| Oracle® Traffic Director管理者ガイド 11g リリース1 (11.1.1.9) B66436-05 |
|
 前 |
 次 |
この項には次のトピックが含まれます:
|
注意:
|
証明書にCAによる署名が必要ない場合、または、CAが証明書の署名プロセス中にSSL/TLSの実装をテストする場合、自己署名証明書を作成できます。
自己署名証明書を使用して、Oracle Traffic Director仮想サーバーのSSL/TLSを有効化している場合、クライアントが仮想サーバーのhttps:// URLにアクセスすると、署名しているCAが不明であり信頼されていないことを示すエラー・メッセージが表示されます。接続を続行するために、クライアントは、自己署名証明書を信頼するように選択できます。
管理コンソールまたはCLIのいずれかを使用して、自己署名証明書を作成できます。
始める前に
自己署名証明書または証明書署名リクエストを作成する前に、次の項目を決定します。
DNS参照で使用される完全修飾ホスト名(例: www.example.com)。
クライアント・リクエストのホスト名が、証明書上の名前と一致しない場合、クライアントに、証明書のサーバー名がホスト名と一致しないことが通知されます。
|
注意: 高可用性のシナリオでは、サーバーの証明書のサーバー名(CN)と、OTDインスタンスがリスニングするVIPのホスト名が一致している必要があります。 |
証明書のニックネーム(自己署名証明書を作成する場合にのみ必要)。
証明書の月単位の有効期間(自己署名証明書を作成する場合にのみ必要)。
鍵のタイプ(RSAまたはECC)。
Oracle Traffic Directorは、従来のRSAタイプの鍵、およびより高度な楕円曲線暗号(ECC)鍵の生成をサポートしています。ECCは、演算処理の高速化、電力消費の低減およびメモリーと帯域幅の節約を図れる、小さいサイズの鍵と同等のセキュリティを提供します。
鍵サイズ(RSA)または曲線(ECC)。
RSA鍵では、1024、2048、3072または4096ビットを指定できます。鍵の桁が多いほど、暗号化の強度は向上しますが、Oracle Traffic Directorは生成するのにより長い時間を必要とします。
ECCでは、鍵のペアを生成するための曲線を指定する必要があります。Oracle Traffic Directorは、次の曲線をサポートしています。prime256v1、secp256r1、nistp256、secp256k1、secp384r1、nistp384、secp521r1、nistp521、sect163k1、nistk163、sect163r1、sect163r2、nistb163、sect193r1、sect193r2、sect233k1、nistk233、sect233r1、nistb233、sect239k1、sect283k1、nistk283、sect283r1、nistb283、sect409k1、nistb409、sect571k1、nistk571、sect571r1、nistb571、secp160k1、secp160r1、secp160r2、secp192k1、secp192r1、nistp192、secp224k1、secp224r1、nistp224、prime192v1
管理コンソールを使用した自己署名証明書の作成
管理コンソールを使用して自己署名証明書を作成するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
自己署名証明書を作成する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」を選択します。
「サーバー証明書」ページが表示されます。
「新規自己署名証明書」ボタンをクリックします。
新規自己署名証明書ウィザードが開始されます。
|
注意: 構成の証明書および鍵が格納されるPKCS#11トークンがPINによって保護されている場合、ウィザードの最初の画面には、トークンを選択し、PINを入力するためのプロンプトが表示されます。
管理コンソール・セッションで、トークンのPINを繰返し入力しないで済むようにするために、「管理コンソール・セッションでのトークンのPINのキャッシュ」の説明に従い、PINをキャッシュできます。 |
画面上のプロンプトに従い、前に決定済の詳細(サーバー名、証明書のニックネーム、有効性、鍵タイプなど)を使用して、証明書の作成を完了します。
証明書が作成された後、新規自己署名証明書ウィザードの「結果」画面に証明書の作成が成功したことを示すメッセージが表示されます。
「閉じる」をクリックします。
「コンソール・メッセージ」ペインに、証明書が作成されたことを確認するメッセージが表示されます。
作成した証明書は、「サーバー証明書」ページに表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用した自己署名証明書の作成
自己署名証明書を作成するには、次の例に示すように、create-selfsigned-certコマンドを実行します。
tadm> create-selfsigned-cert --config=soa --server-name=soa.example.com
--nickname=cert-soa
OTD-70201 Command 'create-selfsigned-cert' ran successfully.
このコマンドでは、構成soaのサーバーsoa.example.comに対して、ニックネームcert-soaでデフォルト期間である12か月間有効な自己署名証明書が作成されます。鍵タイプおよびその他のパラメータは指定されていないため、長さが2048ビット(デフォルト)であるRSAタイプ(デフォルト)の証明書が作成されます。
更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
create-selfsigned-certの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
認証局(CA)によって署名された証明書を取得するには、「証明書署名リクエスト(CSR)」をCAに送信し、必要に応じて規定の料金を支払ったら、CAによってリクエストが承認され証明書が付与されるのを待ちます。
CSRは、サーバー名、組織名、国などの情報を含むデジタル・ファイル(Base-64でエンコーディングされたPEM形式の暗号化済テキスト・ブロック)です。また、証明書に含められる公開鍵も含まれます。
Oracle Traffic Directorの管理コンソールまたはCLIのいずれかを使用して、CSRを作成できます。
始める前に
CSRの作成を開始する前に、サーバー名、鍵タイプ、鍵サイズ(RSA用)または曲線(ECC用)を、11.4.1項「自己署名証明書の作成」の説明に従い決定します。
|
注意: 高可用性のシナリオでは、サーバーの証明書のサーバー名(CN)と、OTDインスタンスがリスニングするVIPのホスト名が一致している必要があります。 |
管理コンソールを使用したCSRの作成
管理コンソールを使用してCSRを作成するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
CSRを作成する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」を選択します。
「サーバー証明書」ページが表示されます。
「証明書リクエストの作成」ボタンをクリックします。
「証明書署名リクエストの作成」ウィザードが起動されます。
|
注意: 構成の証明書および鍵が格納されるPKCS#11トークンがPINによって保護されている場合、ウィザードの最初の画面には、トークンを選択し、PINを入力するためのプロンプトが表示されます。
管理コンソール・セッションで、トークンのPINを繰返し入力しないで済むようにするために、「管理コンソール・セッションでのトークンのPINのキャッシュ」の説明に従い、PINをキャッシュできます。 |
画面上のプロンプトに従い、前に決定済の詳細(サーバー名、鍵タイプなど)を使用して、CSRの作成を完了します。
CSRが作成された後、「証明書署名リクエストの作成」ウィザードの「結果」画面に、次の例に示すように、CSRの暗号化されたテキストが表示されます。
-----BEGIN NEW CERTIFICATE REQUEST----- MIICmDCCAYACAQAwDDEKMAgGA1UEAxMBeTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBAMBzgU1mQJrQYQOiedKVpQVedJplQT1gh943RfNfCsl6VbD1Kid8 ... lines deleted ... v6PWA9azqAfnJ8IriK6xTMQ54oQNzSALEKvIGb+jBUUzo2S+UiEr+VXvfPAdHnPX 2ZBCA4qvPr477lETgPphfxDjjvvH+EKrZMClM4JkJ4g3p+X0X+5vz53w964= -----END NEW CERTIFICATE REQUEST-----
ヘッダー行BEGIN NEW CERTIFICATE REQUESTおよびフッター行END NEW CERTIFICATE REQUESTを含むCSRテキストをコピーし格納して、「閉じる」をクリックします。
CSRには、SSLを有効化するOracle Traffic Directorサーバーのアイデンティティを確認するためにCAが必要とする公開鍵およびその他の情報が含まれます。秘密鍵は、INSTANCE_HOME/net-config_name/config/key4.dbファイルに暗号化された形式で格納されます。
これで、選択したCAに証明書の署名料金とともにCSRを送信できるようになりました。
CLIを使用したCSRの作成
CSRを作成するには、次の例に示すように、create-cert-requestコマンドを実行します。
tadm> create-cert-request--config=soa --server-name=soa.example.com
--token=internal
OTD-70201 Command 'create-selfsigned-cert' ran successfully.
このコマンドでは、CSRが作成され、「管理コンソールを使用した自己署名証明書の作成」に示すように、CSRの暗号化されたテキストが表示されます。
更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
create-cert-requestの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
作成したCSRに対応する、CA署名証明書を取得した後、11.4.3項「証明書のインストール」の説明に従い、適切な構成に証明書をインストールする必要があります。
管理コンソールまたはCLIのいずれかを使用して、自己署名またはCA署名の証明書をインストールできます。また、pk12utilユーティリティを使用して既存の証明書をインストールすることもできます。
この項には次のトピックが含まれます:
管理コンソールを使用した自己署名またはCA署名の証明書のインストール
管理コンソールを使用して自己署名またはCA署名の証明書をインストールするには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書をインストールする構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」または「認証局」を選択します。
自己署名証明書またはCA署名証明書をインストールするには、「サーバー証明書」を選択します。
ルート証明書または証明書チェーンをインストールするには、「認証局」を選択します。
「証明書のインストール」ボタンをクリックします。
「サーバー証明書」ページまたは「認証局」ページのいずれの「証明書のインストール」ボタンをクリックしたかによって、証明書のインストール・ウィザードまたはサーバー証明書のインストール・ウィザード(図11-3)が起動されます。
|
注意: 構成の証明書および鍵が格納されるPKCS#11トークンがPINによって保護されている場合、ウィザードの最初の画面には、トークンを選択し、PINを入力するためのプロンプトが表示されます。
管理コンソール・セッションで、トークンのPINを繰返し入力しないで済むようにするために、「管理コンソール・セッションでのトークンのPINのキャッシュ」の説明に従い、PINをキャッシュできます。 |
.pemファイルから証明書テキストを貼り付けるか、証明書ファイルのパス名を指定します。
証明書のテキストを貼り付けることを選んだ場合、次の例に示すように、ヘッダーのBEGIN CERTIFICATEおよびEND CERTIFICATEを始まりと終わりのハイフンを含めて、貼り付けるようにします。
-----BEGIN CERTIFICATE----- MIIEuTCCA6GgAwIBAgIQQBrEZCGzEyEDDrvkEhrFHTANBgkqhkiG9w0BAQsFADCB vTELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL ... lines deleted ... lRQOfc2VNNnSj3BzgXucfr2YYdhFh5iQxeuGMMY1v/D/w1WIg0vvBZIGcfK4mJO3 7M2CYfE45k+XmCpajQ== -----END CERTIFICATE-----
パス名を指定する場合は、ファイルが管理サーバーにあることを確認してください。
画面上のプロンプトに従い、証明書のインストールを完了します。
CLIを使用した自己署名またはCA署名の証明書のインストール
自己署名またはCA署名の証明書をインストールするには、次の例に示すように、install-certコマンドを実行します。
tadm> install-cert --config=soa --token=internal --cert-type=server --nickname=soa-cert /home/admin/certs/verisign-cert.cer
--cert-typeオプションでは、証明書タイプ(サーバーまたはCA)を指定します。このコマンドでは、構成soaにニックネームsoa-certでサーバー証明書がインストールされます。CA証明書をインストールするには、--cert-typeオプションでcaを指定します。--nicknameオプションは、caおよびchain証明書タイプをインストールする場合には必須ではありません。
更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
install-certの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
pk12utilを使用した既存の証明書のインストール
コマンドライン・ユーティリティpk12utilを使用して、既存の証明書と秘密鍵を内部または外部のPKCS#11モジュールにインポートできます。デフォルトでpk12utilは、証明書と秘密鍵データベース(cert7.dbおよびkey3.db)を使用します。
既存の証明書をインストールするには、次の手順を実行します。
パスにORACLE_HOME/libを追加します。
次のようにpk12utilコマンドを実行します。
pk12util -i importfile [-d certdir] [-P dbprefix] [-h tokenname] [-k slotpwfile | -K slotpw] [-w p12filepwfile | -W p12filepw] [-v]
|
注意:
|
たとえば、次のコマンドはPKCS12でフォーマットされた証明書をNSS証明書データベースにインポートします。
pk12util -i certandkey.p12 [-d certdir][-h "nCipher"][-P https-jones.redplanet.com-jones- ]
データベースまたはトークンのパスワード(あるいはその両方)を入力します。PKCS#11トークンの詳細は、11.5項「PKCS#11トークンの管理」を参照してください。
インストールした証明書を1つ以上のリスナーに関連付けます。詳細は、11.2.2項「リスナーのSSL/TLSの構成」を参照してください。
管理コンソールまたはCLIのいずれかを使用して、構成にインストールされている証明書のリストを表示できます。
管理コンソールを使用した証明書のリストの表示
管理コンソールを使用して構成にインストールされている証明書のリストを表示するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書を表示する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」または「認証局」を選択します。
構成にインストールされている自己署名証明書またはCA署名証明書を表示するには、「サーバー証明書」を選択します。
ルート証明書または証明書チェーンを表示するには、「認証局」を選択します。
結果のページに、インストールされている証明書が表示されます。
|
注意: 選択した構成でトークンに対してPINが有効化されている場合、インストールされている証明書は表示されません。かわりに、トークンのPINを入力するメッセージがページに表示されます。
|
CLIを使用した証明書のリストの表示
構成にインストールされた証明書のリストを表示するには、次の例に示すようにlist-certsコマンドを実行します。
次のコマンドでは、構成soaのサーバー証明書のリストが表示されます。
tadm> list-certs --config=soa --verbose --all
nickname issuer-name expiry-date
-------------------------------------------
cert-adf adf "Aug 17, 2012 5:32:40 AM"
cert-soa soa "Aug 17, 2012 5:32:26 AM"
次のコマンドでは、構成soaにインストールされたCA証明書の部分的なリストが表示されます。
tadm> list-certs --config=soa --server-type=ca --verbose --all
nickname issuer-name expiry-date
-------------------------------------------
"Builtin Object Token:GlobalSignRootCA" "GlobalSign" "Jan 28, 2028 4:00:00 AM"
"Builtin Object Token:GlobalSignRootCA-R2" "GlobalSign" "Dec 15, 2021 12:00:00 AM"
証明書のプロパティを表示するには、次の例に従い、get-cert-propコマンドを実行します。
tadm> get-cert-prop --config=soa --nickname=cert-soa
nickname=cert-soa
subject="CN=soa.example.com"
server-name=soa.example.com
issuer="CN=soa.example.com"
serial-number=00:95:9C:34:04
fingerprint=34:E7:52:5E:3F:0A:EE:30:ED:BF:96:81:DD:1E:A3:02
key-type=rsa
key-size=2048
issue-date=Sep 14, 2011 12:22:41 AM
expiry-date=Sep 14, 2012 12:22:41 AM
is-expired=false
is-read-only=false
is-self-signed=true
is-user-cert=true
is-ca-cert=false
has-crl=false
|
注意: 指定した構成でPINがトークンに対して有効化されている場合、list-certsおよびget-cert-propコマンドを実行する際トークンPINを入力するプロンプトが表示されます。 |
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
証明書を更新するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書を更新する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」を選択します。
結果のページに、インストールされているサーバー証明書が表示されます。
|
注意: 選択した構成でトークンに対してPINが有効化されている場合、インストールされている証明書は表示されません。かわりに、トークンのPINを入力するメッセージがページに表示されます。
|
更新する証明書の「更新」ボタンをクリックします。
「サーバー証明書の更新」ダイアログ・ボックスが表示されます。
新しい有効期間を指定し、「次」をクリックします。
「証明書の更新」をクリックします。
「閉じる」をクリックします。
「コンソール・メッセージ」ペインに、指定した期間に対して証明書が更新されたことを確認するメッセージが表示されます。
証明書の新しい有効期限が、「サーバー証明書」ページに表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
管理コンソールまたはCLIのいずれかを使用して、構成の証明書を削除できます。
管理コンソールを使用した証明書の削除
管理コンソールを使用して構成内の証明書を削除するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書を削除する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」または「認証局」を選択します。
自己署名証明書またはCA署名証明書を削除するには、「サーバー証明書」を選択します。
ルート証明書または証明書チェーンを削除するには、「認証局」を選択します。
結果のページに、インストールされている証明書が表示されます。
|
注意: 選択した構成でトークンに対してPINが有効化されている場合、インストールされている証明書は表示されません。かわりに、トークンのPINを入力するメッセージがページに表示されます。
|
削除する証明書の「削除」ボタンをクリックします。
1つ以上のリスナーが削除中の証明書と関連付けられている場合、その証明書を削除できないことを示すメッセージが表示されます。
削除中の証明書が、いずれのリスナーにも関連付けられていない場合、証明書の削除を確認するプロンプトが表示されます。
「OK」をクリックして進みます。
「コンソール・メッセージ」ペインに、証明書が削除されたことを確認するメッセージが表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用した証明書の削除
証明書を削除するには、delete-certコマンドを実行します。
たとえば、次のコマンドでは、構成soaからニックネームrsa-cert-1の証明書が削除されます。
tadm> delete-cert --token=internal --config=soa rsa-1
削除しようとしている証明書が1つ以上のリスナーに関連付けられている場合、次のメッセージが表示されます。
OTD-64309 Certificate 'rsa-1' is being referred by listeners: listener1,listenerN
--forceオプションを指定することで、証明書を強制的に削除できます。
更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
delete-certの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
Oracle Traffic Directorの組込み証明書データベースには、VeriSignなどの一般的な商用CAからの証明書を含む、事前インストール済のルート証明書がいくつか含まれます。また、管理コンソールおよびCLIを使用して、特定のCAによって署名された証明書を信頼するようにOracle Traffic Directorを構成できます。
管理コンソールを使用した証明書の信頼フラグの構成
管理コンソールを使用して、Oracle Traffic Directorが特定のCAによって署名された証明書を信頼するかどうかを指定するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書信頼フラグを変更する構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「認証局を選択します。
結果のページに、インストールされている証明書が表示されます。
|
注意: 選択した構成でトークンに対してPINが有効化されている場合、インストールされている証明書は表示されません。かわりに、トークンのPINを入力するメッセージがページに表示されます。
|
信頼フラグを変更する証明書のニックネームをクリックします。
「認証局の編集」ダイアログ・ボックスが表示されます。
「クライアント証明書の署名について信頼済」または「サーバー証明書の署名について信頼済」チェック・ボックスを必要に応じて選択します。
「保存」をクリックします。
「コンソール・メッセージ」ペインに、選択した証明書の信頼フラグが更新されたことを確認するメッセージが表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用した証明書の信頼フラグの構成
Oracle Traffic Directorが特定のCAによって署名された証明書を信頼するかどうかを指定するには、set-cert-trust-propコマンドを実行します。
たとえば、次のコマンドでは、クライアントとサーバーの証明書を署名するために信頼する証明書が、構成soaにニックネームVisa eCommerce Rootで構成されます。
tadm> set-cert-trust-prop --config=soa --nickname="Visa eCommerce Root"
is-client-ca=true is-server-ca=true
OTD-70201 Command 'set-cert-trust-prop' ran successfully.
更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
set-cert-trust-propの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。
