この付録で、orapki
など12cよりも前のツールから、12c (12.2.1)で提供されている証明書ツール、ウォレット管理ツールおよびSSL構成ツールへの移行方法について学習していきます。
orapki
ユーティリティは、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、およびテスト用の署名付き証明書の作成のためのコマンド行ツールです。また、SSL構成ツールも提供されていました。
Oracle Fusion Middleware 12c (12.2.1)では、SSLを構成するために、コマンド行(orapki
ユーティリティ)ユーザー・インタフェースとグラフィカル・ユーザー・インタフェースの両方が提供されています。Oracle WebLogic Scripting Tool (WLST)およびOracle Enterprise Manager Fusion Middleware Controlにより、ユーザーはKSSベースおよびJKSベースのキーストア、ウォレットおよび証明書を管理できます。
この付録の項は次のとおりです。
関連項目:
|
注意: orapki ユーティリティは、Oracle共通ホームのバイナリ・ディレクトリ$ORACLE_HOME/oracle_common/bin にあります。 |
この項の項目は次のとおりです。
orapki
ユーティリティは、公開鍵インフラストラクチャ(PKI)要素(ウォレット、証明書失効リストなど)をコマンド行で管理できるようにするために提供されています。これにより、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。
このコマンド行ユーティリティを使用して、次のタスクを実行できます。
テスト用の署名付き証明書の作成
Oracleウォレットの管理
Oracleウォレットの作成と表示
証明書リクエストの追加と削除
証明書の追加と削除
信頼できる証明書の追加と削除
証明書失効リスト(CRL)の管理
証明書検証用ハッシュ値によるCRLの名前変更
orapki
を使用すると、証明書をDERフォーマットとPEMフォーマットの両方でインポートできます。
orapki
コマンド行ユーティリティの基本的な構文を次に示します。
orapki module command -parameter value
このコマンドでは、module
をwallet
(Oracleウォレット)、crl
(証明書失効リスト)またはcert
(PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmodule
によって異なります。たとえば、wallet
を使用している場合、add
コマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txt
にあるユーザー証明書が、ORACLE_HOME/wallet/ewallet.p12
にあるウォレットに追加されます。
orapki wallet add -wallet ORACLE_HOME/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt
DN構文はプラットフォーム固有です。
多数のorapki
コマンドでは、DN
の指定が必要です。UNIXでは、次の例のように、user_dn
を一重引用符で囲む必要があります。
$ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet $ORACLE_HOME/wallet -dn 'CN=server.in.oracle.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN' -keysize 1024
Windowsでは、次のように二重引用符で囲みます。
$ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet $ORACLE_HOME/wallet -dn "CN=server.in.oracle.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN" -keysize 1024
コマンド行で次のコマンドを入力することにより、特定のモードで使用可能なorapki
コマンドをすべて表示できます。
orapki mode help
たとえば、証明書失効リスト(CRL)を管理するために使用可能なコマンドをすべて表示するには、コマンド行に次のように入力します。
orapki crl help
注意: -summary 、-complete または-wallet コマンド・オプションの使用は、常にオプションです。これらのコマンド・オプションが指定されていなくても、コマンドは実行されます。 |
このコマンド行ユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。次の構文を使用して、署名付き証明書を作成し、証明書を表示できます。
テスト用の署名付き証明書を作成するには:
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-wallet
パラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。-validity
パラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。
証明書を表示するには:
orapki cert display -cert certificate_location [-summary | -complete]
このコマンドを使用すると、orapki
を使用して作成したテスト証明書を表示できます。-summary
または-complete
のいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summary
を選択すると、証明書とその有効期限が表示されます。-complete
を選択すると、シリアル番号、公開鍵などの追加の証明書情報が表示されます。
次の各項では、orapki
コマンド行ユーティリティを使用してOracleウォレットの作成および管理を行うために使用される構文について説明します。これらのorapki
ユーティリティのwallet
モジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
注意: -wallet パラメータは、すべてのwallet モジュール・コマンドで必須です。 |
関連項目: パスワードで保護されたウォレットまたは自動ログイン・ウォレットの作成方法の例は、ドキュメントID 1629906.1 Fusion Middleware 12cにおけるORAPKIを使用したウォレットの作成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。 |
この項の項目は次のとおりです。
orapki wallet create -wallet wallet_location
このコマンドでは、ウォレット・パスワードを入力または再入力するよう求められます。-wallet
で指定された場所にウォレットが作成されます。
orapki wallet create -wallet wallet_location -auto_login
このコマンドを使用すると、自動ログインが有効なウォレットが作成されます。また、既存のウォレットで自動ログインを有効化する場合にも使用できます。wallet_location
にすでにウォレットが含まれている場合、そのウォレットの自動ログインが有効になります。自動ログイン機能を無効にするには、cwallet.sso
を削除します。
注意: 自動ログイン機能を有効にしたウォレットでは、add など、ウォレットを変更する操作に対してのみパスワードの入力を求めるプロンプトが表示されます。 |
orapki wallet create -wallet wallet -pwd pwd -compat_v12
このコマンドを使用すると、AES暗号化によりOracleウォレットが作成されます。
orapki wallet convert -wallet wallet -compat_v12 -pwd pwd
このコマンドを使用すると、Oracleウォレットの暗号化が3DESからAESに変換されます。
orapki wallet display -wallet wallet_location
このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます。
この項の項目は次のとおりです。
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048|4096
このコマンドを使用すると、指定した識別名(user_dn
)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、リクエストされた証明書のキー・サイズ(512、1024または2048ビット)も指定します。リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第G.1.4.3項「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。
次に例を示します。
Linux/Unix: $ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet $ORACLE_HOME/wallet -dn 'CN=server.in.test.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN' -keysize 1024 Windows: $ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet $ORACLE_HOME/wallet -dn "CN=server.in.test.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN" -keysize 1024
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
このコマンドを使用すると、指定した場所(-cert
certificate_location
)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明書チェーンにあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days
このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validity
パラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書のキー・サイズ(-keysize
)は、512、1024、2048または4096ビットに指定できます。
DN構文の例は、第G.1.4.2.1項を参照してください。
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
このコマンドを使用すると、-cert
パラメータで指定された場所にあるユーザー証明書が、wallet_location
にあるOracleウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
この項の項目は次のとおりです。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
このコマンドを使用すると、サブジェクトの識別名(-dn
)を持つ証明書が、ウォレットから-cert
で指定されたファイルにエクスポートされます。
DN構文の例は、第G.1.4.2.1項を参照してください。
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
このコマンドを使用すると、サブジェクトの識別名(-dn
)を持つ証明書リクエストが、ウォレットから-request
で指定されたファイルにエクスポートされます。
DN構文の例は、第G.1.4.2.1項を参照してください。
信頼フラグを使用すると、証明書に割り当てられた適切なロールによる、証明書チェーンの検証やパスの構築などの操作が簡単に実行できます。デフォルトでは、ウォレットで信頼フラグはサポートされていません。
orapki
ユーティリティを使用して、Oracleウォレットにインストールされている証明書に信頼フラグを保持できます。また、信頼フラグをサポートするウォレットの作成と変換、適切なフラグの作成と各証明書での保持などを実行できます。
表G-1に、サポートされている信頼フラグを示します。
表G-1 Oracleウォレット証明書の信頼フラグ
NZ信頼フラグ値 | 説明およびベスト・プラクティス | NSSフラグ |
---|---|---|
|
信頼できるCAのルート証明書と中間証明書に割り当てられます。CA証明書をクライアントCAロールまたはサーバーCAロールで機能できるようにするためのきめ細かな制御の役に立ちます。 CLIENT_AUTHフラグと共存できます。 サーバーの認証時に、クライアントの証明書ストア内の クライアント・ウォレットで、SERVER_AUTHフラグをサーバーのルートCA証明書を割り当てることをお薦めします。サーバー証明書チェーンの検証は、このSERVER_AUTHフラグ付きの証明書で停止します。サーバーのルートCA証明書をクライアント・ウォレットに追加しない場合は、サーバーの中間CA証明書に設定してください。 |
" |
|
信頼できるCAのルート証明書と中間証明書に割り当てられます。 SERVER_AUTHフラグと共存できます。CA証明書をクライアントCAロールまたはサーバーCAロールで機能できるようにするためのきめ細かな制御の役に立ちます。 SSLサーバーがクライアント認証をリクエストする場合、サーバーは、証明書の受入れ元である信頼できるCA証明書のサブジェクト名のリストを送信します。このリストの作成には、ウォレット内の SSLクライアントの認証時に、サーバーのウォレット内の |
" |
|
ピアを認証するためにピアのユーザー証明書に割り当てられます。通常は、秘密鍵を持ちません。
このフラグを自己署名サーバーまたはクライアント証明書に追加することをお薦めします。証明書チェーンの構築および検証は、 認証時に、認証を求めてSSLピアによって送信されたユーザーの証明書が、リライイング・パーティの |
" |
|
フラグが指定されていない証明書に暗黙的に割り当てられます。 中間CA証明書とともに使用することをお薦めします。 |
"" |
明示的に実行できるフラグ割当ての他に、ウォレットで信頼フラグが使用できる場合に、証明書で自動的に実行される特定の割当てがあります。
ルート・ウォレットにおいて(「ユーザー証明書」および「信頼できる証明書」セクションに同じ証明書のコピーを含む)、USER_CERTフラグが「ユーザー証明書」セクションにある証明書のみに追加されます。
信頼フラグをサポートできるようにウォレットが変換された場合、特定のルールにより、ウォレットに追加された信頼できる証明書への信頼フラグの割当てが制御されます(下記の「信頼できる証明書への信頼フラグの割当て」を参照)。
証明書がウォレットから削除されると、その証明書に関連付けられているフラグがすべて削除されます。同じ証明書を再インストールする場合は、再度フラグを追加する必要があります。
信頼フラグを含むウォレットを作成すると(-with_trust_flags
オプションを使用)、ウォレットに特定のデフォルトの証明書が移入されます。これらの証明書にはすべて、SERVER_AUTH/CLIENT_AUTH
フラグが割り当てられます。
信頼できる証明書への信頼フラグの割当て
信頼フラグが有効なウォレットに信頼できる証明書を追加すると、信頼フラグは次のように処理されます。
ルートCAにはSERVER_AUTHフラグが割り当てられます。
中間CA (ICA)にはNULLフラグが割り当てられます。
秘密鍵のないエンドエンティティ証明書には、VALID_PEERフラグが割り当てられます。
秘密鍵のない自己署名証明書には、VALID_PEERフラグが割り当てられます。
次の各項目では、orapkiで実行できる信頼フラグ操作について説明します。
ウォレットの作成時には、orapki
のオプションwith_trust_flags
を使用します。
orapki wallet create –wallet wallet_location –pwd password –with_trust_flags
このコマンドを使用すると、信頼フラグをサポートするOracleウォレットが作成され、一方with_trust_flags
パラメータを指定せずに作成されたウォレットでは信頼フラグがサポートされませんが、サポートするように変換することはできます。
自動ログイン・ウォレットの作成などのその他のオプションも、信頼フラグをサポートするウォレットの作成時に指定できます。
信頼フラグ対応ウォレットに追加された信頼できる証明書への信頼フラグの割当てを制御するルールは、第G.1.4.4項「信頼フラグの作成と管理」(「信頼できる証明書への信頼フラグの割当て」を参照)で説明されており、これらのフラグは明示的にクリアできます。
信頼フラグをサポートするように既存のウォレットを更新できます。
このコマンド構文を使用すると、信頼フラグをサポートするようにウォレットが変換されます。
orapki wallet enable_trust_flags –wallet wallet_location –pwd password
または、自動ログイン・ウォレットの場合:
orapki wallet enable_trust_flags –wallet wallet_location –auto_login_only
使用ルールは次のとおりです。
これは自動ログイン・ウォレットであるため、パスワードは必要ありません。
このコマンドを使用すると、ウォレットを元の状態(つまり、信頼フラグをサポートしない状態)には戻せません。
ウォレット内に存在するユーザー証明書にはすべてUSER_CERT
フラグが割り当てられます。
信頼できる証明書の信頼フラグは、次のように処理されます。
ルートCAにはSERVER_AUTHフラグが割り当てられます。
ICA (中間CA)にはNULLフラグが割り当てられます。
秘密鍵のないエンドエンティティ証明書には、VALID_PEERフラグが割り当てられます。
信頼できる証明書に関連付けられているフラグを変更して、任意の信頼フラグを割り当てることができます。
証明書の空のウォレットへの追加
前述したように、このコマンドを使用すると、ウォレットを元の状態(つまり、信頼フラグをサポートしない状態)には戻せません。
orapkiによってインストールされたデフォルトの証明書を含む、すべての証明書をウォレットから削除すると、ツールはウォレットが信頼フラグをサポートしているかどうかを判別することができなくなります。このため、お薦めする方法は、デフォルトでインストールされている証明書をウォレットから削除しないことであり、これらを削除する必要がある場合は、削除する前に必ず証明書をインストールして、ウォレット内に最低1つの証明書が残されている状態にしてください。
すべての証明書をウォレットから削除して、後で新しい証明書をインストールする場合、信頼フラグ・オプションを指定して新しい証明書をインストールすると、ウォレットは自動的に信頼フラグをサポートするようになります。信頼フラグ・オプションを指定せずに新しい証明書をインストールした場合、ウォレットは信頼フラグをサポートしません。
orapki
のオプションtrust_flags
を使用すると、選択した証明書に必要なフラグが割り当てられます。
orapki wallet assign_trust_flags –wallet wallet_location –pwd password –trust_flags ""|"flags" –dn "value" [–serial_num "value" –issuer "value"]
このコマンドを使用すると、dn
によって指定された証明書の信頼フラグが追加、更新または削除されます。構文ルールは次のとおりです。
ウォレットは信頼フラグをサポートしている必要があります。
ウォレットは自動ログイン・ウォレットであるため、パスワードは必要ありません。
表G-1で定義されたフラグを指定します。
必須の証明書属性パラメータはサブジェクトDNのみであり、残りの2つのパラメータはオプションです。ただし、証明書を一意に識別するために、これらのパラメータを使用して詳細を十分に指定する必要があります。
照合する属性名では大文字と小文字は区別されませんが、属性値では区別されます。
シリアル番号は、数値にする必要があります。
証明書に既存のフラグが割り当てられている場合は上書きされます。
"," (カンマ)を使用して複数のフラグを割り当てることができます(例: –add "SERVER_AUTH,CLIENT_AUTH
")。
USER_CERT
フラグは、ユーザー証明書に対して暗黙的に割り当てられているため、このコマンドでは指定できません(ユーザー証明書には必ずUSER_CERTフラグが存在します)。
信頼フラグを削除するには、–add ""
を使用します。この場合、証明書にはNULLフラグが割り当てられます。
変更またはクリア・アクションにより、いずれかのユーザー証明書の証明書チェーンが無効になってしまう場合、このアクションは実行されません。
次に例を示します。
orapki wallet assign_trust_flags –wallet /usr/test –trust_flags "SERVER_AUTH,CLIENT_AUTH" –dn "cn=jack, ou=people, dc=example, dc=com" –serial_num "1122" –issuer "sample"
ウォレットへの証明書の追加時には、orapki
のオプションtrust_flags
を使用します。
orapki wallet add –wallet wallet_location –[trusted_cert|user_cert|self_signed] –cert cert_location –pwd password –trust_flags "flag(s)"
このコマンドを使用すると、指定した信頼フラグを含む証明書がOracleウォレットに追加されます。構文ルールは次のとおりです。
ウォレットは信頼フラグをサポートしている必要があります。
ウォレットが自動ログイン・ウォレットである場合、パスワードは必要ありません。
自己署名付き証明書を生成する場合、cert_location
は必要ありません。
証明書のタイプがuser_cert
である場合、暗黙的にUSER_CERT
フラグが追加されます。(ルート・ウォレットでは、「信頼できる証明書」セクションに自己署名付き証明書も存在していますが、この証明書にはUSER_CERTフラグは割り当てられません。)
表G-1で定義されたフラグを指定します。
信頼フラグが有効である場合、信頼できる証明書の完全な階層が存在している必要はありません(信頼フラグが指定されていないウォレットの場合とは異なり、ユーザー証明書の追加時に全チェーンが存在している必要があります)。階層内の信頼できる証明書のいずれかにSERVER_AUTH/CLIENT_AUTH
フラグが割り当てられると、証明書チェーンの構築が停止します。
orapki
のオプションpkcs12file
を使用すると、PKCS#12ファイルをwall.etにインポートできます
orapki wallet import_pkcs12 –wallet wallet_location [-pwd wallet_password] -pkcs12file pkcs12_file_location [-pkcs12pwd pkcs12_file_password]
このコマンドを使用すると、PKCS#12ファイルがOracleウォレットにインポートされます。コマンドでパスワードを指定しない場合、ユーティリティによってプロンプトが表示されます。
CRLは、orapki
を使用して管理する必要があります。このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapki
を使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。次の各項では、CRLについて、CRLの使用方法、およびorapkiを使用してCRLを管理する方法について説明します。
関連項目: orapkiでのCRLの管理の詳細は、Oracle Advanced Security管理者ガイド の証明書失効リストの管理に関する項を参照してください。
|
指定の証明書を指定のコンテキストで使用できるかどうかを判定するプロセスは、証明書の検証と呼ばれます。証明書の検証には、次の項目の判定が含まれます。
信頼できる認証局(CA)にデジタル署名された証明書があるかどうか。
証明書のデジタル署名が、証明書自体の別個に計算されたハッシュ値および証明書の署名者の(CAの)公開鍵に対応しているかどうか。
証明書が期限切れになっていないかどうか。
証明書が失効していないかどうか。
SSLネットワーク・レイヤーは、自動的に最初の3つの検証チェックを実行しますが、証明書が失効していないことを確認するには、証明書失効リスト(CRL)のチェックを構成する必要があります。CRLは、失効した証明書のリストを含む署名付きデータ構造体です。これは通常、元の証明書を発行したエンティティと同じエンティティによって発行され署名されます。
使用するトラスト・ポイントすべてについてCRLが必要です。トラスト・ポイントは、一定の信頼レベルで資格を与えられたサード・パーティ・アイデンティティからの信頼できる証明書です。通常、信頼する認証局はトラスト・ポイントと呼ばれます。
証明書失効ステータスは、ファイル・システム・ディレクトリにあるCRL、または証明書のCRL配布ポイント(CRL DP)の拡張子で指定された場所からダウンロードしたCRLに対してチェックされます。CRLをローカル・ファイル・システムまたはディレクトリに格納する場合、CRLを定期的に更新する必要があります。CRL DPを使用する場合、CRLは、対応する証明書が最初に使用されるときにダウンロードされます。
サーバーは、次の場所で(ここに示されている順番で)CRLを検索します。システムは、証明書のCAのDNと一致するCRLを検出すると、検索を停止します。
ローカル・ファイル・システム
CRLファイルの場所と管理はコンポーネントに応じて異なります。Oracle WebLogic Serverの場合は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のCRLローカル・キャッシュの構成に関する項を参照してください。Oracle HTTP Serverの場合は、ドキュメントID 1665286.1 FMW 12cにおけるOracle HTTP ServerでのCRLチェックの構成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。
CRL DP
CAが、証明書が発行されたときのCRL DP X.509、バージョン3、証明書拡張子内の位置を指定すると、その証明書用の失効情報を含む適切なCRLがダウンロードされます。現在、Oracle Advanced Securityは、HTTPおよびLDAPを介したCRLのダウンロードをサポートしています。
注意:
|
CRL管理の手順は、対象となるコンポーネントに応じて異なります。Oracle WebLogic Serverの場合は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のCRLローカル・キャッシュの構成に関する項を参照してください。Oracle HTTP Serverの場合は、ドキュメントID 1665286.1 FMW 12cにおけるOracle HTTP ServerでのCRLチェックの構成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。
証明書失効ステータスのチェックを有効にするには、まず、使用するCAから受信したCRLがシステムで使用できるフォームである(ハッシュ値で名前変更されている)こと、またはシステムで使用できる場所にある(ディレクトリにアップロードされている)ことを確認してください。Oracle Advanced Securityには、次のタスクを実行するために使用できるコマンド行ユーティリティ、orapki
があります。
注意: CRLは、正常な検証を行うために、(期限切れになる前に)定期的に更新する必要があります。このタスクは、スクリプトでorapki コマンドを使用して自動化できます。 |
関連項目: LDAPコマンド行ツールおよびその構文については、Oracle Fusion Middleware Oracle Identity Managementリファレンスのコマンド行ツールの概要に関する項を参照してください。 |
システムは、証明書を検証するとき、証明書を作成したCAが発行するCRLを見つける必要があります。システムは、証明書の発行者名とCRLにある発行者名を照合して適切なCRLを検出します。
Oracle Net Managerの「証明書失効リスト・パス」フィールドにCRL格納場所を指定する(sqlnet.ora
ファイルのSSL_CRL_PATH
パラメータを設定する)場合、orapki
ユーティリティを使用して発行者名を表すハッシュ値を使用してCRLを名前変更します。ハッシュ値を作成すると、サーバーでCRLをロードできます。
UNIXシステムでは、orapki
によってCRLへのシンボリック・リンクが作成されます。Windowsシステムでは、CRLファイルのコピーが作成されます。どちらの場合も、orapki
によって作成されたシンボリック・リンクまたはコピーは、発行者名のハッシュ値を使用して名前が付けられます。その後、システムが証明書を検証するとき、同じハッシュ関数が使用されて、適切なCRLをロードできるようにリンク(またはコピー)の名前が計算されます。
ご使用のオペレーティング・システムに応じて、次のコマンドのいずれかを入力して、ファイル・システムに格納されているCRLの名前を変更します。
UNIXファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -symlink crl_directory [-summary]
Windowsファイル・システムに格納されているCRLの名前を変更するには:
orapki crl hash -crl crl_filename [-wallet wallet_location] -copy crl_directory [-summary]
このコマンドで、crl_filename
はCRLファイルの名前、wallet_location
はCRLを発行したCAの証明書を含むウォレットの場所、crl_directory
はCRLがあるディレクトリです。
-wallet
および-summary
の使用はオプションです。-wallet
を指定すると、CRLの名前を変更する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summary
オプションを指定すると、ツールによってCRL発行者名が表示されます。
この項では、次のorapki
コマンドについて説明します。
次の各項では、このコマンドについて説明します。
orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]
-wallet
パラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密鍵を含むウォレットを指定します。
-request
パラメータ(必須)は、作成する証明書の証明書リクエストの場所を指定します。
-cert
パラメータ(必須)は、ツールが新しい署名付き証明書を配置するディレクトリの場所を指定します。
-validity
パラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
orapki crl hash -crl crl_filename|URL [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]
-crl
パラメータは、CRLまたはCRLがあるURLを含むファイル名を指定します。
-wallet
パラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
オペレーティング・システムに応じて、-symlink
パラメータまたは-copy
パラメータのいずれかを使用します。
UNIX: -symlink
を使用してcrl_directory
にCRLへのシンボリック・リンクを作成します。
Windows: -copy
を使用してcrl_directory
にCRLのコピーを作成します。
-summary
パラメータ(オプション)を使用すると、ツールによってCRL発行者名が表示されます。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
証明書リクエストを追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048
-wallet
パラメータは、証明書リクエストの追加先のウォレットの場所を指定します。
-dn
パラメータは、証明書の所有者の識別名を指定します。
-keysize
パラメータは、証明書のキー・サイズを指定します。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。第G.1.6.14項「orapki wallet export」を参照してください。
信頼できる証明書を追加するには:
orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location
-trusted_cert
パラメータを使用すると、ツールによって、-cert
で指定された場所にある信頼できる証明書がウォレットに追加されます。
ルート証明書を追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -valid_from [mm/dd/yyyy] -valid_until [mm/dd/yyyy] -validity number_of_days
-self_signed
パラメータを使用すると、ツールによってルート証明書が作成されます。
-validity
パラメータを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定できます。
-valid_from
パラメータおよびvalid_until
パラメータを使用して、このルート証明書が有効である正確な日付範囲を指定できます。-validity
number_of_days
のかわりに、この方法で有効期間を指定できます。
ユーザー証明書を追加するには:
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
-user_cert
パラメータを使用すると、ツールによって、-cert
パラメータで指定された場所にあるユーザー証明書がウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明書チェーンを構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
証明書リクエストにサブジェクト・キー識別子の拡張子を追加するには:
orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048 -addext_ski
バージョン3の自己署名証明書をウォレットに追加するには:
orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days -addext_ski
証明書のウォレットへの追加時に信頼フラグを追加するには:
orapki wallet add –wallet wallet_location –[trusted_cert|user_cert|self_signed] –cert cert_location –pwd password –trust_flags "flag(s)"
-trust_flags
パラメータにより、指定したフラグが証明書に追加されます。使用方法の詳細は、第G.1.4.4.4項を参照してください。
DN構文の例は、第G.1.4.2.1項を参照してください。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
orapki wallet assign_trust_flags –wallet wallet_location –pwd password –trust_flags ""|"flags" –dn "value" [–serial_num "value" –issuer "value"]
-dn
パラメータは必須です。
ウォレット内の単一の証明書に一意的に一致させるために、-serial_num
および-issuer
パラメータが必要になる場合があります。
追加の使用方法の詳細は、第G.1.4.4.3項を参照してください。
DN構文の例は、第G.1.4.2.1項を参照してください。
次の各項では、このコマンドについて説明します。
次の各項では、このコマンドについて説明します。
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
-wallet
パラメータは、証明書のエクスポート元のウォレットがあるディレクトリを指定します。
-dn
パラメータは、証明書の識別名を指定します。
-cert
パラメータは、エクスポートされる証明書を含むファイルのパスおよびファイル名を指定します。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename
-request
パラメータは、エクスポートされる証明書リクエストを含むファイルのパスおよびファイル名を指定します。
次の各項では、このコマンドについて説明します。
orapki wallet export_trust_chain [-wallet [wallet]]
[-certchain [filename]]
[-dn [user_cert_dn] ]
[-pwd pwd]
-wallet
パラメータは、証明書チェーンのエクスポート元のウォレットの場所を指定します。
-certchain
パラメータは、エクスポートされる証明書チェーンを含むファイルの名前を指定します。
-dn
パラメータは、エクスポートされるエントリの識別名を指定します。
-pwdは、ウォレット・パスワードを指定します。
-dn
パラメータの指定方法の例は、第G.1.4.2.1項を参照してください。
次の各項では、このコマンドについて説明します。
orapki wallet import_pkcs12 –wallet wallet_location [-pwd wallet_password] -pkcs12file pkcs12_file_location [-pkcs12pwd pkcs12_file_password]
wallet
パラメータは、PKCS#12ファイルのインポート先のOracleウォレットの相対または絶対パスを指定します。このパラメータは必須です。
pwd
パラメータは、PKCS#12ファイルのインポート先のOracleウォレットのパスワードを指定します。このパラメータはオプションであり、必要に応じてプロンプトが表示されます。
pkcs12file
パラメータは、OracleウォレットにインポートされるPKCS#12ファイルの相対または絶対パスを指定します。このパラメータは必須です。
pkcs12pwd
パラメータは、OracleウォレットにインポートされるPKCS#12ファイルのパスワードを指定します。このパラメータはオプションであり、必要に応じてプロンプトが表示されます。
次に例を示します。
orapki wallet import_pkcs12 –wallet /scratch/user/oracleWalletFolder/ewallet.p12 -pwd walletPassword -pkcs12file /scratch/userId/pkcs12fileFolder/certandkey.p12 -pkcs12pwd pkcs12filePassword