6 Oracle Wallet Managerの使用方法

この章では、次の内容について説明します。

• Oracle Wallet Managerについて

• Oracle Wallet Managerの起動

• Oracleウォレットを作成するための一般的なプロセス

• Oracleウォレットの管理

• Oracleウォレットの証明書の管理

トピック:

• Oracle Wallet Managerについて
  
• Oracle Wallet Managerの起動
  
• Oracleウォレットを作成するための一般的なプロセス
  
• Oracleウォレットの管理
  
• Oracleウォレットの証明書の管理
  

関連項目:

• 『Oracle Databaseセキュリティ・ガイド』のOracle PKIコンポーネント全般について説明している項を参照してください。

• テスト目的でウォレットを作成し、証明書を発行できるorapkiコマンドライン・ユーティリティの詳細は、『Oracle Databaseセキュリティ・ガイド』の付録を参照してください。

• Oracle Wallet Managerの使用に関するライセンス情報は、『Oracle Databaseライセンス情報』を参照してください。

6.1 Oracle Wallet Managerについて

この項の内容は次のとおりです。

• Oracle Wallet Managerの概要

• ウォレット・パスワードの管理

• 強力なウォレット暗号化

• Microsoft Windowsレジストリ・ウォレット・ストレージ

• Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定

• 下位互換性

• 公開鍵暗号規格(PKCS)のサポート

• 複数証明書のサポート

• LDAPディレクトリのサポート

トピック:

• Oracle Wallet Managerの概要
  
• ウォレット・パスワードの管理
  
• 強力なウォレット暗号化
  
• Microsoft Windowsレジストリ・ウォレット・ストレージ
  
• Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定
  
• 下位互換性
  
• 公開鍵暗号規格(PKCS)のサポート
  
• 複数証明書のサポート
  
• LDAPディレクトリのサポート
  

関連項目:

Oracle環境における公開鍵インフラストラクチャの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

6.1.1 Oracle Wallet Managerの概要

Oracle Wallet Managerを使用して、Oracleクライアントおよびサーバーの公開鍵セキュリティ資格証明を管理できます。作成されたウォレットは、Oracle Database、Oracle Application ServerおよびOracle Identity Managementインフラストラクチャで読み取ることができます。

Oracle Wallet Managerを使用すると、ウォレットの所有者は、Oracleウォレットでセキュリティ資格証明を管理および編集できます。ウォレットは、認証および署名資格証明(秘密鍵、証明書、SSLで必要な信頼できる証明書など)の格納に使用されるパスワード保護されたコンテナです。Oracle Wallet Managerを使用して次のタスクを実行できます。

• ウォレットの作成

• 証明書リクエストの生成

• PKIベースのサービスにアクセスするためのウォレットのオープン

• 公開鍵暗号規格#11 (PKCS #11)仕様に準拠するAPIを使用した、ハードウェア・セキュリティ・モジュールへの資格証明の保存

• LDAPディレクトリを対象としたウォレットのアップロードおよびダウンロード

• サード・パーティのPKCS #12形式のウォレットのインポート

• Oracleウォレットのサード・パーティ環境へのエクスポート

6.1.2 ウォレット・パスワードの管理

Oracleウォレットはパスワードで保護されています。Oracle Wallet Managerには、高度なウォレット・パスワード管理モジュールが含まれており、これによって、次のようなパスワード管理ポリシーのガイドラインが適用されます。

• パスワードの最低文字数(8文字)

• パスワードの最大文字数(無制限)

• 英数字を組み合せて指定する。

6.1.3 強力なウォレット暗号化

Oracle Wallet Managerでは、X.509証明書に関連付けられた秘密鍵を格納し、Triple-DES暗号化を使用します。

6.1.4 Microsoft Windowsレジストリ・ウォレット・ストレージ

Oracle Wallet Managerでは、複数のOracleウォレットをWindowsファイル管理システムまたはMicrosoft Windowsシステム・レジストリのユーザー・プロファイル領域に格納できます。レジストリにウォレットを格納すると、次のメリットがあります。

• アクセス制御の向上: レジストリのユーザー・プロファイル領域に格納されたウォレットには、関連付けられているユーザーのみがアクセスできます。そのため、システムのユーザー・アクセス制御がそのままウォレットのアクセス制御になります。また、ユーザーがシステムからログアウトすると、そのユーザーのウォレットには実質的にアクセスできなくなります。

• 容易な管理: ウォレットが特定のユーザー・プロファイルに関連付けられているため、ファイル権限を管理する必要がなく、また、ユーザー・プロファイルを削除すると、プロファイルに格納されているウォレットも自動的に削除されます。レジストリ内のウォレットは、Oracle Wallet Managerを使用して作成および管理できます。

サポートされるオプションは次のとおりです。

• レジストリからのウォレットのオープン

• レジストリへのウォレットの保存

• 異なるレジストリの場所への保存

• レジストリからのウォレットの削除

• ファイル・システムからのウォレットのオープンとレジストリへの保存

• レジストリからのウォレットのオープンとファイル・システムへの保存

関連項目:

Oracle Databaseのプラットフォーム・ガイド

6.1.5 Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定

Oracle Database 12c (リリース12.1)以降、Microsoft Windowsシステムでは、ファイル・システムのACLを手動で設定(Wallet Managerを使用して作成したファイル・システム内のウォレットに対するアクセス権の付与など)する必要があります。Oracle Databaseのサービスは権限の低いユーザーによって実行されるようになり、Oracle Databaseのサービスがファイルにアクセスするには、ファイル・システムのアクセス制御リスト(ACL)によってファイルへのアクセス権が付与される必要があります。Oracleインストールでは、通常の使用においてACLを手動で変更する必要がないように構成しますが、ACLを手動で変更する必要が生じる場合があります。

参照:

ファイル・システムのACLを手動で設定する方法の詳細は、『Oracle Databaseプラットフォーム・ガイドfor Microsoft Windows』を参照してください。

6.1.6 下位互換性

Oracle Wallet Managerは、リリース8.1.7に対する下位互換性があります。

6.1.7 公開鍵暗号規格(PKCS)のサポート

公開鍵暗号規格(略称PKCS)と呼ばれる基本的な暗号規格ファミリは、RSA Security社の一部門であるRSALaboratoriesと業界、学会および政府の代表者により共同開発されました。これらの規格によって、イントラネットおよびインターネット上のデータを保護するために、公開鍵テクノロジを使用するコンピュータ・システム間の相互運用性を確立します。

Oracle Wallet Managerでは、PKCS #12形式でX.509証明書と秘密鍵を格納し、PKCS #10仕様に従って証明書リクエストを生成します。これらの機能により、Oracleウォレットがサポート対象のサード・パーティ製PKIアプリケーションと相互運用可能な構造になり、オペレーティング・システム間でのウォレットの移植も可能になります。

Oracle Wallet Managerウォレットでは、PKCS #11仕様に準拠するAPIを使用するハードウェア・セキュリティ・モジュールに資格証明を格納できます。ウォレット作成時にPKCS11がウォレット・タイプとして選択されている場合、そのウォレットに格納されているすべての鍵がハードウェア・セキュリティ・モジュールまたはトークンに保管されます。このようなハードウェア・デバイスの例には、秘密鍵の格納または暗号処理の実行(あるいはその両方)を行うスマートカード、PCMCIAカード、スマート・ディスケットなどのポータブル・ハードウェア・デバイスがあります。

注意:

64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、コマンドラインで次のコマンドを入力します。

owm -pkcs11

関連項目:

• 「サード・パーティ・ツールで作成されたユーザー証明書のインポート」

• 「サード・パーティ環境へのOracleウォレットのエクスポート」

• 「ハードウェア・セキュリティ・モジュール資格証明を格納するためのOracleウォレットの作成」

• PKCS規格に関するドキュメントを参照するには、次のURLにアクセスしてください。

  PKCS Standards Documents

6.1.8 複数証明書のサポート

Oracle Wallet Managerにより、複数の証明書を各ウォレットに格納でき、次のいずれかのOracle PKI証明書使用方法がサポートされます。

• SSL認証

• S/MIME署名

• S/MIME暗号化

• コード署名

• CA証明書署名

作成した各証明書リクエストによって、一意の秘密鍵と公開鍵のペアが生成されます。秘密鍵はウォレット内に残り、公開鍵はリクエストとともに認証局に送信されます。証明書は、認証局が生成して署名すると、対応する秘密鍵のあるウォレットにのみインポートできるようになります。

このウォレットに別の証明書リクエストも含まれている場合、そのリクエストに対応する秘密鍵と公開鍵のペアは、最初の証明書リクエストのペアとは異なります。この異なる証明書リクエストを認証局に送信すると、別の署名済証明書が提供されるので、それを同じウォレットにインポートできます。

単一の証明書リクエストを認証局に複数回送信して、複数の証明書を取得できます。ただし、ウォレットにインストールできるのは、その証明書リクエストに対応する1つの証明書のみです。

Oracle Wallet Managerでは、X.509バージョン3 KeyUsage拡張を使用して、Oracle PKI証明書使用方法を定義しています(表6-1)。単一の証明書をすべての証明書使用方法に適用することはできません。表6-2および表6-3に、有効な使用方法の組合せを示します。

表6-1 KeyUsageの値

値	使用方法
0	digitalSignature
1	nonRepudiation
2	keyEncipherment
3	dataEncipherment
4	keyAgreement
5	keyCertSign
6	cRLSign
7	encipherOnly
8	decipherOnly

Oracle Wallet Managerでは、証明書をインストールする際、表6-2および表6-3に指定されているように、KeyUsage拡張の値がOracle PKI証明書使用方法にマップされます。

表6-2 Oracle Wallet ManagerによるOracleウォレットへのユーザー証明書のインポート

KeyUsageの値	重要性(1)	使用方法
none	該当せず	証明書は、SSLまたはS/MIME暗号化用にインポート可能
0のみ、または0と任意の値(5および2を除く)	該当せず	S/MIME署名用またはコード署名用証明書の許可
1のみ	はい	インポート不可
1のみ	いいえ	S/MIME署名用またはコード署名用証明書の許可
2のみ、または2と任意の値の組合せ(5を除く)	該当せず	SSL用またはS/MIME暗号化用証明書の許可
5のみ、または5と任意の他の値	該当せず	CA証明書署名用証明書の許可
その他の任意の設定	はい	インポート不可。
その他の任意の設定	いいえ	証明書は、SSLまたはS/MIME暗号化用にインポート可能

^脚注 1 KeyUsage拡張が重要である場合、証明書は他の目的では使用できません。

表6-3 Oracle Wallet ManagerによるOracleウォレットへの信頼できる証明書のインポート

KeyUsageの値	重要性(2)	使用方法
none	該当せず	インポート可能。
5を除く任意の組合せ	はい	インポート不可。
5を除く任意の組合せ	いいえ	インポート可能
5のみ、または5と任意の他の値	該当せず	インポート可能。

^脚注 2 KeyUsage拡張が重要とマークされている場合、証明書は他の目的では使用できません。

必要なOracle PKI証明書使用方法に対応する正しいKeyUsage値を使用して、認証局から証明書を取得します。1つのウォレットには、同じ使用方法で使用する複数の鍵のペアを含めることができます。証明書ごとに、表6-2および表6-3に示されている複数のOracle PKI証明書使用方法をサポートできます。Oracle PKIアプリケーションでは、必要なPKI証明書使用方法が含まれる最初の証明書が使用されます。

たとえば、使用方法がSSLの場合は、SSL Oracle PKI証明書使用方法が含まれる最初の証明書が使用されます。

SSLの使用方法を含む証明書がない場合、ORA-28885エラー(必須の鍵使用方法のある証明書が見つかりません。)が戻されます。

6.1.9 LDAPディレクトリのサポート

Oracle Wallet Managerは、LDAP準拠のディレクトリに対するウォレットのアップロードおよび検索が可能です。集中化されたLDAP準拠のディレクトリにウォレットを格納すると、ユーザーは複数の場所やデバイスからウォレットにアクセスできるため、ウォレットのライフ・サイクル全体を通じてウォレットを集中管理しながら、信頼性の高い一貫したユーザー認証が保証されます。ユーザーが有効なウォレットを誤って上書きしないようにするために、インストールされた証明書を含むウォレット以外はアップロードできません。

ユーザーがOracle Wallet Managerを使用してウォレットをアップロードまたはダウンロードできるようにするには、ディレクトリ・ユーザー・エントリをLDAPディレクトリで定義および構成する必要があります。ディレクトリにOracle8i (またはそれ以前の)ユーザーが登録されている場合、それらのユーザーは、ウォレットのアップロードおよびダウンロード機能を初めて使用する際に自動的にアップグレードされます。

Oracle Wallet Managerでは、LDAPディレクトリへの簡単なパスワード・ベースの接続を使用して、ユーザー・ウォレットをダウンロードします。ただし、開かれているウォレットに、SSL Oracle PKI証明書使用方法が指定された証明書が含まれている場合、アップロードにはSSL接続が使用されます。SSL証明書がウォレットにない場合は、パスワード・ベースの認証が使用されます。

注意:

ディレクトリ・パスワードとウォレット・パスワードは互いに独立しており、異なる値を設定できます。これらのパスワードは、常に異なったものに維持し、かつ一方から他方を論理的に導出できないようにすることをお薦めします。

関連項目:

• 「LDAPディレクトリへのOracleウォレットのアップロード」

• 「LDAPディレクトリからのOracleウォレットのダウンロード」

• Oracle PKI証明書使用方法の詳細は、「複数証明書のサポート」を参照してください。

6.2 Oracle Wallet Managerの起動

Oracle Wallet Managerを起動するには、次の手順を実行します。

• (UNIXの場合)コマンドラインで、次のコマンドを入力します。

  owm
  

  64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、次のコマンドを入力します。

  owm -pkcs11
  

  (このガイドでは、PKCS#11統合が使用されていないことを想定しています。)

• (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

6.3 Oracleウォレットを作成するための一般的なプロセス

Oracleウォレットは、ユーザー証明書および接続先の証明書を検証するのに必要なトラスト・ポイントを安全に格納できるリポジトリを提供します。

次の手順は、完全なウォレット作成プロセスの概要を示しています。

1. Oracle Wallet Managerを使用して、新しいウォレットを作成します。
2. 証明書のリクエストを生成します。新しいウォレットをOracle Wallet Managerで作成する場合、ツールにより自動的に証明書リクエストの作成を求めるプロンプトが表示されます。
3. 利用するCAに証明書リクエストを送信します。電子メール・メッセージに証明書リクエストのテキストをコピーして貼り付けるか、証明書リクエストをファイルにエクスポートできます。証明書リクエストはウォレットの一部になります。これは、その関連する証明書を削除するまで、ウォレットに残しておく必要があります。
4. CAから署名済のユーザー証明書とそれに関連する信頼できる証明書を受け取ったら、これらの証明書を次の順序でインポートできます。PKCS #7形式のユーザー証明書と信頼できる証明書は、同時にインポートできます。

   • 最初にCAの信頼できる証明書をウォレットにインポートします。CAの1つが新しいユーザー証明書を発行し、そのCAの信頼できる証明書がデフォルトでOracle Wallet Managerに存在する場合、この手順は省略可能です。

   • 信頼できる証明書を正しくインポートしてから、CAから受け取ったユーザー証明書をウォレットにインポートします。

5. (オプション)ウォレットに自動ログイン機能を設定します。

   この機能はパスワードを使用せずにPKIベースでサービスにアクセスできるようにするためのものであり、一般的に、ほとんどのウォレットで必要になります。データベース・サーバーとクライアントのウォレットには必要です。起動時にウォレット・パスワードを取得する製品では、オプションです。

前述のプロセスが完了すると、ユーザー証明書とそれに関連するトラスト・ポイントが含まれるウォレットが設定されます。

関連項目:

これらの手順の詳細は、「Oracleウォレットの証明書の管理」を参照してください。

6.4 Oracleウォレットの管理

ここでは、Oracleウォレットを新規作成する方法、および、証明書リクエストの生成、証明書リクエストのエクスポート、証明書のウォレットへのインポートなどの関連するウォレット管理タスクの実行方法について、次の各項で説明します。

• Oracle Wallet Managerの概要

• ウォレット・パスワードの管理

• 強力なウォレット暗号化

• Microsoft Windowsレジストリ・ウォレット・ストレージ

• Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定

• 下位互換性

• 公開鍵暗号規格(PKCS)のサポート

• 複数証明書サポート

• LDAPディレクトリのサポート

トピック:

• Oracleウォレット・パスワードの作成に関する必須ガイドライン
  
• Oracleウォレットの新規作成
  
• 既存のOracleウォレットのオープン
  
• Oracleウォレットのクローズ
  
• サード・パーティ環境へのOracleウォレットのエクスポート
  
• PKCS #12をサポートしないツールへのOracleウォレットのエクスポート
  
• LDAPディレクトリへのOracleウォレットのアップロード
  
• LDAPディレクトリからのOracleウォレットのダウンロード
  
• Oracleウォレットの変更の保存
  
• 開いているウォレットの新しい場所への保存
  
• Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存
  
• Oracleウォレットの削除
  
• Oracleウォレット・パスワードの変更
  
• Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化
  

6.4.1 Oracleウォレット・パスワードの作成に関する必須ガイドライン

Oracleウォレットには、複数のデータベースに対してユーザーを認証するために使用されるユーザーの資格証明が含まれているため、ウォレットに対して強力なパスワードを選択することが特に重要となります。悪意のあるユーザーがウォレット・パスワードを推測して、ウォレットの所有者がアクセス権を持つすべてのデータベースにアクセスする可能性があるためです。

パスワードは、英字と数字または特殊文字を組み合せて8文字以上で指定する必要があります。

注意:

ユーザー名、電話番号または公的機関の識別番号に基づく推測しやすいパスワードは指定しないことを強くお薦めします。これにより、潜在的な攻撃者が個人情報を使用してユーザーのパスワードを割り出すことを予防できます。また、セキュリティ上の措置として、月に1回または四半期に1回など、定期的にパスワードを変更することをお薦めします。

パスワードを変更する場合は、自動ログイン・ウォレットを再生成する必要があります。

関連項目:

• 「ウォレット・パスワードの管理」

• 「Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化」

6.4.2 Oracleウォレットの新規作成

Oracle Wallet Managerを使用して、ファイル・システム上のディレクトリに資格証明を格納するPKCS #12ウォレット(標準のデフォルトのウォレット・タイプ)を作成できます。また、これを使用して、PKCS #11ウォレットを作成し、サーバー用のハードウェア・セキュリティ・モジュールに資格証明を格納したり、クライアント用のトークンに秘密鍵を格納することもできます。次の各項では、Oracle Wallet Managerを使用して両タイプのウォレットを作成する方法について説明します。

この節では、以下のトピックについて説明します。

• 標準Oracleウォレットの作成

• ハードウェア・セキュリティ・モジュール資格証明を格納するためのOracleウォレットの作成

トピック:

• 標準Oracleウォレットの作成
  
• ハードウェア・セキュリティ・モジュール資格証明を格納するためのOracleウォレットの作成
  

6.4.2.1 標準Oracleウォレットの作成

ハードウェア・セキュリティ・モジュール(PKCS #11デバイス)がない場合は、ファイル・システムのディレクトリに資格証明を格納する標準ウォレットを使用する必要があります。

標準Oracleウォレットを作成するには、次のタスクを実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. 「ウォレット」メニューから「新規」を選択します。

   ウォレット用のディレクトリをまだ作成していない場合は、このディレクトリを作成するように求めるプロンプトが表示されます。デフォルトで、ウォレット・ディレクトリは/oracle/owm/wallets/user_nameディレクトリに作成されます。

   「新規ウォレット」ダイアログ・ボックスが表示されます。

3. 次の情報を入力します。

   • パスワードおよびパスワードの確認: この2つのフィールドにパスワードを入力します。「Oracleウォレット・パスワードの作成に関する必須ガイドライン」に準拠していることを確認します。このパスワードにより、資格証明の不正使用を防止します。

   • ウォレット・タイプ: 「標準」を選択します。

4. 「OK」をクリックします。

   警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書リクエストを追加するかどうかが確認されます。

5. 証明書リクエストの作成プロンプトが表示されたら、次のいずれかのオプションを選択します。

   • はい: 「証明書リクエストの追加」を参照してください。

   • いいえ: 「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットがウィンドウの左ペインに表示されます。証明書のステータスは「空」で、ウォレットにはデフォルトの信頼できる証明書が表示されます。

6. 「ウォレット」メニューから「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。

   ウォレットをシステム・デフォルトに保存する権限がない場合は、別の場所に保存できます。この場所は、クライアントとサーバーのSSL構成で使用してください。

   ウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。

6.4.2.2 ハードウェア・セキュリティ・モジュール資格証明を格納するためのOracleウォレットの作成

PKCS #11に準拠するハードウェア・セキュリティ・モジュールに資格証明を格納するOracleウォレットを作成するには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. 「ウォレット」メニューから「新規」を選択します。

   「新規ウォレット」ダイアログ・ボックスが表示されます。

3. 次の情報を入力します。

   • パスワードおよびパスワードの確認: この2つのフィールドにパスワードを入力します。「Oracleウォレット・パスワードの作成に関する必須ガイドライン」に準拠していることを確認します。このパスワードにより、資格証明の不正使用を防止します。

   • ウォレット・タイプ: 「PKCS11」を選択します。

4. 「OK」をクリックして続行します。

   「PKCS11情報」ウィンドウが表示されます。

5. 「PKCS11情報」ウィンドウで、次の情報を入力します(「ハードウェア・ベンダーの選択」リストから、ベンダー名を選択)。

   • ハードウェア・ベンダー: ベンダー名を選択します。SafeNETおよびnCipherのハードウェアでOracleウォレットとの相互運用が証明されています。

   • 「PKCS11ライブラリのファイル名」フィールドで、PKCS11ライブラリが格納されているディレクトリへのパスを入力するか、「参照」をクリックし、ファイル・システムを検索して探します。

   • スマートカードのパスワード: このパスワードを入力します。スマートカード・パスワードは、ウォレット・パスワードとは異なり、ウォレットに格納されます。

6. 「OK」をクリックします。

   警告が表示され、空のウォレットが新規に作成されたことが通知されます。証明書リクエストを追加するかどうかが確認されます。

7. 証明書リクエストの作成プロンプトが表示されたら、次のいずれかのオプションを選択します。

   • はい: 「証明書リクエストの追加」を参照してください。

   • いいえ: 「いいえ」を選択すると、Oracle Wallet Managerのメイン・ウィンドウに戻ります。新規に作成したウォレットがウィンドウの左ペインに表示されます。証明書のステータスは「空」で、ウォレットにはデフォルトの信頼できる証明書が表示されます。

8. 「ウォレット」メニューから「システム・デフォルトに保存」を選択して、新しいウォレットを保存します。

   システム・デフォルトにウォレットを保存する権限がない場合は、別の場所に保存できます。

   ウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。

   スマートカード・パスワードを変更したり、PKCS #11ライブラリを移動してから、ウォレットを開こうとすると、エラー・メッセージが表示されます。その後、新規のスマートカード・パスワードまたはライブラリへの新規パスの入力を求めるプロンプトが表示されます。

6.4.3 既存のOracleウォレットのオープン

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. 「ウォレット」メニューから「オープン」を選択します。

   「ディレクトリを選択」ダイアログ・ボックスが表示されます。

3. ウォレットが保存されているディレクトリの場所に移動し、そのディレクトリを選択します。
4. 「OK」をクリックします。

   「ウォレットを開く」ダイアログ・ボックスが表示されます。

5. 「ウォレット・パスワード」フィールドにウォレット・パスワードを入力します。
6. 「OK」をクリックします。

   メイン・ウィンドウに戻り、ウォレットが正常に開いたことを示すメッセージがウィンドウの下部に表示されます。ウォレットの証明書およびその信頼できる証明書が、ウィンドウの左ペインに表示されます。

6.4.4 Oracleウォレットのクローズ

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. 「ウォレット」メニューから「クローズ」を選択します。

ウォレットが閉じたことを確認するメッセージが、ウィンドウの下部に表示されます。

6.4.5 サード・パーティ環境へのOracleウォレットのエクスポート

1. Oracle Wallet Managerを使用して、ウォレット・ファイルを保存します。

   1. Oracle Wallet Managerを起動します。

      (UNIXの場合)コマンドラインで、次のコマンドを入力します。

      owm
      

      (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

   2. パネルから「ウォレット」を選択してウォレットが開いていることを確認し、「ウォレット」メニューで「オープン」を選択します。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。

   3. 「ウォレット」メニューから「保存」を選択します。

2. サード・パーティ製品固有の手順に従って、Oracle Wallet Managerにより作成されたオペレーティング・システム用PKCS #12ウォレット・ファイル(UNIXおよびWindowsプラットフォーム上ではewallet.p12)をインポートします。

   注意:

   • Oracle Wallet Managerではウォレットごとに複数の証明書がサポートされますが、現在のブラウザの多くは、単一証明書を含むウォレットのインポートのみをサポートしています。このようなブラウザを使用している場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。

   • Oracle Wallet Managerでは、Netscape Communicator 4.7.2以上、OpenSSLおよびMicrosoft Internet Explorer 5.0以上へのウォレット・エクスポートのみがサポートされます。

6.4.6 PKCS #12をサポートしないツールへのOracleウォレットのエクスポート

PKCS #12をサポートしないツールにウォレットを配置する必要がある場合は、そのウォレットをテキストベースのPKI形式でエクスポートできます。各コンポーネントは、表6-4に示す規格に従ってフォーマットされます。ウォレット内でSSL鍵を使用する証明書のみがウォレットとともにエクスポートされます。

テキストベースのPKI形式でウォレットをエクスポートするには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「操作」メニューから「ウォレットのエクスポート」を選択します。

   「ウォレットのエクスポート」ダイアログ・ボックスが表示されます。

4. ウォレット用の宛先ファイル・システム・ディレクトリを入力するか、または「フォルダ」の下のディレクトリ構造に移動します。
5. ウォレットの宛先ファイル名を入力します。
6. 「OK」をクリックしてメイン・ウィンドウに戻ります。

表6-4 PKIウォレットのエンコーディング規格

コンポーネント	エンコーディング規格
証明連鎖	X509v3
信頼できる証明書	X509v3
秘密鍵	PKCS #8

6.4.7 LDAPディレクトリへのOracleウォレットのアップロード

指定されたウォレットにSSL証明書が含まれる場合、Oracle Wallet ManagerではSSLを使用して、OracleウォレットをLDAPディレクトリにアップロードします。それ以外の場合は、ユーザーがディレクトリ・パスワードを入力します。

ウォレットを誤って破損しないように、Oracle Wallet Managerでは、ターゲットのウォレットが現在開いており、かつ、少なくとも1つのユーザー証明書が含まれている場合を除いて、アップロード・オプションを実行できないようになっています。

ウォレットをアップロードするには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「ディレクトリ・サービス内へのアップロード」を選択します。

   Oracle Databaseによって、ウォレットの証明書にSSLの鍵使用方法が含まれているかどうかが確認されます。

4. ウォレットの証明書にSSLの鍵使用方法が含まれているかどうかにより、次のいずれかを実行します。

   • 少なくとも1つの証明書にSSLの鍵使用方法がある場合: プロンプトが表示されたら、LDAPディレクトリ・サーバー・ホスト名とポート情報を入力し、「OK」をクリックします。Oracle Wallet Managerにより、SSLを使用してLDAPディレクトリ・サーバーへの接続が試行されます。ウォレットが正常にアップロードされたか、失敗したかを示すメッセージが表示されます。

   • どの証明書にもSSLの鍵使用方法がない場合: プロンプトが表示されたら、ユーザーの識別名(DN)、LDAPサーバー・ホスト名およびポート情報を入力し、「OK」をクリックします。Oracle Wallet Managerにより、ウォレット・パスワードがディレクトリ・パスワードと同じであると仮定して、簡易パスワード認証モードを使用してLDAPディレクトリ・サーバーへの接続が試行されます。

     接続が失敗すると、指定したDNのディレクトリ・パスワードの入力を求めるダイアログ・ボックスが表示されます。Oracle Wallet Managerにより、このパスワードを使用してLDAPディレクトリ・サーバーへの接続が試行され、失敗すると警告メッセージが表示されます。それ以外の場合は、Oracle Wallet Managerによって、アップロードが正常に終了したことを示すステータス・メッセージがウィンドウの下部に表示されます。

注意:

• 使用する識別名が、LDAPディレクトリのオブジェクト・クラスinetOrgPersonの対応するユーザー・エントリと一致していることを確認する必要があります。

• SSL証明書が含まれるウォレットをアップロードする場合は、SSLポートを使用してください。SSL証明書が含まれないウォレットをアップロードする場合は、非SSLポートを使用してください。

6.4.8 LDAPディレクトリからのOracleウォレットのダウンロード

OracleウォレットがLDAPディレクトリからダウンロードされると、そのウォレットは作業メモリー内に格納されます。次の項で説明する保存オプションを使用して明示的に保存しないかぎり、ファイル・システムには保存されません。

関連項目:

• 「Oracleウォレットの変更の保存」

• 「開いているウォレットの新しい場所への保存」

• 「Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存」

LDAPディレクトリからウォレットをダウンロードするには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. 「ウォレット」メニューから「ディレクトリ・サービスからのダウンロード」を選択します。

   識別名(DN)、LDAPディレクトリ・パスワード、ホスト名およびポート情報の入力を求める「ディレクトリ・サービスからのダウンロード」ダイアログ・ボックスが表示されます。Oracle Wallet Managerは、簡易パスワード認証を使用してLDAPディレクトリに接続します。

3. ダウンロード操作が成功したかどうかにより、次のいずれかを実行します。

   • ダウンロードが失敗した場合: ユーザーのDN、LDAPサーバー・ホスト名およびポート情報を正しく入力したかどうかを確認します。使用するポートは、非SSLポートである必要があります。

   • ダウンロードが成功した場合: 「OK」をクリックして、ダウンロードしたウォレットを開きます。Oracle Wallet Managerは、ディレクトリ・パスワードを使用してウォレットを開こうとします。ディレクトリ・パスワードを使用して操作に失敗した場合、ウォレット・パスワードの入力を求めるダイアログ・ボックスが表示されます。

     Oracle Wallet Managerでウォレット・パスワードを使用してターゲットのウォレットを開くことができない場合は、正しいパスワードを入力したかどうかを確認します。それ以外の場合は、ウォレットが正常にダウンロードされたことを示すメッセージがウィンドウの下部に表示されます。

6.4.9 Oracleウォレットの変更の保存

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「保存」を選択します。

選択したディレクトリの場所のウォレットにウォレットの変更が正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。

6.4.10 開いているウォレットの新しい場所への保存

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「別名で保存」を選択します。

   「ディレクトリを選択」ダイアログ・ボックスが表示されます。

4. ウォレットを保存するディレクトリの場所を選択します。
5. 「OK」をクリックします。

   選択した場所にウォレットがすでに存在している場合は、次のメッセージが表示されます。

   A wallet already exists in the selected path. Do you want to overwrite it?
   

   既存のウォレットを上書きする場合は「はい」を選択し、ウォレットを別の場所に保存する場合は「いいえ」を選択します。

   選択したディレクトリの場所にウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。

6.4.11 Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「システム・デフォルトに保存」を選択します。

システム・デフォルトのウォレット・ロケーション(UNIXおよびWindowsプラットフォームでは次に示す場所)にウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。

• (UNIX) $ORACLE_HOME/owm/wallets/username (ORACLE_HOME環境変数が設定されている場合)。

  ./owm/wallets/username (ORACLE_HOME環境変数が設定されていない場合)

• (WINDOWS) ORACLE_HOME\owm\wallets\username (ORACLE_HOME環境変数が設定されている場合)。

  .\owm\wallets\username (ORACLE_HOME環境変数が設定されていない場合)

注意:

• SSLでは、システム・デフォルトのディレクトリの場所に保存されているウォレットが使用されます。

• Oracleアプリケーションの中には、システム・デフォルト以外の場所にあるウォレットを使用できないものがあります。使用するアプリケーションのOracleマニュアルを参照し、ウォレットをデフォルトのウォレット・ディレクトリ位置に置く必要があるかどうかを判断してください。

6.4.12 Oracleウォレットの削除

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「削除」を選択します。

   「ウォレットの削除」ダイアログ・ボックスが表示されます。

4. 次を実行します。

   • ウォレット・ロケーション: 表示されたウォレット・ロケーションを調べて、正しいウォレットが削除されることを確認します。

   • ウォレット・パスワード: ウォレット・パスワードを入力します。

5. 「OK」をクリックします。
6. 「確認」ダイアログ・ボックスで、「OK」をクリックします。

注意:

• アプリケーション・メモリー内で開いているウォレットはすべて、アプリケーションを終了するまでメモリー内に残ります。したがって、現在使用中のウォレットを削除しても、システムの操作に直接影響することはありません。

• Oracle Wallet Managerを使用して、透過的データ暗号化キーストアを削除しないでください。キーストアの削除の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

6.4.13 Oracleウォレット・パスワードの変更

Oracleウォレットのパスワードの変更は、すぐに有効になります。ウォレットは、現在選択されているディレクトリにパスワードで暗号化されて保存されます。

注意:

自動ログインを有効化したウォレットを使用している場合は、パスワードの変更後に自動ログイン・ウォレットを再生成する必要があります。詳細は、「Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化」を参照してください。

ウォレットのパスワードを変更するには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューから「パスワードの変更」を選択します。

   「ウォレット・パスワードの変更」ダイアログ・ボックスが表示されます。

4. 次の情報を入力します。

   • 旧ウォレット・パスワード: 現在のウォレット・パスワードを入力します。

   • 新ウォレット・パスワードおよびウォレット・パスワードの確認: 新しいパスワードを入力します。

5. 「OK」をクリックします。

パスワードが正常に変更されたことを確認するメッセージが、ウィンドウの下部に表示されます。

関連項目:

• 「Oracleウォレット・パスワードの作成に関する必須ガイドライン」

• パスワード・ポリシーの制限は、「ウォレット・パスワードの管理」を参照してください。

6.4.14 Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化

この項の内容は次のとおりです。

• Oracleウォレットの自動ログインの使用について

• Oracleウォレットの自動ログインの有効化

• Oracleウォレットの自動ログインの無効化

トピック:

• Oracleウォレットの自動ログインの使用について
  
• Oracleウォレットの自動ログインの有効化
  
• Oracleウォレットの自動ログインの無効化
  

6.4.14.1 Oracleウォレットの自動ログインの使用について

ウォレットの自動ログイン機能は、ユーザーが必要なパスワードを手動で入力せずに、PKIベースでサービスにアクセスできるようにする機能です。自動ログインを有効化すると、ウォレットの不明瞭化されたコピーが作成され、ウォレットの自動ログイン機能を無効化するまで自動的に使用されます。

自動ログイン・ウォレットは、ファイル・システム権限によって保護されます。自動ログインを有効化すると、ウォレットは、作成したオペレーティング・システム・ユーザーのみがOracle Wallet Managerで管理できるようになります。

複数のOracleデータベースに対するシングル・サインオン・アクセスを希望する場合は、自動ログインを有効化する必要があります。通常、このようなアクセスはデフォルトで無効化されています。不明瞭化された自動ログイン・ウォレットは、シングル・サインオン機能をサポートするため、SSOウォレットと呼ばれることもあります。

6.4.14.2 Oracleウォレットの自動ログインの有効化

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューで「自動ログイン」チェック・ボックスを選択します。

   自動ログインが有効化されたことを示すメッセージが、ウィンドウの下部に表示されます。

6.4.14.3 Oracleウォレットの自動ログインの無効化

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「ウォレット」メニューで「自動ログイン」チェック・ボックスの選択を解除します。

   ウィンドウの下部に、自動ログインが無効化されたことを示すメッセージが表示されます。

6.5 Oracleウォレットの証明書の管理

この項の内容は次のとおりです。

• Oracleウォレットの証明書の管理について

• Oracleウォレットのユーザー証明書の管理

• Oracleウォレットの信頼できる証明書の管理

トピック:

• Oracleウォレットの証明書の管理について
  
• Oracleウォレットのユーザー証明書の管理
  
• Oracleウォレットの信頼できる証明書の管理
  

6.5.1 Oracleウォレットの証明書の管理について

すべての証明書は、ネットワーク・アイデンティティを対応する公開鍵とバインドする署名付きのデータ構造体です。

表6-5に、この章で区別される2つのタイプの証明書を示します。

表6-5 証明書のタイプ

証明書タイプ	例
ユーザー証明書	公開鍵/秘密鍵交換でエンド・エンティティの識別情報を証明するためにサーバーまたはユーザーに対して発行される証明書
信頼できる証明書	ユーザー証明書を発行して署名する認証局など、信頼できるエンティティを表す証明書

注意:

ユーザー証明書をインストールするには、そのユーザー証明書を発行した認証局を表す信頼できる証明書がウォレットに含まれている必要があります。ただし、新しいウォレットを作成するたびに、公的に信頼できて、広く使用されている証明書がいくつか自動的にインストールされます。必要な認証局が表示されない場合、最初にその証明書をインストールする必要があります。

また、PKCS#7証明連鎖形式(ユーザー証明書とCA証明書を同時に提供)を使用してインポートすることもできます。

6.5.2 Oracleウォレットのユーザー証明書の管理

この項の内容は次のとおりです。

• ユーザー証明書の管理について

• 証明書リクエストの追加

• Oracleウォレットへのユーザー証明書のインポート

• サード・パーティによって作成された証明書およびウォレットのインポート

• Oracleウォレットからのユーザー証明書の削除

• 証明書リクエストの削除

• ユーザー証明書のエクスポート

• ユーザー証明書リクエストのエクスポート

トピック:

• ユーザー証明書の管理について
  
• 証明書リクエストの追加
  
• Oracleウォレットへのユーザー証明書のインポート
  
• サード・パーティによって作成された証明書およびウォレットのインポート
  
• Oracleウォレットからのユーザー証明書の削除
  
• 証明書リクエストの削除
  
• ユーザー証明書のエクスポート
  
• ユーザー証明書リクエストのエクスポート
  

6.5.2.1 ユーザー証明書の管理について

ユーザー証明書(サーバー証明書を含む)は、エンド・ユーザー、スマートカード、またはWebサーバーのようなアプリケーションによって使用されます。たとえば、CAがWebサーバーの識別名(DN)を「サブジェクト」フィールドに入力して証明書を発行すると、Webサーバーが証明書所有者となり、このユーザー証明書のユーザーとなります。

6.5.2.2 証明書リクエストの追加

Oracle Wallet Managerを使用すると、複数の証明書リクエストを追加できます。Oracle Wallet Managerでは、複数のリクエストを追加すると、後続のリクエスト・ダイアログ・ボックスに初期リクエストの内容が自動的に表示されるので、それを編集することができます。

実際の証明書リクエストがウォレットの一部になります。証明書リクエストのいずれかを再利用して、新規証明書を取得できます。ただし、既存の証明書リクエストは編集できません。適切な情報を入力した証明書リクエストのみをウォレットに格納してください。

PKCS #10証明書リクエストを作成するには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「操作」メニューから「証明書リクエストの追加」を選択します。

   「証明書リクエストの作成」ダイアログ・ボックスが表示されます。

   証明書リクエスト情報の入力に使用するようなモーダル・ダイアログ・ボックスが表示されているとき、Oracle Wallet Managerオンライン・ヘルプは応答しません。モーダル・ダイアログ・ボックスを閉じると、オンライン・ヘルプが応答するようになります。

4. 表6-6で指定されている情報を入力します。
5. 「OK」をクリックします。

   証明書リクエストが正常に作成されたことを示すメッセージが表示されます。このダイアログ・パネルの本文から証明書リクエストのテキストをコピーして、それを認証局に送信する電子メール・メッセージに貼り付けるか、またはその証明書リクエストをファイルにエクスポートできます。この時点で、Oracle Wallet Managerにより秘密鍵と公開鍵のペアが作成され、ウォレットに格納されます。認証局が証明書を発行すると、これもウォレットに格納され、対応する秘密鍵に関連付けられます。

6. 「OK」をクリックします。

   証明書のステータスが「リクエスト済」に変わります。

   関連項目:

   「ユーザー証明書リクエストのエクスポート」

表6-6 証明書リクエスト: フィールドと説明

フィールド名	説明
共通名	必須。ユーザーの識別情報またはサービスの識別情報の名前を入力します。名/姓の形式でユーザー名を入力します。 例: Eileen.Sanger
組織単位	オプション。識別情報の組織単位の名前を入力します。例: 財務。
組織	オプション。識別情報の組織の名前を入力します。例: XYZ Corp.
市町村	オプション。識別情報が常駐する市町村の名前を入力します。
都道府県	オプション。識別情報が常駐する都道府県の完全名を入力します。 2文字からなる省略形を受け入れない認証局もあるため、都道府県は完全名で入力してください。
国	必須。「国」を選択して、国の略称のリストを表示します。その組織の所在地である国を選択します。
DN	必須。「アルゴリズム(鍵サイズ/楕円曲線)」リストを選択して、公開鍵と秘密鍵のペアを作成するときに使用する鍵サイズのリストを表示します。鍵サイズの値は、表6-7を参照してください。
詳細	オプション。「詳細」を選択して、「証明書リクエストの詳細」ダイアログ・パネルを表示します。このフィールドを使用して、識別情報の識別名(DN)を編集またはカスタマイズします。たとえば、都道府県名や市町村名を編集できます。

表6-7に、使用可能な鍵サイズと各サイズで提供される相対的なセキュリティを示します。一般的に、CAは1024または2048の鍵サイズを使用します。証明書の所有者が鍵の長期保有を希望する場合は、3072または4096ビットの鍵を選択します。

表6-7 使用可能な鍵サイズ

鍵サイズ	関連セキュリティ・レベル
512または768	安全とはみなされない。
1024または2048	安全。
3072または4096	非常に安全。

6.5.2.3 Oracleウォレットへのユーザー証明書のインポート

認証局から証明書が付与される場合、テキスト(BASE64)形式の証明書を含む電子メールか、証明書がバイナリ・ファイルとして添付された電子メールが届きます。次の方法を使用して、ユーザー証明書をインポートできます。

• 認証局の電子メールのテキストからユーザー証明書をインポートする手順

• ファイルからユーザー証明書をインポートする手順

注意:

認証局は、証明書をPKCS #7証明連鎖または個別のX.509証明書として送信します。Oracle Wallet Managerではどちらのタイプもインポートできます。

PKCS #7証明連鎖は証明書の集合体であり、ユーザーの証明書以外に、それを裏付ける信頼できるCA証明書およびサブCA証明書がすべて含まれています。

一方、X.509証明書ファイルには、個々の証明書が含まれ、裏付け用の証明連鎖は含まれません。

ただし、このような個々の証明書をインポートするには、署名者の証明書がウォレット内の信頼できる証明書である必要があります。

認証局の電子メールのテキストからユーザー証明書をインポートする手順

電子メール・メッセージからテキスト(BASE64)形式の証明書をコピーします。Begin CertificateからEnd Certificateまでの行を含めてください。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。

3. 「操作」→「ユーザー証明書のインポート」を選択します。

   「証明書のインポート」ダイアログ・ボックスが表示されます。

4. 「証明書の貼付け」を選択し、「OK」をクリックします。

   別の「証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。

   Please provide a base64 format certificate and paste it below.
   

5. ダイアログ・ボックスに証明書を貼り付けて、「OK」をクリックします。

   1. PKCS#7形式の証明書を受信した場合、この証明書はインストールされ、PKCS#7データと一緒に含まれていた他の証明書はすべて、「信頼できる証明書」リストに追加されます。

   2. PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が「信頼できる証明書」リストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、「信頼できる証明書」リストに追加されます。(CA証明書がすでに「信頼できる証明書」リストに存在している場合、追加手順なしで証明書がインポートされます。)

   (a)または(b)が成功した場合は、証明書が正常にインストールされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリのステータスが「準備完了」に変わります。

注意:

標準X.509証明書には、次の開始テキストと終了テキストが含まれます。

• -----BEGIN CERTIFICATE-----
  -----END CERTIFICATE-----

一般的なPKCS#7証明書には、前述のようにさらに多くの情報が含まれ、開始テキストと終了テキストは次のとおりです。

• -----BEGIN PKCS7-----
  -----END PKCS7-----

コピーするには、ダッシュを含めてすべて選択し、通常の[Ctrl]キーを押しながら[C]キーを押し、貼り付けるには、[Ctrl]キーを押しながら[V]キーを押します。

ファイルからユーザー証明書をインポートする手順

ファイル内のユーザー証明書は、テキスト(BASE64)形式またはバイナリ(der)形式になります。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。

3. 「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。

4. 「証明書を含むファイルの選択」を選択し、「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスが表示されます。

5. 証明書ファイルの場所のパス名またはフォルダ名を入力します。

6. 証明書ファイルの名前(cert.txt、cert.derなど)を選択します。

7. 「OK」をクリックします。

   1. PKCS#7形式の証明書を受信した場合、この証明書はインストールされ、PKCS#7データと一緒に含まれていた他の証明書はすべて、「信頼できる証明書」リストに追加されます。

   2. PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が「信頼できる証明書」リストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、「信頼できる証明書」リストに追加されます。(CA証明書がすでに「信頼できる証明書」リストに存在している場合、追加手順なしで証明書がインポートされます。)

   (a)または(b)が成功した場合は、証明書が正常にインストールされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリのステータスが「準備完了」に変わります。

6.5.2.4 サード・パーティによって作成された証明書およびウォレットのインポート

サード・パーティ証明書とは、Oracle Wallet Managerを使用して生成されなかった証明書リクエストから作成された証明書のことです。このようなサード・パーティ証明書には、ユーザー証明書の他にその証明書の秘密鍵も含まれるため、実際にはウォレットです。さらに、それには証明書が信頼できるエンティティによって作成されたことを示す信頼できる証明書の連鎖が含まれます。

これらのウォレットは、Oracle Wallet ManagerによりPKCS#12形式でインポートすることにより、1回の手順で使用可能になります。この形式には、前述の3つの要素(ユーザー証明書、秘密鍵および信頼できる証明書)がすべて含まれます。次のPKCS #12形式の証明書がサポートされています。

• Netscape Communicator 4.x以上

• Microsoft Internet Explorer 5.x以上

Oracle Wallet ManagerはPKCS#12規格に準拠しているため、PKCS#12準拠ツールによってエクスポートされた証明書はOracle Wallet Managerで使用できます。

こうしたサード・パーティ証明書は、秘密鍵と信頼できる認証局の連鎖がないため、既存のOracleウォレットに格納することはできません。そのため、こうした証明書はそれぞれ、独立したPKCS#12ファイルとして、つまり独自のウォレットとしてエクスポートおよび取得されます。

サード・パーティ・ツールで作成されたユーザー証明書のインポート

サード・パーティによって作成されたウォレットを利用するには、この項で説明するように、そのウォレットをインポートする必要があります。

サード・パーティ・ツールを使用して作成された証明書をインポートするには、次の手順を実行します。

1. 特定の製品固有の手順に従って、証明書をエクスポートします。

   エクスポート元製品の指示に従って秘密鍵をエクスポートに含め、エクスポートされた証明書を保護するための新しいパスワードを指定します。関連するトラスト・ポイントもすべて含めます。(PKCS #12では、ブラウザは署名者自身の証明書以外に信頼できる証明書をエクスポートするとはかぎりません。接続先に対する認証のために、別の証明書を追加する必要がある場合があります。Oracle Wallet Managerを使用して、信頼できる証明書をインポートできます。)

   証明書、秘密鍵およびトラスト・ポイントが格納された生成ファイルは、サード・パーティ証明書を使用可能にする新しいウォレットになります。

2. ウォレットを適切なシステムおよびディレクトリにコピーして、簡単に検索できる場所に配置します。

   ウォレットを特定のアプリケーションまたはサーバー(WebサーバーやLDAPサーバーなど)で使用できるようにするには、ウォレットを正確に配置する必要があります。必要なウォレットの検索先として想定されるディレクトリは、アプリケーションごとに異なります。

3. UNIXやWindowsのアプリケーションまたはサーバーで使用する場合、ウォレットにewallet.p12という名前を付ける必要があります。

   その他のオペレーティング・システムについては、該当するオペレーティング・システム固有のOracleドキュメントを参照してください。

   サード・パーティ証明書がewallet.p12として格納されると、Oracle Wallet Managerで開いて管理できるようになります。このウォレットをエクスポートする場合、作成したパスワードを入力する必要があります。

注意:

このパスワードは、関連するアプリケーションを起動するたびに、または証明書が必要になるたびに要求されます。このようなアクセスを自動化するには、「Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化」を参照してください。

ただし、必要な証明書の秘密鍵が別のハードウェア・セキュリティ・モジュールで保持されている場合、その証明書をインポートすることはできません。

6.5.2.5 Oracleウォレットからのユーザー証明書の削除

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 左パネルのサブツリーで、削除する証明書を選択します。
4. 「操作」メニューから「ユーザー証明書の削除」を選択します。
5. 「確認」ダイアログ・ボックスで「はい」を選択し、Oracle Wallet Managerのメイン・パネルに戻ります。

   証明書には「リクエスト済」のステータスが表示されます。

6.5.2.6 証明書リクエストの削除

リクエストを削除するには、関連する証明書を事前に削除する必要があります。

証明書リクエストを削除するには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 左パネルのサブツリーで、削除する証明書リクエストを選択します。
4. 「操作」メニューから「証明書リクエストの削除」を選択します。
5. 「確認」ダイアログ・ボックスで、「はい」をクリックします。

6.5.2.7 ユーザー証明書のエクスポート

ファイル・システム・ディレクトリに証明書を保存するには、次の手順を使用して証明書をエクスポートします。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 左パネルのサブツリーで、エクスポートする証明書を選択します。
4. 「操作」メニューから「ユーザー証明書のエクスポート」を選択します。

   「証明書のエクスポート」ダイアログ・ボックスが表示されます。

5. 次の情報を入力します。

   • パスまたはフォルダ名を入力: 証明書を保存するファイル・システム・ディレクトリの場所を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。

   • ファイル名を入力: 証明書のファイル名を入力します。

6. 「保存」をクリックします。

   証明書が正常にファイルにエクスポートされたことを確認するメッセージが表示されます。Oracle Wallet Managerのメイン・ウィンドウに戻ります。

関連項目:

ウォレットのエクスポートの詳細は、「サード・パーティ環境へのOracleウォレットのエクスポート」を参照してください。Oracle Wallet Managerは単一のウォレットへの複数の証明書の格納をサポートしていますが、現在のブラウザの多くは、単一証明書を含むウォレットのみをサポートしています。したがって、このようなブラウザを使用している場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。

6.5.2.8 ユーザー証明書リクエストのエクスポート

ファイル・システム・ディレクトリに証明書リクエストを保存するには、次の手順を使用して証明書リクエストをエクスポートします。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 左パネルのサブツリーで、エクスポートする証明書リクエストを選択します。
4. 「操作」メニューから「証明書リクエストのエクスポート」を選択します。

   「証明書リクエストのエクスポート」ダイアログ・ボックスが表示されます。

5. 次の情報を入力します。

   • パスまたはフォルダ名を入力: 証明書を保存するファイル・システム・ディレクトリの場所を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。

   • ファイル名を入力: 証明書のファイル名を入力します。

6. 「OK」をクリックします。

   証明書リクエストが正常にファイルにエクスポートされたことを確認するメッセージが表示されます。Oracle Wallet Managerのメイン・ウィンドウに戻ります。

6.5.3 Oracleウォレットの信頼できる証明書の管理

信頼できる証明書の管理には、次のタスクがあります。

• 信頼できる証明書のインポート

• 信頼できる証明書の削除

• 別のファイル・システムの場所への信頼できる証明書のエクスポート

• 別のファイル・システムの場所へのすべての信頼できる証明書のエクスポート

トピック:

• 信頼できる証明書のインポート
  
• 信頼できる証明書の削除
  
• 別のファイル・システムの場所への信頼できる証明書のエクスポート
  
• 別のファイル・システムの場所へのすべての信頼できる証明書のエクスポート
  

6.5.3.1 信頼できる証明書のインポート

認証局から受信する電子メールから貼り付けるか、ファイルからインポートするかのいずれかの方法で、信頼できる証明書をウォレットにインポートできます。

Oracle Wallet Managerでは、ウォレットの新規作成時に、VeriSign社、RSA社、Entrust社およびGTE CyberTrust社の信頼できる証明書が自動的にインストールされます。

この項の内容は次のとおりです。

• テキストのみ(BASE64)形式の信頼できる証明書をコピーして貼り付ける手順

• 信頼できる証明書を含むファイルをインポートする手順

テキストのみ(BASE64)形式の信頼できる証明書をコピーして貼り付ける手順

1. ユーザー証明書が含まれている電子メール・メッセージが届いたら、本文から信頼できる証明書をコピーします。BEGIN CERTIFICATEからEND CERTIFICATEまでの行を含めてください。

   ユーザー証明書をコピーするには、[Ctrl]キーを押しながら[C]キーを押します(キーボード・ショートカット)。

2. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

3. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。

4. 「操作」メニューから「信頼できる証明書のインポート」を選択します。

   「信頼できる証明書のインポート」ダイアログ・ボックスが表示されます。

5. 「証明書の貼付け」オプションを選択し、「OK」をクリックします。

   別の「信頼できる証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。

   Please paste a BASE64 format certificate below.
   

6. ウィンドウに証明書を貼り付けて、「OK」をクリックします。

   証明書を貼り付けるには、[Ctrl]キーを押しながら[V]キーを押します(キーボード・ショートカット)。

   信頼できる証明書が正常にインストールされたことを示すメッセージが表示されます。

7. 「OK」をクリックします。

   Oracle Wallet Managerのメイン・パネルに戻り、信頼できる証明書が「信頼できる証明書」ツリーの下部に表示されます。

信頼できる証明書を含むファイルをインポートする手順

1. 信頼できる証明書を含むファイルがテキスト(BASE64)またはバイナリ(der)形式で保存されていることを確認します。
2. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

3. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
4. 「操作」メニューから「信頼できる証明書のインポート」を選択します。

   「信頼できる証明書のインポート」ダイアログ・ボックスが表示されます。

5. 「証明書を含むファイルの選択」オプションを選択し、「OK」をクリックします。

   「信頼できる証明書のインポート」ダイアログ・ボックスが表示されます。

6. 次の情報を入力します。

   • パスまたはフォルダ名を入力: 証明書を保存するファイル・システム・ディレクトリの場所を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。

   • ファイル名を入力: 信頼できる証明書のファイル名(cert.txtなど)を選択します。

7. 「OK」をクリックします。

   信頼できる証明書がウォレットに正常にインポートされたことを示すメッセージが表示されます。

8. 「OK」をクリックしてダイアログ・ボックスを終了します。

   Oracle Wallet Managerのメイン・パネルに戻り、信頼できる証明書が「信頼できる証明書」ツリーの下部に表示されます。

6.5.3.2 信頼できる証明書の削除

信頼できる証明書は、ウォレットに存在するユーザー証明書の署名に使用されている場合は削除できません。このような信頼できる証明書を削除するには、それによって署名された証明書を先に削除する必要があります。また、信頼できる証明書がウォレットから削除された後は、関連する証明書を検証できません。

信頼できる証明書をウォレットから削除するには、次の手順を実行します。

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「信頼できる証明書」ツリーにリストされた信頼できる証明書を選択します。
4. 「操作」メニューから「信頼できる証明書の削除」を選択します。

   ダイアログ・ボックスに警告が表示され、署名に使用した信頼できる証明書を削除すると、受信者側でユーザー証明書を検証できなくなることが通知されます。

5. 「はい」を選択します。

   選択した信頼できる証明書が、「信頼できる証明書」ツリーから削除されます。

6.5.3.3 別のファイル・システムの場所への信頼できる証明書のエクスポート

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 左パネルのサブツリーで、エクスポートする信頼できる証明書を選択します。
4. 「操作」メニューから「信頼できる証明書のエクスポート」を選択します。

   「信頼できる証明書のエクスポート」ダイアログ・ボックスが表示されます。

5. 次の情報を入力します。

   • パスまたはフォルダ名を入力: 信頼できる証明書を保存するファイル・システム・ディレクトリを入力するか、または「フォルダ」の下のディレクトリ構造に移動します。

   • ファイル名を入力: 信頼できる証明書の保存先のファイル名を入力します。

6. 「OK」をクリックします。

   Oracle Wallet Managerのメイン・ウィンドウに戻ります。

6.5.3.4 別のファイル・システムの場所へのすべての信頼できる証明書のエクスポート

1. Oracle Wallet Managerを起動します。

   • (UNIXの場合)コマンドラインで、次のコマンドを入力します。

     owm
     

   • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

2. ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
3. 「操作」メニューから「すべての信頼できる証明書のエクスポート」を選択します。

   「信頼できる証明書のエクスポート」ダイアログ・ボックスが表示されます。

4. 次の情報を入力します。

   • パスまたはフォルダ名を入力: 信頼できる証明書を保存するファイル・システム・ディレクトリの場所を入力するか、または「フォルダ」の下のディレクトリ構造に移動します。

   • ファイル名を入力: 信頼できる証明書の保存先のファイル名を入力します。

5. 「OK」をクリックします。

   Oracle Wallet Managerのメイン・ウィンドウに戻ります。