13 証明書の管理

Oracle Key Vaultで生成された証明書に加えて、サード・パーティの証明書を管理できます。

• 証明書のローテーション
  
• サード・パーティの証明書
  

13.1 証明書のローテーション

Oracle Key Vaultで生成された証明書は、Oracle Key Vault管理コンソールを使用してローテーションできます。

• 証明書のローテーションについて
  
• 証明書のローテーションの管理に関するアドバイス
  
• すべての証明書のローテーション
  
• 証明書のローテーション・ステータスの確認
  

13.1.1 証明書のローテーションについて

証明書ローテーション・プロセスは、Oracle Key Vaultサーバー内のすべての証明書を取得します。サード・パーティの証明書は取得しません。

Oracle Key Vault内の証明書は730日間続きます。証明書(サーバー証明書とエンドポイント証明書の両方)をローテーションしない場合、証明書を使用するエンドポイントはOracle Key Vaultサーバーに接続できません。この場合、エンドポイントを再エンロールする必要があります。このシナリオを回避するには、730日の制限が切れる前に証明書をローテーションするよう警告するアラートを構成できます。ローテーション・プロセスは、1回の操作ですべての証明書のローテーションを処理します。Oracle Key Vaultサーバー証明書の有効期限が切れるまでの時間は、Oracle Key Vault管理コンソールの「Configure Alerts」ページで「OKV Server Certificate Expiration」設定を選択して確認できます。エンドポイントの証明書の有効期限を確認するには、「Endpoints」ページに移動して、「Certificate Expires」フィールドを確認する必要があります。

高可用性構成の場合、Oracle Key Vaultは両方のシステムの証明書を自動的に同期化します。追加の構成を実行する必要はありません。

13.1.2 証明書のローテーションの管理に関するアドバイス

Oracle Key Vaultでは、証明書をローテーションする最適な方法に関するアドバイスが提供されます。

• プライマリ/スタンバイ構成では、プライマリ・データベースが読取り専用制限モードになっている場合、証明書のローテーションは実行しないでください。構成内の両方のサーバーがアクティブで、互いに同期されている場合にのみ、証明書のローテーションを開始します。
• 以前のリリースからアップグレードされたシステムで証明書のローテーションを実行している場合は、エンドポイントも必ずアップグレードします。ソフトウェアがアップグレードされていないエンドポイントは、更新された資格証明を受信しません。
• バックアップ操作またはリストア操作の進行中は、証明書のローテーションを実行できません。
• 証明書のローテーションを実行する前に、Oracle Key Vaultシステムをバックアップします。

13.1.3 すべての証明書のローテーション

Oracle Key Vault管理コンソールを使用して、証明書をローテーションできます。

ローテーション・プロセスを開始する前に、エンドポイント・ソフトウェアのバージョンを確認してください。Oracle Key Vaultリリース12.2 (バンドル・パッチ10)よりも古い場合、エンドポイントは更新された資格証明を受信できません。自動証明書ローテーション機能を使用する場合は、Oracle Key Vaultリリース12.2 (バンドル・パッチ10)エンドポイント・ソフトウェアを使用するように、すべてのエンドポイントを更新する必要があります。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択します。
3. 「Manage System Certificate」を選択します。
4. 「Manage System Certificate」ページで、「Generate System Certificate」をクリックします。
5. 確認ダイアログ・ボックスで、「OK」を選択します。
   これにより、新しいCA証明書が作成されますが、有効にはなりません。この段階で、エンドポイントはまだ、古い資格証明を使用して以前の証明書を使用して接続できます。「Old Certificate」領域には、現在アクティブなCAの詳細が表示されます。「New Certificate」領域には、証明書がローテーションされたことが示され、共通名が表示されます。ローテーション・プロセスを取り消す場合は、「Abort」をクリックしてプロセスを取り消し、生成された新しいCAディレクトリをクリーン・アップします。
6. 「Activate Certificate」をクリックします。
   「Activate Certificate」をクリックすると、新しいOracle Key Vault CAの使用が始まります。完了すると、エンドポイントは新旧いずれかのOracle Key Vault CAを使用してOracle Key Vaultサーバーに接続できます。このプロセスの完了には数分かかる場合があります。「Activate Certificate」をクリックした後、ローテーション・プロセスを取り消すことはできません。
7. 確認のダイアログ・ボックスで、「OK」をクリックします。
   エンドポイントの自動証明書更新が進行中であることを示すメッセージが表示されます。バックグラウンドで、Oracle Key Vaultはエンドポイントの証明書の再生成を一度に3つのエンドポイントに対して開始します(すべてのエンドポイントが一度に更新されることはありません)。エンドポイントの資格証明が更新されたかどうかを確認するには、「Check Endpoint Progress」ボタンをクリックします。「Endpoints」ページが表示されます。指定されたエンドポイントの「Common Name of Certificate Issuer」フィールドに古いCAの共通名が表示されている場合、新しい資格証明はまだ生成されていません。ただし、既存のエンドポイントに対して、フィールドに「Updating to Current Certificate Issuer」と表示されている場合、プロセスは開始しています。エンドポイントは、このステータスが変更されてから数分後に、更新された資格証明を取得できます。
   特定のエンドポイントに対して新しい資格証明が生成された後、エンドポイントが次にOracle Key Vaultサーバーに接続したときに、証明書の新しい資格証明がエンドポイントに送信されます。エンドポイントは、更新された資格証明をOracle Key Vaultサーバーから受け取った後、Oracle Key Vaultサーバーへの接続を試行して、サーバーが資格証明を正常に受信したことを通知する必要があります。エンドポイントがこれに成功すると、「Endpoints」ページのそのエンドポイントの「Common Name of Certificate Issuer」フィールドの値に、新しいOracle Key Vault CA証明書の共通名が反映されます。

すべてのエンドポイントが新しいCAを使用するように更新された後、Oracle Key Vaultサーバーは、自身のサーバー証明書をバックグラウンドで完全にローテーションするプロセスを開始します。このプロセスは、「Manage Server Certificate」ページに2つの証明書が表示されなくなり、新しいCA証明書を反映する証明書が1つのみ表示されたときに完了したとみなされます。「System Settings」ページの「OKV Server Expiration Date」フィールドには、新しいCA証明書の有効期限も反映されます。

ローテーションが完了したら、次に新しい証明書をローテーションする必要があるときのためにアラートを構成する必要があります。アラートを構成するには、「Configure Alerts」ページで、「OKV Server Certificate Expiration」の後にあるチェック・ボックスを選択します。

13.1.4 証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、証明書のローテーションのステータスをチェックできます。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。
3. 「Endpoints」を選択します。
   「Endpoints」ページで、「Endpoints」ページにローテーション・プロセスのステータス(「Updating to current certificate issuer」)を確認できます。完了すると、新しいOracle Key Vault CAの共通名が表示されます。
   エンドポイントの証明書のローテーションにエラーがある場合は、エンドポイントを再エンロールすることをお薦めします。

13.2 サード・パーティの証明書

Oracle Key Vaultでは、サード・パーティのCAが署名した証明書をインストールして、接続のセキュリティを強化できます。ユーザーは、自分のアイデンティティの証明、通信チャネルの暗号化および交換対象データの保護を目的として、サード・パーティの認証局(CA)が署名した証明書をKey Vaultにアップロードできます。

サード・パーティの証明書をインストールするには、証明書リクエストを生成し、認証局(CA)による署名を取得し、署名付き証明書をOracle Key Vaultにアップロードしなおす必要があります。

• 証明書リクエストのダウンロード
  
• 証明書の署名取得
  
• Oracle Key Vaultへの署名付き証明書のアップロード
  
• サード・パーティの証明書の使用に関する注意事項
  

13.2.1 証明書リクエストのダウンロード

サーバー証明書の属性とOracle Key Vault管理コンソールへのログイン・セッションの属性の間で不一致が検出されると、ブラウザから警告メッセージが表示されますが、証明書をリクエストする際に、これらの警告メッセージの表示を抑止することもできます。その方法については、証明書リクエストのダウンロードのステップ4を参照してください。

Oracle Key Vault証明書リクエストを生成する手順:

1. 「System」タブをクリックし、「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを開きます。
2. 右上にある「Generate Certificate Request」をクリックして、「Generate Certificate Request」ページを開きます。

   図13-1 「Generate Certificate Request」ページ

   
   「図13-1 「Generate Certificate Request」ページ」の説明
3. このページの最初のフィールド「Common Name」には、Oracle Key Vaultサーバーのホスト名が自動的に移入されます。これを変更する場合は、「Change」をクリックします。これにより、「System Settings」ページが開き、「Network」ペインでホスト名を変更できます。
4. サーバーIPアドレスの変更に関するブラウザ警告の表示を抑止する場合は、「Suppress warnings for IP based URL access」というテキストの左側にあるチェック・ボックスを選択します。
5. アスタリスクが付いた必須フィールド(「Organization Name」および「Country/Region」)に値を入力します。エラーなく続行するには、これらのフィールドには値を入力する必要があります。必要に応じて、残りのオプション・フィールドに値を入力します。
6. その後、右上にある「Submit and Download」をクリックします。これにより、ディレクトリ・ウィンドウが開き、certificate.csrファイルを保存できます。ディレクトリを選択し、ファイルを保存します。

13.2.2 証明書の署名取得

Oracle Key Vaultのcertificate.csrファイルのダウンロード後、バンド外の方式を使用して、任意のCAから署名を取得できます。

その後、管理コンソールを使用して、署名付き証明書をOracle Key Vaultにアップロードしなおすことができます。

13.2.3 Oracle Key Vaultへの署名付き証明書のアップロード

署名付き証明書をOracle Key Vaultにアップロードしなおす手順:

1. 「System」タブをクリックし、左側の「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを開きます。
2. 右上にある「Upload Certificate」をクリックして、「Upload Certificate」ページを開きます。
3. 「Choose File」をクリックして、ローカル・システム上のディレクトリ・ウィンドウを開きます。署名付き証明書が格納されているディレクトリにナビゲートし、それを選択します。終了したら、「Choose File」というテキストの右側にファイル名が表示されます。
4. 最後に、右上にある「Upload」をクリックします。証明書がエラーなくインストールされると、その詳細が「Console Certificate」のすぐ下の新しい「Uploaded Certificate Details」パネルに表示されます。
5. 証明書を非アクティブ化するには、「Uploaded Certificate Details」セクションの右上にある「Deactivate」をクリックします。
6. 証明書を非アクティブ化すると、「Deactivate」ボタンが「Apply Certificate」ボタンに置き換わります。このボタンをクリックすると、証明書が再びアクティブ化されます。

13.2.4 サード・パーティの証明書の使用に関する注意事項

次のような状況でサード・パーティの証明書を使用する場合は、追加のステップを実行する必要があります。

• 高可用性

  高可用性構成でサード・パーティの証明書を使用する場合は、最初にプライマリ・サーバーおよびスタンバイ・サーバーに証明書をインストールし、次に、それらをペアにする必要があります。

• RESTfulサービス

  サード・パーティの証明書をインストールするたびに、新しい証明書を使用できるようにRESTfulソフトウェア・ユーティリティを再ダウンロードする必要があります。

• バックアップからのデータのリストア

  サード・パーティの証明書をインストールしてバックアップを実行し、その後、そのバックアップから別のKey Vaultアプライアンスをリストアした場合、新しいアプライアンスでサード・パーティの証明書を使用するには、証明書を再インストールする必要があります。リストア・プロセスではサード・パーティの証明書はコピーされません。