3.4 証明書の検証と失効

証明書検証モジュールはセキュリティ・トークン・サービスによって使用され、X.509トークンを検証し、証明書が失効しているかどうかを検証します。

次のオプションがサポートされます。

• 証明書失効リスト(CRL)は、失効された証明書(シリアル番号により識別)のリストです。失効した証明書は、理由、発行日および発行エンティティとともにリストされます。(さらに、各リストには次のリリースの提示日が含まれます。)これらの(失効した)証明書を提示するエンティティは信頼されなくなります。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。詳細は、「証明書失効リスト機能の有効化」を参照してください。

• オンライン証明書ステータス・プロトコル(OCSP)は、CRLの代替として開発されました。OCSPでは、証明書のステータスに関する情報をリクエストするクライアント・アプリケーションが、リクエストに応答するサーバーからその情報を取得する方法を指定します。OCSP応答者は、リクエストで指定された証明書が適正、失効または不明であることを示す署名されたレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻します。詳細は、「OCSP証明書検証の有効化」および「追加のOCSP構成」を参照してください。

• CRL配布ポイント拡張機能(CDP拡張機能)には、証明書失効リスト(CRL)およびOCSPサーバーの場所に関する情報が含まれます。これらのポイントの定義には、管理コンソールを使用します。詳細は、「CRL配布ポイント拡張機能の有効化」を参照してください。

3.4.1 証明書失効リスト機能の有効化

Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、CRL機能を有効にし、現在の認証局証明書失効リスト(CA CRL)をインポートできます。開始する前に、CA CRLをインポート可能な状態にする必要があります。

有効にするには、次のようにします。

1. Oracle Access Managementコンソールの「構成」起動パッド・セクションで、「証明書検証」をクリックします。

   「証明書失効リスト」タブが表示されます。

2. 「有効」ボックスが選択されていることを確認します。
3. CRLを追加または削除します。

   • 追加: 「追加」ボタン(緑のプラス記号)をクリックし、CRLファイルを参照して選択し、「インポート」をクリックします。

   • 削除: 表内のリスト名をクリックし、「削除」(x)ボタンをクリックし、確認が表示されたら確認します。

   図3-5は、管理コンソールを使用してCA CRLをCRLリストに追加するために使用するポップアップ・ウィンドウのスクリーンショットです。

   図3-5 「証明書失効リスト」ダイアログ・ボックス

   
   「図3-5 「証明書失効リスト」ダイアログ・ボックス」の説明
4. 「適用」をクリックして、構成を保存します。
5. 「OCSP証明書検証の有効化」に進みます。

ノート:

表内のCRLを検索するには、「表示」ドロップダウンから「例による問合せ」を有効にします。表示されるヘッダー・フィールドにフィルタ文字列を入力し、[Enter]キーを押します。

3.4.2 OCSP証明書検証の有効化

Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用してOCSPを有効にできます。開始する前に、OCSPサービスのURLをインポート可能な状態にする必要があります。

有効にするには、次のようにします。

1. Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。

   「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。

2. 「OCSP/CDP」タブをクリックします。

   1. OCSPを有効にします。

   2. OCSPサービスのURLを入力します。

   3. OCSPサービスのサブジェクトDNを入力します。

   4. この構成を保存します。

   図3-6は、管理コンソールを使用してOCSP URLを追加する方法を示しています。WLSTコマンドを使用してこれを行う方法の詳細は、「WLST configureOAMOSCSPCertValidation」を参照してください。

   図3-6 OCSP/CDP設定

   
   「図3-6 OCSP/CDP設定」の説明

3. 「CRL配布ポイント拡張機能の有効化」に進みます。

3.4.3 CRL配布ポイント拡張機能の有効化

Oracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して発行された証明書にCRL配布ポイントを追加できます。

有効にするには、次のようにします。

1. Oracle Access Managementコンソールの「構成」セクションで、「証明書検証」をクリックします。

   「証明書失効リスト」ページが表示されます。「有効」ボックスが選択されていることを確認します。

2. 「OCSP/CDP」タブを開きます。

   1. CDPを有効にします。

   2. この構成を保存します。

   図3-6に、これを示します。

3.4.4 追加のOCSP構成

この11gリリース2 (11.1.2.3)のOracle Access Managerには、HTTPプロキシのサポートおよびいくつかのOCSP応答者構成が追加されています。

次の例に、現在の証明書検証モジュール構成を示します。

証明書検証モジュール構成

<Setting Name="CertValidationModule" Type="htf:map">
      <Setting Name="certpathvalidationocspcertsubject" 
          Type="xsd:string"></Setting>
      <Setting Name="certpathvalidationocspurl" Type="xsd:string"></Setting>
      <Setting Name="certvalidationcrlstorelocation" 
           Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/
           domains/base_domain/config/fmwconfig/amcrl.jar</Setting>
      <Setting Name="defaulttrustcastorelocation"     
           Type="xsd:string">/scratch/maymaria/installed/wlsHome/user_projects/
           domains/base_domain/config/fmwconfig/amtruststore</Setting>
      <Setting Name="defaulttrustcastoretype" Type="xsd:string">jks</Setting>
      <Setting Name="certpathvalidationcdpenabled" 
           Type="xsd:boolean">false</Setting>
      <Setting Name="certpathvalidationcrlenabled" 
           Type="xsd:boolean">false</Setting>
      <Setting Name="certpathvalidationocspenabled" 
           Type="xsd:boolean">false</Setting>
</Setting>

次の各行では、新しいこれらの機能の構成について説明します。

• WLST updateHTTPProxyConfig

• WLST configureOAMOSCSPCertValidation

• 複数のOCSP応答者の構成

3.4.4.1 複数のOCSP応答者の構成

証明書認証は、現在、「OCSP証明書検証の有効化」に示したとおり、単一のOCSP応答者に対する認証をサポートしています。今回、応答URLが認証局情報アクセス機能拡張の一部となったため、複数のOCSP応答者のサポートが追加されました。

複数のOCSP応答者をサポートするには、次の例「複数のOCSP応答者の構成」内の3行の構成を、証明書検証モジュール構成セクションの一番上に追加する必要があります(次の例を参照)。

複数のOCSP応答者の構成

<Setting Name="CertValidationModule" Type="htf:map">
      <Setting Name="certpathvalidationocspurltocamap" Type="htf:map">
      <Setting Name="<url_value>" Type="xsd:string">
          <ocsp_responder_subject></Setting>
      </Setting>
      <Setting Name="useJDKOCSP" Type="xsd:string">false</Setting>
      ...
</Setting>

1行目および2行目を、複数のOCSP応答者を有効にするように構成します。

• certpathvalidationocspenabledをtrueに設定します。

• certpathvalidationocspurltocamap構成を更新します。タイプはMap、キーはOCSP応答者URL (エンコードされたURL)、値はOCSP応答者の証明書サブジェクトです。

  <Setting Name="certpathvalidationocspurltocamap" Type="htf:map">
       <Setting Name=" http%3A%2F%2Flocalhost%3A9797" Type="xsd:string">
       emailAddress=sagar@pspl.com,CN=ps2436,OU=OBLIX-QA,O=PSPL,
       L=PUNE,ST=MAHA,C=MY</Setting>
  </Setting>
  

• (オプション) certpathvalidationocspcertsubjectおよびcertpathvalidationocspurlの値を設定します。

応答者URLは、最初はユーザーのX.509証明書のAuthorityInformationAccess拡張機能から、次はモジュール/プラグイン(CertValidation)からフェッチされます。応答者サブジェクトは、最初は定義済の構成マップから、次はモジュール/プラグイン(CertValidation)構成からフェッチされます。これらの構成が見つからない場合、OCSP検証は失敗します。

3行目は、新しいOAM OCSPチェッカではなくJDK OCSP検証を使用する場合に、下位互換性を提供するように構成します。デフォルトでは、JDK OCSPチェッカが有効になっています。WLSTコマンドを使用してOAM OCSPチェッカを構成すると、フラグがfalseに設定されます。WLSTコマンドの詳細は、「WLST configureOAMOSCSPCertValidation」を参照してください。

証明書検証モジュールの構成により、表3-5に示す3種類のオプションがあります。

表3-5 OCSP応答者の構成のオプション

構成	OCSP構成(certpathvalidationocspenabled)	CRL構成(certpathvalidationcrlenabled)	JDK/OAM OCSP構成(useJDKOCSP)
OCSPチェックなし OAM X-509認証の際に、単純な証明書検証が実行される	False	False	False
OAM OCSP X-509認証で、新しいOAM OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する	True	True/False (どちらでもよい)	False
JDK OCSP X-509認証で、JDK OCSPチェッカを使用したOCSPチェックのある証明書検証を実行する	True	True	True

構成済の応答者URLの1つを使用して実行されるOCSP検証を有効にするには、certpathvalidationcrlenabledおよびcertpathvalidationocspenabledプロパティをtrueに設定し、certpathvalidationocspcertsubjectおよびcertpathvalidationocspurlプロパティの値を設定します。これらのプロパティが設定されていない場合、OCSP検証は、ユーザー証明書のAIA拡張機能内で定義されている応答者URLを使用して行われます。URLが定義されていない場合、OCSP検証は失敗します。