Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
証明書検証モジュールはセキュリティ・トークン・サービスによって使用され、X.509トークンを検証し、証明書が失効しているかどうかを検証します。
次のオプションがサポートされます。
証明書失効リスト(CRL)は、失効された証明書(シリアル番号により識別)のリストです。失効した証明書は、理由、発行日および発行エンティティとともにリストされます。(さらに、各リストには次のリリースの提示日が含まれます。)これらの(失効した)証明書を提示するエンティティは信頼されなくなります。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。詳細は、「証明書失効リスト機能の有効化」を参照してください。
オンライン証明書ステータス・プロトコル(OCSP)は、CRLの代替として開発されました。OCSPでは、証明書のステータスに関する情報をリクエストするクライアント・アプリケーションが、リクエストに応答するサーバーからその情報を取得する方法を指定します。OCSP応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻します。詳細は、「OCSP証明書検証の有効化」および「追加のOCSP構成」を参照してください。
CRL配布ポイント拡張機能(CDP拡張機能)には、証明書失効リスト(CRL)およびOCSPサーバーの場所に関する情報が含まれます。これらのポイントの定義には、管理コンソールを使用します。詳細は、「CRL配布ポイント拡張機能の有効化」を参照してください。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、CRL機能を有効にし、現在の認証局証明書失効リスト(CA CRL)をインポートできます。開始する前に、CA CRLをインポート可能な状態にする必要があります。
有効にするには、次のようにします。
ノート:
表内のCRLを検索するには、「表示」ドロップダウンから「例による問合せ」を有効にします。表示されるヘッダー・フィールドにフィルタ文字列を入力し、[Enter]キーを押します。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用してOCSPを有効にできます。開始する前に、OCSPサービスのURLをインポート可能な状態にする必要があります。
有効にするには、次のようにします。
Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。
「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。
「OCSP/CDP」タブをクリックします。
OCSPを有効にします。
OCSPサービスのURLを入力します。
OCSPサービスのサブジェクトDNを入力します。
この構成を保存します。
図3-6は、管理コンソールを使用してOCSP URLを追加する方法を示しています。WLSTコマンドを使用してこれを行う方法の詳細は、「WLST configureOAMOSCSPCertValidation」を参照してください。
「CRL配布ポイント拡張機能の有効化」に進みます。
Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して発行された証明書にCRL配布ポイントを追加できます。
有効にするには、次のようにします。
Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。
「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。
「OCSP/CDP」タブを開きます。
CDPを有効にします。
この構成を保存します。
図3-6に、これを示します。
この11gリリース2 (11.1.2.3)のOracle Access Managerには、HTTPプロキシのサポートおよびいくつかのOCSP応答者構成が追加されています。
次の例に、現在の証明書検証モジュール構成を示します。
証明書検証モジュール構成
<Setting Name="CertValidationModule" Type="htf:map"> <Setting Name="certpathvalidationocspcertsubject" Type="xsd:string"></Setting> <Setting Name="certpathvalidationocspurl" Type="xsd:string"></Setting> <Setting Name="certvalidationcrlstorelocation" Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/ domains/base_domain/config/fmwconfig/amcrl.jar</Setting> <Setting Name="defaulttrustcastorelocation" Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/ domains/base_domain/config/fmwconfig/amtruststore</Setting> <Setting Name="defaulttrustcastoretype" Type="xsd:string">jks</Setting> <Setting Name="certpathvalidationcdpenabled" Type="xsd:boolean">false</Setting> <Setting Name="certpathvalidationcrlenabled" Type="xsd:boolean">false</Setting> <Setting Name="certpathvalidationocspenabled" Type="xsd:boolean">false</Setting> </Setting>
次の各行では、新しいこれらの機能の構成について説明します。
複数のOCSP応答者をサポートするには、次の例「複数のOCSP応答者の構成」内の3行の構成を、証明書検証モジュール構成セクションの一番上に追加する必要があります(次の例を参照)。
複数のOCSP応答者の構成
<Setting Name="CertValidationModule" Type="htf:map"> <Setting Name="certpathvalidationocspurltocamap" Type="htf:map"> <Setting Name="<url_value>" Type="xsd:string"> <ocsp_responder_subject></Setting> </Setting> <Setting Name="useJDKOCSP" Type="xsd:string">false</Setting> ... </Setting>
1行目および2行目を、複数のOCSP応答者を有効にするように構成します。
certpathvalidationocspenabled
をtrueに設定します。
certpathvalidationocspurltocamap
構成を更新します。タイプはMap、キーはOCSP応答者URL (エンコードされたURL)、値はOCSP応答者の証明書サブジェクトです。
<Setting Name="certpathvalidationocspurltocamap" Type="htf:map"> <Setting Name=" http%3A%2F%2Flocalhost%3A9797" Type="xsd:string"> emailAddress=sagar@pspl.com,CN=ps2436,OU=OBLIX-QA,O=PSPL, L=PUNE,ST=MAHA,C=MY</Setting> </Setting>
(オプション) certpathvalidationocspcertsubject
およびcertpathvalidationocspurl
の値を設定します。
応答者URLは、最初はユーザーのX.509証明書のAuthorityInformationAccess拡張機能から、次はモジュール/プラグイン(CertValidation)からフェッチされます。応答者サブジェクトは、最初は定義済の構成マップから、次はモジュール/プラグイン(CertValidation)構成からフェッチされます。これらの構成が見つからない場合、OCSP検証は失敗します。
3行目は、新しいOAM OCSPチェッカではなくJDK OCSP検証を使用する場合に、下位互換性を提供するように構成します。デフォルトでは、JDK OCSPチェッカが有効になっています。WLSTコマンドを使用してOAM OCSPチェッカを構成すると、フラグがfalseに設定されます。WLSTコマンドの詳細は、「WLST configureOAMOSCSPCertValidation」を参照してください。
証明書検証モジュールの構成により、表3-5に示す3種類のオプションがあります。
表3-5 OCSP応答者の構成のオプション
構成 | OCSP構成(certpathvalidationocspenabled) | CRL構成(certpathvalidationcrlenabled) | JDK/OAM OCSP構成(useJDKOCSP) |
---|---|---|---|
OCSPチェックなし OAM X-509認証の際に、単純な証明書検証が実行される |
False |
False |
False |
OAM OCSP X-509認証で、新しいOAM OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する |
True |
True/False (どちらでもよい) |
False |
JDK OCSP X-509認証で、JDK OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する |
True |
True |
True |
構成済の応答者URLの1つを使用して実行されるOCSP検証を有効にするには、certpathvalidationcrlenabled
およびcertpathvalidationocspenabled
プロパティをtrueに設定し、certpathvalidationocspcertsubject
およびcertpathvalidationocspurl
プロパティの値を設定します。これらのプロパティが設定されていない場合、OCSP検証は、ユーザー証明書のAIA拡張機能内で定義されている応答者URLを使用して行われます。URLが定義されていない場合、OCSP検証は失敗します。