44.5 証明書検証の管理

証明書検証には信頼アンカー・ストア(.amtruststore)が必要です。

セキュリティ・トークン・サービスの証明書検証の条件(OSTS証明書検証条件)

STSでは、次の場合に証明書を検証します。

表44-4に、検証が成功するための要件を示します。

表44-4 証明書検証が成功するための要件

証明書が次の状態であること	方法
信頼できるアンカーにリンクされていること:	信頼できるアンカーになるまたは発行者を信頼できるアンカーにする
取り消されていないこと: 信頼できるアンカーになるまたは発行者を信頼できるアンカーにする	証明書の取消ステータスは、次のものを確認することで判断できます。管理者によってアップロードされたCRLのリスト OCSPサーバー CRL配布ポイント

証明書が次の状態であること

方法

信頼できるアンカーにリンクされていること:

取り消されていないこと:

証明書の取消ステータスは、次のものを確認することで判断できます。

このストアおよび検証を管理するには、次のタスクを実行する必要があります。

44.5.1 信頼アンカー・ストア(amtruststore)の管理

信頼アンカー・キーストアは、keytoolコマンドを使用して管理されます。

キーストアに追加された証明書は、証明書検証モジュールによって検出されます。

ノート:

通知はJMX通知フレームワークを使用して実行されますが、通知のリフレッシュ時間(デフォルトでは60秒)に応じて時間を要する場合があります。

信頼アンカー・ストア(amtruststore)を管理するための前提条件

信頼アンカー・ストア(amtruststore)を管理するには、次のようにします。

次のコマンドを実行します。

keytool -keystore $DOMAIN_HOME/config/fmwconfig/amtruststore 
-storetype JKS -alias orakey -file $CERT_FILE

セキュリティ・トークン・サービスでは、共通インフラストラクチャ証明書検証モジュールが使用されます。証明書の検証中に使用される信頼できる証明書および証明書失効リスト(CRL)は、信頼キーストアおよびCRLのZIPファイルに格納されます。

Security Token Serviceの構成には、OCSP/CDPの設定が格納されます。証明書の失効ステータスを確認し、次の操作を実行するために証明書失効リスト(CRL)を追加または削除できます。

証明書失効リストをインポート可能な状態にする必要があります。

証明書検証および失効リストを管理するには、次のタスクを実行する必要があります。

オプションで、特定のデプロイメントにAccess Managerの信頼アンカーとは別の信頼アンカーのセットが必要な場合、別のキーストアをセキュリティ・トークン・サービスの信頼できる証明書ストアとして構成できます。

これを実行するには、管理者が次のタスクを実行しておく必要があります。

ノート:

信頼できる証明書のカスタム・キーストアをデプロイできます。

カスタム・キーストアをデプロイするには、次のようにします。

$DOMAIN_HOME/config/fmwconfigディレクトリにJKSキーストアを作成します。
Oracle Access Managementコンソールの「Security Token Serviceの設定」ページで、新しい信頼ストアのフルパス名を入力し、変更を適用します。
セキュリティ・トークン・サービスがデプロイされているドメインで、管理者がカスタム信頼アンカー・キーストアをすべてのサーバーに手動で伝播する必要があります。