保存できます。
CSRは認証局に送られます。認証局は送信者を検証し、署名し、署名付きの証明書を返送します。
証明書がキーストアにインポートされます。証明書はテキスト・ボックスに貼り付けることも、ファイル・システムからインポートすることもできます。ユーザー証明書も信頼できる証明書(CA証明書ともいいます)も、このようにインポートできます。
注意: キーストア・サービスは、PEM/BASE64で暗号化された証明書のインポートのみサポートします。KSSキーストアにDERで暗号化された証明書や信頼できる証明書をインポートすることはできません。 |
証明書または信頼できる証明書が、キーストアからファイルにエクスポートされます。
証明書または信頼できる証明書が、キーストアから削除されます。
この項では、一般的な証明書の操作を説明します。
関連する鍵ペアとともに証明書を生成する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。
「有効期限」列を使用すると、有効期限が近付いている証明書および期限切れの証明書を迅速に評価できます。
「鍵ペアの生成」ボタンをクリックします。
「鍵ペアの生成」ダイアログ・ボックスが表示されます。
次の情報を入力します。
別名(必須)
共通名(必須)
組織単位
組織
市区町村
都道府県
国: ドロップダウン・ボックスから選択します。
RSAキー・サイズ: ドロップダウン・ボックスから選択します。デフォルトは1024バイトです。
「OK」をクリックします。
新しい証明書が証明書の一覧に表示されます。
証明書の別名をクリックすることで、証明書の詳細を表示できます。
生成された鍵ペアはCA署名付き証明書でラップされています(デモCA使用)。この証明書をSSLなどの信頼を確立する必要のある場所で使用するには、アプリケーションはトラスト・ストアとしてドメイン・トラスト・ストア(デモCA証明書を含むため)を使用するか、もしくは証明書をカスタムのアプリケーション固有のトラスト・ストアにインポートする必要があります。
コマンドラインでgenerateKeyPair
スクリプトを使用して、キーストア用の鍵ペアを生成できます。たとえば、appstripe2というアプリケーション・ストライプがあるとすると、次のコマンドでは別名がmyaliasの鍵ペアが作成されます。
svc.generateKeyPair(appStripe='appstripe2', name='keystore2', password='password', dn='cn=www.example.com', keysize='1024', alias='myalias', keypassword='keypassword')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
生成された鍵ペアはCA署名付き証明書でラップされています(デモCA使用)。この証明書をSSLなどの信頼を確立する必要のある場所で使用するには、アプリケーションはトラスト・ストアとしてドメイン・トラスト・ストア(デモCA証明書を含むため)を使用するか、もしくは証明書をカスタムのアプリケーション固有のトラスト・ストアにインポートする必要があります。
証明書または信頼できる証明書用のCSRを生成する手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「CSRの生成」をクリックします。
「CSRの生成」ダイアログ・ボックスが表示されます。
次の操作を実行できます。
CSR全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
または
「CSRのエクスポート」をクリックすると、CSRが自動的にファイルに保存されます。
生成された証明書リクエストを認証局(CA)に送信すると、CAから署名付きの証明書が返送されます。
コマンドラインでexportKeyStoreCertificateRequest
スクリプトを使用して、鍵ペアに対してCSRを生成できます。たとえば、アプリケーション・ストライプをstripe1とすると、次のコマンドで鍵ペアtestaliasからCSRを生成できます。
svc.exportKeyStoreCertificateRequest(appStripe='stripe1', name='keystore1', password='password', alias='testalias', keypassword='keypassword', filepath='/tmp/csr-file')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。CSRはオペレーティング・システム・ファイルにエクスポートされます。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
パスワードで保護されたキーストアに証明書をインポートする手順は次のとおりです。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。「インポート」をクリックします。
「証明書のインポート」ダイアログ・ボックスが表示されます。
フォームに次のように入力します。
証明書のタイプについて、ドロップダウン・リストの「証明書」または「信頼できる証明書」のいずれかを選択します。
ドロップダウン・リストから別名を選択します。
証明書ソースを指定します。「証明書または証明連鎖の貼付け」オプションを使用する場合は、証明書を直接テキスト・ボックスにコピーして貼り付けます。「証明書または証明連鎖を含むファイルの選択」オプションを使用する場合は、「参照」をクリックしてオペレーティング・システムからファイルを選択します。
「OK」をクリックします。インポートされた証明書または信頼できる証明書は、証明書の一覧に表示されます。
「OK」をクリックします。
証明書が証明書の一覧に表示されます。
コマンドラインでimportKeyStoreCertificateスクリプトを使用して証明書をインポートできます。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドで別名がmykey
の証明書をオペレーティング・システム・ファイルからインポートできます。
svc.importKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
次の手順を実行して、証明書または信頼できる証明書をエクスポートします。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「エクスポート」をクリックします。
証明書のエクスポート・ダイアログが表示されます。
次の操作を実行できます。
証明書全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
または
「証明書のエクスポート」をクリックすると、証明書が自動的にファイルに保存されます。
コマンドラインでexportKeyStoreCertificateスクリプトを使用して証明書をエクスポートできます。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドで別名がmykey
の証明書をオペレーティング・システム・ファイルにエクスポートできます。
svc.exportKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
次の手順を実行して、証明書を削除します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「削除」をクリックします。
「証明書の削除」ダイアログが表示されます。
削除するかどうかを確認するメッセージが表示されます。「OK」をクリックします。
コマンドラインでdeleteKeyStoreEntryスクリプトを使用してキーストアから証明書を削除できます。たとえば、アプリケーション・ストライプをappstripeとすると、次のコマンドで別名がorakeyの証明書を削除できます。
ssvc.deleteKeyStoreEntry(appStripe='appstripe', name='keystore2', password='password', alias='orakey', keypassword='keypassword')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
次の手順を実行して、証明書のパスワードを変更します。
Fusion Middleware Controlにログインします。
ナビゲーション・ペインから、目的のドメインを見つけます。
「セキュリティ」→「キーストア」に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「管理」をクリックします。
パスワードで保護されたキーストアの場合は、パスワードの入力が求められます。キーストア・パスワードを入力し、「OK」をクリックします。
「証明書の管理」ページが表示されます。証明書に対応する行を選択して、「パスワードの変更」をクリックします。
「キー・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力し、「OK」をクリックします。
コマンドラインでchangeKeyPasswordスクリプトを使用して証明書のパスワードを変更できます。たとえば、アプリケーション・ストライプをsystem1とすると、次のコマンドで別名がtestkeyの証明書を削除できます。
svc.changeKeyPassword(appStripe='system1', name='keystore', password='password', alias='testkey', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
ここで、password
はキーストア・パスワードで、keypassword
は証明書の別名のパスワードです。第12.5項では、OPSSサービス・コマンド・オブジェクトの取得方法を説明します。
関連項目: 『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』。 |
この項では、コンポーネントおよびサービスでキーストア・サービスを使用してキーおよび証明書を管理する方法について説明します。この項の内容は次のとおりです。
Oracle WebLogic Server環境では、キーストアおよびトラストストアの「実情のソース」はOPSSセキュリティ・ストアで、これは中央セキュリティ・ストアとして機能します。すべてのOracle Fusion Middlewareスタック・コンポーネントでこの中央ストアを使用することをお薦めしますが、中央インフラストラクチャ・コンポーネント(Oracle WebLogic Server、ノード・マネージャなど)では、ローカル・キーストア・インスタンスを使用するためのブートストラップが必要です。
中央セキュリティ・ストアからローカル・ファイル・インスタンスを作成するには、WLST syncKeyStores
コマンドを使用します。同期化は、データベース・セキュリティ・ストアからキー・データを読み取ってローカル・ファイル・インスタンスと同期化する、一方向の手順です。
たとえば、中央セキュリティ・ストアでドメイン・トラスト・ストアを更新する際に、このコマンドを使用すると、Oracle Weblogic Serverで使用されるローカル・キーストアのコピーを中央ストアと同期化できます。
syncKeyStoresコマンドの構文は、次のとおりです。
syncKeyStores ()
このコマンドは、中央リポジトリで「システム」ストライプを検索し、そのコンテンツをDOMAIN_HOME/config/fmwconfig
ディレクトリの下にあるkeystores.xml
というファイルにダウンロードします。それは、同じファイルにドメイン・トラストストアのコンテンツもダウンロードします。
syncKeyStores
コマンドを使用するタイミングを判別するには、次のガイドラインを使用します。
更新中のキーストアがOracle WebLogic Serverに属する場合、そのキーストアは「システム」ストライプの下に表示されます(「demoidentity」キーストアなど)。
(信頼できる証明書の追加または削除によって)ドメイン・トラスト・ストアを更新する場合は、Oracle WebLogic Serverの同期コマンドを起動します。
Webサービスなどの階層型コンポーネントのキーストアを更新する場合、Oracle Web Services ManagerまたはJavaEEアプリケーションでは、同期コマンドを実行する必要はありません。このようなコンポーネントは、中央セキュリティ・ストアからキー・マテリアルに直接アクセスします。
Oracle WebLogic Serverで使用するキーストアを構成する際に、キーストア・サービスを使用してキーおよび証明書を生成できます。
Oracle WebLogic ServerでのキーストアおよびSSL構成の詳細は、次を参照してください。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのキーストアの構成に関する説明
『Oracle WebLogic Serverセキュリティの管理』の「SSLの構成」
キーストア・サービスを使用するようにノード・マネージャを構成できます。詳細は、『Oracle Fusion Middlewareの管理』のノード・マネージャの構成によるOPSSキーストア・サービスの使用に関する説明を参照してください。
ノード・マネージャの詳細は、『Oracle WebLogic Serverノード・マネージャの管理』を参照してください。
アイデンティティ・ストアからLDAPサーバーにSSL通信を構成できます。詳細は、8.5.2項を参照してください。
キーストア・サービスでは、キーストアの作成と管理、証明書のエクスポート、鍵ペアの生成などのキーストア操作に、専用のコマンドラインのコマンド・セットを使用します。これらのコマンドの使用方法は似ていますが、他のOPSSコマンドとは異なります。
キーストア・サービス・コマンド・セットを使用するための開始点はgetOpssService
です。これは次の操作を可能にするOPSSサービス・コマンド・オブジェクトを取得します。
サービスに対してコマンドを実行する
コマンド・ヘルプを表示する
一般的な構文は次のとおりです。
variable = getOpssService(name='service_name')
説明
variable
はコマンド・オブジェクトを格納します。
サービス名は、コマンド・オブジェクトを取得する対象のサービスを指します。有効な値は、KeyStoreService
のみです。
例:
svc = getOpssService(name='KeyStoreService')
キーストア・サービス・コマンドに対するヘルプを表示するには、第12.5項に示したように、サービス・コマンド・オブジェクトの取得から始めます。このオブジェクトを、ヘルプ・コマンドおよび当該のコマンドとともに使用します。
すべてのキーストア・サービス・コマンドのリストを取得するには、次のように入力します。
svc.help()
特定のコマンドに対するヘルプを表示するには、次のように入力します。
svc.help('command-name')
たとえば次のように入力すると、exportKeyStore
コマンドに対するヘルプが表示されます。
svc.help('exportKeyStore')
キーストア・サービス・コマンドの構文情報および参照情報は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSキーストア・サービス・コマンドに関する説明を参照してください。