PKCS#11トークンは、公開鍵暗号化標準(PKCS) 11に準拠した、デジタル証明書およびキーを格納できるセキュリティ・データベースへのソフトウェアまたはハードウェア・インタフェースです。Oracle Traffic Directorには、組込みネットワーク・セキュリティ・サービス(NSS)証明書データベースへのインタフェースを提供するinternal
という名前のトークンが含まれます。他のPKCS#11準拠のデータベースが管理サーバー・ホスト上で使用可能な場合、Oracle Traffic Directorは、自動的にこれらを認識し、ハードウェア・アクセラレータおよびスマート・カードなどの物理デバイスを介して実装されるトークンも含め対応するトークンを公開します。
Oracle Traffic Directorに対するPKCS#11トークンの初期化を有効化および無効化でき、トークンのPINを有効化できます。
PKCS#11トークンの初期化が構成に対して有効化されている場合、およびPINがトークンのいずれかに有効化されている場合、構成のインスタンスの起動を試みると、PINが有効化されているトークンのPINを入力するためのプロンプトが表示されます。
インスタンスの起動時に毎回トークンのPINを入力しないで済むように、PINを指定する際、この項で後述するように、構成ファイルにPINを保存するように選択できます。
構成内でトークンのPINが有効化されている場合、いかなる目的でも(たとえば、インストール済の証明書を表示する、または証明書をインストールするなど)トークンによって示されている証明書データベースにアクセスする場合は、トークンを選択し、トークンのPINを入力するためのプロンプトが表示されます。トークンのPINを繰返し入力しないで済むようにするために、「管理コンソール・セッションでのトークンのPINのキャッシュ」の説明に従い、PINをキャッシュできます。
管理コンソールまたはCLIのいずれかを使用して、PKCS#11を構成できます。
管理コンソールを使用したPKCS#11設定の構成
管理コンソールを使用してPKCS#11トークンを構成するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
トークンを構成する構成を選択します。
ナビゲーション・ペインで、「SSL」を選択します。
「SSL設定」ページが表示されます。「暗号トークン」セクションには、PKCS#11トークンに関連するパラメータが含まれます。
PKCS#11トークンの初期化を有効化するには、「PKCS#11トークン」チェック・ボックスを選択します。
Oracle Traffic Directorで、SSL/TLSプロセス中のPKCS#11層の処理を省略するには、「PKCS#11バイパスの許可」チェック・ボックスを選択します。PKCS#11層を省略するとパフォーマンスが向上します。
トークンを有効化または無効化したり、トークンのPINを設定または変更したりするには、トークンの名前をクリックします。
「トークンの編集」ダイアログ・ボックスが表示されます。
トークンを有効化するには、「トークンの状態」チェック・ボックスを選択します。
トークンのPINを有効化するには、「トークンPINの設定」チェック・ボックスを選択します。
新しいPINを入力し、確認します。
トークンのPINを変更するには、「トークンPINの編集」チェック・ボックスを選択します。
現在のPINを入力し、続いて新しいPINを入力して、確認します。
トークンのPINを無効化するには、「トークンPINの編集」チェック・ボックスを選択します。
現在のPINを入力し、「PINの設定解除」チェック・ボックスを選択します。
注意:
|
フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、「保存」ボタンが有効になります。
必要な変更を行った後、「保存」をクリックします。
更新された構成が保存されたことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用したPKCS#11設定の構成
PKCS#11トークンの初期化を有効化または無効化するには、次の例に示すように、set-pkcs11-prop
コマンドを実行します。
tadm> set-pkcs11-prop --config=soa enabled=true
OTD-70201 Command 'set-pkcs11-prop' ran successfully.
構成内の使用可能なPKCS#11トークンを表示するには、次の例に示すように、list-tokens
コマンドを実行します。
tadm> list-tokens --config=soa --verbose --all
name enabled has-saved-pin
---------------------------------------------
internal false false
トークンを有効化または無効化するには、次の例に示すように、set-token-prop
コマンドを実行します。
tadm> set-token-prop --config=soa --token=internal enabled=true
OTD-70201 Command 'set-token-prop' ran successfully.
トークンのPINを設定または変更するには、次の例に示すように、set-token-pin
コマンドを実行します。
tadm> set-token-pin --config=soa --token=internal
トークンがPINによってすでに保護されている場合、現在のPINを入力するプロンプトが表示されます。現在のPINを入力し、プロンプトが表示されたら、新しいPINを入力し、確認します。
注意: PKCS#11トークンの初期化を有効化し(set-pkcs11-prop ... enabled=true )、PINがトークンのいずれかに有効化されている場合、構成のインスタンスの起動または再起動を試みると、PINが有効化されているトークンのPINを入力するためのプロンプトが表示されます。PINのプロンプトが表示されないようにするには、set-token-pin コマンドで--save-pin=true オプションを指定し、構成ファイルにPINを保存します。 |
更新された構成を有効にするには、deploy-config
コマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。
管理コンソール・セッションでのトークンPINのキャッシュ
構成内でトークンのPINが有効化されている場合、いかなる目的でも(たとえば、インストール済の証明書を表示する、または証明書をインストールするなど)トークンによって示されている証明書データベースにアクセスする場合は、トークンを選択し、トークンのPINを入力するためのプロンプトが表示されます。管理コンソールを使用して証明書を管理している場合、トークンのPINを1度指定し、セッションが続いている間(つまり、ログアウトするかセッションがタイムアウトになるまで)キャッシュすることで、PINを繰返し入力する必要がなくなります。
管理コンソールのセッションで、トークンのPINをキャッシュするには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
トークンのPINをキャッシュする構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「サーバー証明書」または「認証局」を選択します。
「トークンPINのキャッシュ」をクリックします。
「トークンPINのキャッシュ」ダイアログ・ボックスが表示されます。
トークンのPINを入力します。
「OK」をクリックします。
「コンソール・メッセージ」ペインに、そのセッションでトークンのPINがキャッシュされたことを確認するメッセージが表示されます。