| Oracle® Databaseセキュリティ・ガイド 12c リリース1 (12.1) B71285-10 |
|
 前 |
 次 |
orapkiコマンドライン・ユーティリティを使用して、署名付き証明書の作成、Oracleウォレットの管理、証明書失効リストの管理など、PKI要素を管理できます。
内容は次のとおりです。
注意:
PKI暗号化と透過的データ暗号化を組み合せた使用は非推奨です。透過的データ暗号化を構成するには、ADMINISTER KEY MANAGEMENT SQL文を使用します。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
orapkiユーティリティでは、公開鍵インフラストラクチャ(PKI)要素(ウォレットや証明書失効リストなど)をコマンドラインから管理します。
これにより、スクリプトを使用してこれらのタスクを自動化できます。PKI要素の管理をスクリプトに組み込む方法を提供することにより、PKIを管理するための数多くのルーチン・タスクを自動化できるようになります。
orapkiコマンドライン・ユーティリティを使用して次のタスクを実行できます。
テスト用の署名付き証明書の作成および表示
Oracleウォレットの管理(透過的データ暗号化キーストアを除く):
Oracleウォレットの作成および表示
証明書リクエストの追加および削除
証明書の追加および削除
信頼できる証明書の追加および削除
証明書失効リスト(CRL)の管理:
証明書検証用ハッシュ値によるCRLの名前変更
Oracle Internet DirectoryでのCRLのアップロード、一覧表示、表示および削除
注意:
PKI暗号化と透過的データ暗号化を組み合せた使用は非推奨です。透過的データ暗号化を構成するには、ADMINISTER KEY MANAGEMENT SQL文を使用します。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
orapkiユーティリティの構文を使用して、Oracleウォレット、証明書失効リストまたはPKIデジタル証明書を指定できます。
orapkiコマンドライン・ユーティリティの構文を次に示します。
orapki module command -parameter value
ここで、moduleをwallet(Oracleウォレット)、crl(証明書失効リスト)またはcert(PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmoduleによって異なります。
たとえば、walletを使用している場合、addコマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txtにあるユーザー証明書が、$ORACLE_HOME/wallet/ewallet.p12にあるウォレットに追加されます。
orapki wallet add -wallet $ORACLE_HOME/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt
orapkiユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。
テスト用の署名付き証明書を作成するには、次のコマンドを使用します。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。-validityパラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。
証明書を作成した後は、orapkiユーティリティを使用してその証明書を表示できます。
証明書を表示するには、次のコマンドを使用します。
orapki cert display -cert certificate_location [-summary | -complete]
このコマンドを使用すると、orapkiを使用して作成したテスト証明書を表示できます。-summaryまたは-completeのいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summaryを選択すると、証明書とその有効期限が表示されます。-completeを選択すると、シリアル番号、公開鍵などの追加の証明書情報が表示されます。
orapkiユーティリティを使用して、Oracleウォレットを作成、表示および変更できます。orapkiを使用して、証明書を追加したり、証明書リクエストをエクスポートすることもできます。
内容は次のとおりです。
注意:
-walletパラメータは、すべてのwalletモジュール・コマンドで必須です。
Oracleウォレットの作成および管理に使用するorapkiコマンドライン・ユーティリティを理解する必要があります。
orapkiユーティリティのwalletモジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。たとえば、PKCS#12ウォレットおよび自動ログイン・ウォレットを作成できます。PKCS#12ウォレットに関連付けられている自動ログイン・ウォレット、またはウォレットが作成されたコンピュータおよびウォレット作成ユーザーに対してローカルな自動ログイン・ウォレットを作成できます。ウォレットを表示したり、ウォレットのパスワードを変更したり、AES256アルゴリズムを使用するようにウォレットを変換できます。
注意:
-walletパラメータは、すべてのwalletモジュール・コマンドで必須です。
orapkiを使用して、Oracleウォレットでの様々な管理アクティビティを実行できます。
内容は次のとおりです。
orapkiユーティリティを使用して、PKCS#12のOracleウォレットを作成できます。
Oracle PKCS#12ウォレット(ewallet.p12)を作成するには、orapki wallet createコマンドを使用します。
orapki wallet create -wallet wallet_location [-pwd password]
コマンドラインでパスワードを指定していない場合、このコマンドではウォレットのパスワードの入力と再入力を求められます。-walletで指定された場所にウォレットが作成されます。
注意:
セキュリティ上の理由から、コマンドラインにパスワードを指定しないことをお薦めします。パスワードの入力は、求められた場合にのみ行ってください。
orapkiユーティリティを使用して、自動ログイン・ウォレットを作成できます。
ウォレットを開く際にパスワードを必要としない自動ログイン・ウォレット(cwallet.sso)を作成するには、orapki wallet createコマンドを使用します。
orapki wallet create -wallet wallet_location -auto_login_only
パスワードを使用しないでウォレットを変更または削除できます。ファイル・システム権限によって、このような自動ログイン・ウォレットに必要なセキュリティが提供されます。
ローカルの自動ログイン・ウォレットを別のコンピュータに移動することはできません。それらは作成されたホストで使用する必要があります。
ローカルの自動ログイン・ウォレットを開く際にパスワードが不要な場合でも、ウォレットを変更または削除するには、関連付けられたPKCS#12ウォレットのパスワードを入力する必要があります。PKCS#12ウォレットを更新した場合、関連付けられた自動ログイン・ウォレットも更新されます。
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットを作成できます。
自動ログイン・ウォレットを開くのにパスワードは必要ありません。
ただし、ウォレットを変更または削除するには、関連付けられたPKCS#12ウォレットのパスワードを入力する必要があります。PKCS#12ウォレットを更新した場合、関連付けられた自動ログイン・ウォレットも更新されます。
PKCS#12ウォレット(ewallet.p12)に関連付けられた自動ログイン・ウォレット(cwallet.sso)を作成するには、次のコマンドを使用します。
orapki wallet create -wallet wallet_location -auto_login [-pwd password]
このコマンドでは、自動ログインが有効なウォレット(cwallet.sso)が作成され、PKCS#12ウォレット(ewallet.p12)に関連付けられます。コマンドラインでパスワードを指定していない場合、このコマンドではPKCS#12ウォレットのパスワードの入力を求められます。
wallet_locationがPKCS#12ウォレットにすでに含まれている場合は、その自動ログインが有効になります。既存のPKCS#12ウォレットの自動ログインを有効にするには、そのパスワードを入力する必要があります。
wallet_locationがPKCS#12ウォレットに含まれていない場合は、新しいPKCS#12ウォレットが作成されます。新しいPKCS#12ウォレットのパスワードを指定する必要があります。
PKCS#12ウォレットの自動ログイン機能をオフにする場合は、Oracle Wallet Managerを使用します。
関連項目:
詳細は、Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイドを参照してください
orapkiユーティリティは、ウォレットを作成したユーザーのコンピュータにローカルな自動ログイン・ウォレットを作成できます。
自動ログイン・ウォレットが作成されるコンピュータとそのウォレットを作成したユーザーの両方にローカルな自動ログイン・ウォレットを作成するには、次のコマンドを使用します。
orapki wallet create -wallet wallet_location -auto_login_local [-pwd password]
このコマンドにより、自動ログイン・ウォレット(cwallet.sso)が作成されます。これは、PKCS#12ウォレット(ewallet.p12)に関連付けられます。コマンドラインでパスワードを指定していない場合、このコマンドではPKCS#12ウォレットのパスワードの入力を求められます。
orapkiユーティリティを使用して、ウォレットを表示できます。
Oracleウォレットを表示するには、orapki wallet displayコマンドを使用します。
orapki wallet display -wallet wallet_location
このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます(これらは拡張子.p12のバイナリPKCS12ファイルであることが必要です)。他のファイルでは失敗します。
orapkiユーティリティを使用して、ウォレットのパスワードを変更できます。
ウォレットのパスワードを変更するには、次のコマンドを使用します。
orapki wallet change_pwd -wallet wallet_location [-oldpwd password ] [-newpwd password]
このコマンドでは、現在のウォレットのパスワードが新しいパスワードに変更されます。コマンドラインでパスワードを指定していない場合、このコマンドでは新旧のパスワードを求められます。
注意:
セキュリティ上の理由から、コマンドラインでパスワード・オプションを指定しないことをお薦めします。パスワードの入力は、求められたときに行ってください。
デフォルトでは、ADMINISTER KEY MANAGEMENT文またはALTER SYSTEM文を使用したOracleウォレットは3DESで暗号化されます。
orapki convertコマンドを使用して、3DESアルゴリズムよりも強力なAES256アルゴリズムを使用するようにウォレットを変換できます。ADMINISTER KEY MANAGEMENT文やALTER SYSTEM文ではなくorapkiを使用してウォレットを作成した場合、そのウォレットはデフォルトでAES256アルゴリズムを使用します。
ウォレットのアルゴリズムを3DESからAES256に変更する手順
orapki wallet convert -wallet wallet_location [-pwd password] [-compat_v12]
compat_v12設定は、3DESからAES256への変換を行います。
orapkiユーティリティを使用して、様々な証明書関連タスクを実行できます。
内容は次のとおりです。
orapkiユーティリティを使用して、証明書および証明書リクエストをOracleウォレットに追加できます。
Oracleウォレットに証明書リクエストを追加するには、orapki wallet addコマンドを使用します。
orapki wallet add -wallet wallet_location -dn user_dn -keySize 512|1024|2048
このコマンドを使用すると、指定した識別名(user_dn)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、リクエストされた証明書のキー・サイズ(512、1024または2048ビット)も指定します。リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。
関連項目:
詳細は、orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポートを参照してください
orapkiユーティリティを使用して、信頼できる証明書をOracleウォレットに追加できます。
Oracleウォレットに信頼できる証明書を追加するには、次のコマンドを使用します。
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
このコマンドでは、指定した場所(-cert certificate_location)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖にあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。
orapkiユーティリティを使用して、ルート証明書をOracleウォレットに追加できます。
Oracleウォレットにルート証明書を追加するには、次のコマンドを使用します。
orapki wallet add -wallet wallet_location -dn certificate_dn -keySize 512|1024|2048 -self_signed -validity number_of_days
このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書の鍵サイズ(-keySize)は、512、1024または2048ビットに指定できます。
orapkiユーティリティを使用して、ユーザー証明書をOracleウォレットに追加できます。
Oracleウォレットにユーザー証明書を追加するには、次のコマンドを使用します。
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
このコマンドでは、-certパラメータで指定された場所にあるユーザー証明書が、wallet_locationにあるOracleウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
注意:
セキュリティ上の理由から、コマンドラインにパスワードを指定しないことをお薦めします。パスワードの入力は、求められたときに行ってください。
PKCS#11ウォレットを使用して、ハードウェア・デバイス上の資格証明を検証できます。
次のコマンドを使用して、資格証明の詳細を検証します。
orapki wallet p11_verify -wallet wallet_location [-pwd password]
PKCS#11情報を含むウォレットは、Oracleウォレットのように使用できます。
秘密鍵はハードウェア・デバイスに格納されます。暗号化処理もデバイスで実行されます。
ウォレットにPKCS#11情報を追加するには、次のコマンドを使用します。
orapki wallet p11_add -wallet wallet_location -p11_lib pkcs11Lib [-p11_tokenlabel tokenLabel] [-p11_tokenpw tokenPassphrase] [-p11_certlabel certLabel] [-pwd password]
次のように値を指定します。
walletでは、ウォレット・ロケーションを指定します。
p11_libでは、PKCS#11ライブラリへのパスを指定します。これにはライブラリのファイル名が含まれます。
p11_tokenlabelでは、デバイスで使用されるトークンまたはスマートカードを指定します。これはデバイスに複数のトークンがある場合に使用します。トークンのラベルは、ベンダー・ツールを使用して設定します。
p11_tokenpwでは、トークンへのアクセスに使用されるパスワードを指定します。トークンのパスワードは、ベンダー・ツールを使用して設定します。
p11_certlabelは、トークン上の証明書ラベルを指定するために使用します。これはトークンに複数の証明書がある場合に使用します。証明書ラベルはベンダー・ツールを使用して設定します。
pwdは、ウォレットのパスワードを指定するために使用します。
orapkiユーティリティを使用して、Oracleウォレットから証明書および証明書リクエストをエクスポートできます。
Oracleウォレットから証明書をエクスポートするには、次のコマンドを使用します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書が、ウォレットから-certで指定されたファイルにエクスポートされます。
Oracleウォレットから証明書リクエストをエクスポートするには、次のコマンドを使用します。
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書リクエストが、ウォレットから-requestで指定されたファイルにエクスポートされます。
証明書失効リスト(CRL)は、orapkiユーティリティを使用して管理する必要があります。
このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapkiを使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。
Oracleには、いくつかのorapkiコマンドの例が用意されています。
内容は次のとおりです。
orapki wallet addコマンドは、自己署名証明書を含むウォレットを作成できます。orapki wallet exportは、証明書をエクスポートできます。
例F-1では、自己署名証明書を含むウォレットを作成し、そのウォレットを表示して証明書をファイルにエクスポートする手順を示します。
例F-1 自己署名証明書を含むウォレットの作成と証明書のエクスポート
ウォレットを作成します。
例:
c -wallet /private/user/orapki_use/root
ウォレットは、/private/user/orapki_use/rootに作成されます。
自己署名証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/root -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650
この結果、3650日の有効期限を持つ自己署名された証明書が作成されます。サブジェクトの識別名はCN=root_test,C=USです。証明書のキー・サイズは2048ビットです。
ウォレットを表示します。
orapki wallet display -wallet /private/user/orapki_use/root
これはウォレットに含まれる証明書を表示するために使用します。
証明書をエクスポートします。
orapki wallet export -wallet /private/user/orapki_use/root -dn 'CN=root_test,C=US' -cert /private/user/orapki_use/root/b64certificate.txt
これにより、自己署名証明書がファイルb64certificate.txtにエクスポートされます。使用される識別名はステップ2と同じであることに注意してください。
orapkiユーティリティは、ウォレットおよびユーザー証明書を作成できます。
例F-2では、ユーザー証明書の作成に関連する様々な作業について説明します。
次に、ウォレットの作成、証明書リクエストの作成、証明書リクエストのエクスポート、テスト用のリクエストからの署名付き証明書の作成、証明書の表示、ウォレットへの信頼できる証明書の追加、およびウォレットへのユーザー証明書の追加の手順を示します。
例F-2 ウォレットおよびユーザー証明書の作成
自動ログインが有効なウォレットを作成します。
例:
orapki wallet create -wallet /private/user/orapki_use/server -auto_login
これにより、自動ログインを有効にしたウォレットが/private/user/orapki_use/serverに作成されます。
証明書リクエストをウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -dn 'CN=server_test,C=US' -keysize 2048
これにより、作成されたウォレット(ewallet.p12)に証明書リクエストが追加されます。サブジェクトの識別名はCN=server_test,C=USです。指定された鍵サイズは2048ビットです。
証明書リクエストをファイルにエクスポートします。
orapki wallet export -wallet /private/user/orapki_use/server -dn 'CN=server_test,C=US' -request /private/user/orapki_use/server/creq.txt
これにより、指定されたファイル(この場合はcreq.txt)に証明書リクエストがエクスポートされます。
テスト用のリクエストからの署名付き証明書を作成します。
orapki cert create -wallet /private/user/orapki_use/root -request /private/user/orapki_use/server/creq.txt -cert /private/user/orapki_use/server/cert.txt -validity 3650
これにより、3650日の有効期限を持つ証明書cert.txtが作成されます。証明書は前のステップで生成された証明書リクエストから作成されます。
証明書を表示します。
orapki cert display -cert /private/user/orapki_use/server/cert.txt -complete
これにより、前の手順で生成された証明書が表示されます。-completeオプションでは、シリアル番号や公開鍵などの追加的な証明書情報を表示できます。
信頼できる証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -trusted_cert -cert /private/user/orapki_use/root/b64certificate.txt
これにより、信頼できる証明書b64certificate.txtがewallet.p12ウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖内のすべての信頼できる証明書を追加する必要があります。
ユーザー証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -user_cert -cert /private/user/orapki_use/server/cert.txt
このコマンドはユーザー証明書cert.txtをewallet.p12ウォレットに追加します。
orapkiコマンドを使用して、多様なタスクを実行できます。
内容は次のとおりです。
orapki cert createコマンドは、テスト用の署名付き証明書を作成します。
構文
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
walletは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。
request (必須)は、作成する証明書の証明書リクエストの場所を指定します。
cert (必須)は、ツールによって新しい署名付き証明書が配置されるディレクトリの場所を指定します。
validity (必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。
orapki cert displayコマンドは、特定の証明書の詳細を表示します。
構文
orapki cert display -cert certificate_location [-summary|-complete]
certは、表示する証明書の場所を指定します。
-summaryパラメータまたは-completeパラメータのいずれかを使用して、次の情報を表示できます。
summaryを使用すると、証明書およびその有効期限が表示されます。
completeを使用すると、シリアル番号、公開鍵などの追加の証明書情報が表示されます。
orapki crl delete コマンドは、Oracle Internet Directoryから証明書失効リスト(CRL)を削除します。
orapkiを使用してディレクトリからCRLを削除するユーザーは、CRLAdmins(cn=CRLAdmins,cn=groups,%s_OracleContextDN%)ディレクトリ・グループのメンバーである必要があります。
前提条件
なし
構文
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
issuerは、CRLを発行した認証局(CA)の名前を指定します。
ldapは、CRLを削除するディレクトリのホスト名とSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。
このポートの詳細は、Oracle Internet DirectoryへのCRLのアップロードも参照してください。
userは、ディレクトリのCRLサブツリーからCRLを削除する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリから削除する前に、ツールによってCAの証明書に対するCRLの有効性が検証されます。
summaryはオプションです。削除されたCRL LDAPエントリが表示されます。
orapki crl displayコマンドは、Oracle Internet Directoryに格納されている指定された証明書失効リスト(CRL)を表示します。
構文
orapki crl display -crl crl_location [-wallet wallet_location] [-summary|-complete]
crlパラメータは、ディレクトリ内のCRLの場所を指定します。orapki crl listコマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。orapki crl listを参照してください。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLを表示する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
summaryおよびcompleteは、次の情報を表示します。
summaryを選択すると、CRL発行者名およびCRLの有効期間を含むリストが表示されます。
completeを選択すると、そのCRLに含まれるすべての失効した証明書のリストが表示されます。このオプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があることに注意してください。
orapki crl hashコマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にCRLファイル・システムの場所を特定します。
構文
orapki crl hash -crl crl_filename|URL [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]
crlは、CRLまたはCRLがあるURLを含むファイル名を指定します。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
オペレーティング・システムに応じて、-symlinkパラメータまたは-copyパラメータのいずれかを使用します。
(UNIX) symlinkは、crl_directoryの場所にCRLへのシンボリック・リンクを作成します。
(Windows) copyは、crl_directoryの場所にCRLのコピーを作成します。
summary (オプション)は、CRL発行者の名前を表示します。
orapki crl listコマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)のリストを表示します。
構文
特定のCRLを検出してローカル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。
orapki crl list -ldap hostname:ssl_port
ldapは、CRLリストの作成対象のディレクトリ・サーバーのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。
関連項目:
このポートの詳細は、Oracle Internet DirectoryへのCRLのアップロードを参照してください
orapki crl uploadコマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードします。
CRLをディレクトリにアップロードするには、ディレクトリ管理グループCRLAdmins(cn=CRLAdmins,cn=groups,%s_OracleContextDN%)のメンバーである必要があることに注意してください。
構文
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]
crlは、ディレクトリの場所またはディレクトリにアップロードするCRLが配置されているURLを指定します。
ldapは、CRLのアップロード先のディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。
このポートの詳細は、Oracle Internet DirectoryへのCRLのアップロードも参照してください。
userは、ディレクトリのCRLサブツリーにCRLを追加する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
walletは、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これは、オプションのパラメータです。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
summaryはオプションです。これを使用すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリが表示されます。
orapki wallet addコマンドは、証明書リクエストおよび証明書をOracleウォレットに追加します。
構文
証明書リクエストを追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keySize 512|1024|2048
walletは、証明書リクエストの追加先のウォレットの場所を指定します。
dnは、証明書の所有者の識別名を指定します。
keysizeは、証明書のキー・サイズを指定します。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。orapki wallet exportを参照してください
信頼できる証明書を追加するには:
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
trusted_certは、-certで指定された場所にある信頼できる証明書をウォレットに追加します。
ルート証明書を追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keySize 512|1024|2048 -self_signed -validity number_of_days
self_signedは、ルート証明書を追加します。
validityは必須です。これを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定します。
ユーザー証明書を追加するには:
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
user_certは、-certパラメータで指定された場所にあるユーザー証明書をウォレットに追加します。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
orapki wallet convertコマンドは、Oracleウォレットで3DESアルゴリズムを変換して、AES256アルゴリズムを使用します。
構文
orapki wallet convert -wallet wallet_location [-pwd password] [-compat_v12]
walletには、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。
pwdはウォレット・パスワードです。
compat_v12は、3DESからAES256への変換を行います。
orapki wallet createコマンドは、Oracleウォレットを作成またはOracleウォレットの自動ログインを有効化します。
構文
orapki wallet create -wallet wallet_location [-auto_login|-auto_login_local]
walletには、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。
auto_loginにより、自動ログイン・ウォレットが作成されるか、または、-walletオプションで指定されたウォレットの自動ログインが有効になります。
自動ログイン・ウォレットの詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。
auto_login_localにより、ローカル自動ログイン・ウォレットが作成されるか、または、-walletオプションで指定されたウォレットのローカル自動ログインが有効になります。
orapki wallet displayコマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示します。
構文
orapki wallet display -wallet wallet_location
walletは、開くウォレットの場所を指定します(そのウォレットが現在の作業ディレクトリにない場合)。
orapki wallet exportコマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートします。
構文
証明書をOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
walletは、証明書のエクスポート元のウォレットの場所を指定します。
dnは、証明書の識別名を指定します。
certは、エクスポートされる証明書を含むファイルの名前を指定します。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
requestは、エクスポートされる証明書リクエストを含むファイルの名前を指定します。
