6 Oracle Wallet Managerの使用方法
トピック:
- Oracle Wallet Managerについて
- Oracle Wallet Managerの起動
- Oracleウォレットを作成するための一般的なプロセス
- Oracleウォレットの管理
- Oracleウォレットの証明書の管理
関連項目:
-
『Oracle Databaseセキュリティ・ガイド』のOracle PKIコンポーネント全般について説明している項を参照してください。
-
テスト目的でウォレットを作成し、証明書を発行できる
orapki
コマンドライン・ユーティリティの詳細は、『Oracle Databaseセキュリティ・ガイド』の付録を参照してください。 -
Oracle Wallet Managerの使用に関するライセンス情報は、『Oracle Databaseライセンス情報』を参照してください。
6.1 Oracle Wallet Managerについて
トピック:
- Oracle Wallet Managerの概要
- ウォレット・パスワードの管理
- 強力なウォレット暗号化
- Microsoft Windowsレジストリ・ウォレット・ストレージ
- Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定
- 下位互換性
- 公開鍵暗号規格(PKCS)のサポート
- 複数証明書のサポート
- LDAPディレクトリのサポート
関連項目:
Oracle環境における公開鍵インフラストラクチャの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
6.1.1 Oracle Wallet Managerの概要
Oracle Wallet Managerを使用して、Oracleクライアントおよびサーバーの公開鍵セキュリティ資格証明を管理できます。作成されたウォレットは、Oracle Database、Oracle Application ServerおよびOracle Identity Managementインフラストラクチャで読み取ることができます。
Oracle Wallet Managerを使用すると、ウォレットの所有者は、Oracleウォレットでセキュリティ資格証明を管理および編集できます。ウォレットは、認証および署名資格証明(秘密鍵、証明書、SSLで必要な信頼できる証明書など)の格納に使用されるパスワード保護されたコンテナです。Oracle Wallet Managerを使用して次のタスクを実行できます。
6.1.4 Microsoft Windowsレジストリ・ウォレット・ストレージ
Oracle Wallet Managerでは、複数のOracleウォレットをWindowsファイル管理システムまたはMicrosoft Windowsシステム・レジストリのユーザー・プロファイル領域に格納できます。レジストリにウォレットを格納すると、次のメリットがあります。
-
アクセス制御の向上: レジストリのユーザー・プロファイル領域に格納されたウォレットには、関連付けられているユーザーのみがアクセスできます。そのため、システムのユーザー・アクセス制御がそのままウォレットのアクセス制御になります。また、ユーザーがシステムからログアウトすると、そのユーザーのウォレットには実質的にアクセスできなくなります。
-
容易な管理: ウォレットが特定のユーザー・プロファイルに関連付けられているため、ファイル権限を管理する必要がなく、また、ユーザー・プロファイルを削除すると、プロファイルに格納されているウォレットも自動的に削除されます。レジストリ内のウォレットは、Oracle Wallet Managerを使用して作成および管理できます。
サポートされるオプションは次のとおりです。
-
レジストリからのウォレットのオープン
-
レジストリへのウォレットの保存
-
異なるレジストリの場所への保存
-
レジストリからのウォレットの削除
-
ファイル・システムからのウォレットのオープンとレジストリへの保存
-
レジストリからのウォレットのオープンとファイル・システムへの保存
6.1.5 Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定
Oracle Database 12c (リリース12.1)以降、Microsoft Windowsシステムでは、ファイル・システムのACLを手動で設定(Wallet Managerを使用して作成したファイル・システム内のウォレットに対するアクセス権の付与など)する必要があります。Oracle Databaseのサービスは権限の低いユーザーによって実行されるようになり、Oracle Databaseのサービスがファイルにアクセスするには、ファイル・システムのアクセス制御リスト(ACL)によってファイルへのアクセス権が付与される必要があります。Oracleインストールでは、通常の使用においてACLを手動で変更する必要がないように構成しますが、ACLを手動で変更する必要が生じる場合があります。
参照:
ファイル・システムのACLを手動で設定する方法の詳細は、『Oracle Databaseプラットフォーム・ガイドfor Microsoft Windows』を参照してください。
6.1.7 公開鍵暗号規格(PKCS)のサポート
公開鍵暗号規格(略称PKCS)と呼ばれる基本的な暗号規格ファミリは、RSA Security社の一部門であるRSALaboratoriesと業界、学会および政府の代表者により共同開発されました。これらの規格によって、イントラネットおよびインターネット上のデータを保護するために、公開鍵テクノロジを使用するコンピュータ・システム間の相互運用性を確立します。
Oracle Wallet Managerでは、PKCS #12形式でX.509証明書と秘密鍵を格納し、PKCS #10仕様に従って証明書リクエストを生成します。これらの機能により、Oracleウォレットがサポート対象のサード・パーティ製PKIアプリケーションと相互運用可能な構造になり、オペレーティング・システム間でのウォレットの移植も可能になります。
Oracle Wallet Managerウォレットでは、PKCS #11仕様に準拠するAPIを使用するハードウェア・セキュリティ・モジュールに資格証明を格納できます。ウォレット作成時にPKCS11
がウォレット・タイプとして選択されている場合、そのウォレットに格納されているすべての鍵がハードウェア・セキュリティ・モジュールまたはトークンに保管されます。このようなハードウェア・デバイスの例には、秘密鍵の格納または暗号処理の実行(あるいはその両方)を行うスマートカード、PCMCIAカード、スマート・ディスケットなどのポータブル・ハードウェア・デバイスがあります。
注意:
64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、コマンドラインで次のコマンドを入力します。
owm -pkcs11
関連項目:
-
PKCS規格に関するドキュメントを参照するには、次のURLにアクセスしてください。
PKCS Standards Documents
6.1.8 複数証明書のサポート
Oracle Wallet Managerにより、複数の証明書を各ウォレットに格納でき、次のいずれかのOracle PKI証明書使用方法がサポートされます。
-
SSL認証
-
S/MIME署名
-
S/MIME暗号化
-
コード署名
-
CA証明書署名
作成した各証明書リクエストによって、一意の秘密鍵と公開鍵のペアが生成されます。秘密鍵はウォレット内に残り、公開鍵はリクエストとともに認証局に送信されます。証明書は、認証局が生成して署名すると、対応する秘密鍵のあるウォレットにのみインポートできるようになります。
このウォレットに別の証明書リクエストも含まれている場合、そのリクエストに対応する秘密鍵と公開鍵のペアは、最初の証明書リクエストのペアとは異なります。この異なる証明書リクエストを認証局に送信すると、別の署名済証明書が提供されるので、それを同じウォレットにインポートできます。
単一の証明書リクエストを認証局に複数回送信して、複数の証明書を取得できます。ただし、ウォレットにインストールできるのは、その証明書リクエストに対応する1つの証明書のみです。
Oracle Wallet Managerでは、X.509バージョン3 KeyUsage
拡張を使用して、Oracle PKI証明書使用方法を定義しています(表6-1)。単一の証明書をすべての証明書使用方法に適用することはできません。表6-2および表6-3に、有効な使用方法の組合せを示します。
表6-1 KeyUsageの値
値 | 使用方法 |
---|---|
0 |
digitalSignature |
1 |
nonRepudiation |
2 |
keyEncipherment |
3 |
dataEncipherment |
4 |
keyAgreement |
5 |
keyCertSign |
6 |
cRLSign |
7 |
encipherOnly |
8 |
decipherOnly |
Oracle Wallet Managerでは、証明書をインストールする際、表6-2および表6-3に指定されているように、KeyUsage
拡張の値がOracle PKI証明書使用方法にマップされます。
表6-2 Oracle Wallet ManagerによるOracleウォレットへのユーザー証明書のインポート
KeyUsageの値 | 重要性(1) | 使用方法 |
---|---|---|
none |
該当せず |
証明書は、SSLまたはS/MIME暗号化用にインポート可能 |
0のみ、または0と任意の値(5および2を除く) |
該当せず |
S/MIME署名用またはコード署名用証明書の許可 |
1のみ |
はい |
インポート不可 |
1のみ |
いいえ |
S/MIME署名用またはコード署名用証明書の許可 |
2のみ、または2と任意の値の組合せ(5を除く) |
該当せず |
SSL用またはS/MIME暗号化用証明書の許可 |
5のみ、または5と任意の他の値 |
該当せず |
CA証明書署名用証明書の許可 |
その他の任意の設定 |
はい |
インポート不可。 |
その他の任意の設定 |
いいえ |
証明書は、SSLまたはS/MIME暗号化用にインポート可能 |
脚注 1 KeyUsage拡張が重要である場合、証明書は他の目的では使用できません。
表6-3 Oracle Wallet ManagerによるOracleウォレットへの信頼できる証明書のインポート
KeyUsageの値 | 重要性(2) | 使用方法 |
---|---|---|
none |
該当せず |
インポート可能。 |
5を除く任意の組合せ |
はい |
インポート不可。 |
5を除く任意の組合せ |
いいえ |
インポート可能 |
5のみ、または5と任意の他の値 |
該当せず |
インポート可能。 |
脚注 2 KeyUsage拡張が重要とマークされている場合、証明書は他の目的では使用できません。
必要なOracle PKI証明書使用方法に対応する正しいKeyUsage
値を使用して、認証局から証明書を取得します。1つのウォレットには、同じ使用方法で使用する複数の鍵のペアを含めることができます。証明書ごとに、表6-2および表6-3に示されている複数のOracle PKI証明書使用方法をサポートできます。Oracle PKIアプリケーションでは、必要なPKI証明書使用方法が含まれる最初の証明書が使用されます。
たとえば、使用方法がSSLの場合は、SSL Oracle PKI証明書使用方法が含まれる最初の証明書が使用されます。
SSLの使用方法を含む証明書がない場合、ORA-28885
エラー(必須の鍵使用方法のある証明書が見つかりません。
)が戻されます。
6.1.9 LDAPディレクトリのサポート
Oracle Wallet Managerは、LDAP準拠のディレクトリに対するウォレットのアップロードおよび検索が可能です。集中化されたLDAP準拠のディレクトリにウォレットを格納すると、ユーザーは複数の場所やデバイスからウォレットにアクセスできるため、ウォレットのライフ・サイクル全体を通じてウォレットを集中管理しながら、信頼性の高い一貫したユーザー認証が保証されます。ユーザーが有効なウォレットを誤って上書きしないようにするために、インストールされた証明書を含むウォレット以外はアップロードできません。
ユーザーがOracle Wallet Managerを使用してウォレットをアップロードまたはダウンロードできるようにするには、ディレクトリ・ユーザー・エントリをLDAPディレクトリで定義および構成する必要があります。ディレクトリにOracle8i (またはそれ以前の)ユーザーが登録されている場合、それらのユーザーは、ウォレットのアップロードおよびダウンロード機能を初めて使用する際に自動的にアップグレードされます。
Oracle Wallet Managerでは、LDAPディレクトリへの簡単なパスワード・ベースの接続を使用して、ユーザー・ウォレットをダウンロードします。ただし、開かれているウォレットに、SSL Oracle PKI証明書使用方法が指定された証明書が含まれている場合、アップロードにはSSL接続が使用されます。SSL証明書がウォレットにない場合は、パスワード・ベースの認証が使用されます。
注意:
ディレクトリ・パスワードとウォレット・パスワードは互いに独立しており、異なる値を設定できます。これらのパスワードは、常に異なったものに維持し、かつ一方から他方を論理的に導出できないようにすることをお薦めします。
関連項目:
-
Oracle PKI証明書使用方法の詳細は、「複数証明書のサポート」を参照してください。
6.2 Oracle Wallet Managerの起動
-
(UNIXの場合)コマンドラインで、次のコマンドを入力します。
owm
64ビットのSolaris Operating SystemでOracle Wallet ManagerをPKCS #11統合とともに使用するには、次のコマンドを入力します。
owm -pkcs11
(このガイドでは、PKCS#11統合が使用されていないことを想定しています。)
-
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
6.3 Oracleウォレットを作成するための一般的なプロセス
Oracleウォレットは、ユーザー証明書および接続先の証明書を検証するのに必要なトラスト・ポイントを安全に格納できるリポジトリを提供します。
次の手順は、完全なウォレット作成プロセスの概要を示しています。
前述のプロセスが完了すると、ユーザー証明書とそれに関連するトラスト・ポイントが含まれるウォレットが設定されます。
関連項目:
これらの手順の詳細は、「Oracleウォレットの証明書の管理」を参照してください。
6.4 Oracleウォレットの管理
トピック:
- Oracleウォレット・パスワードの作成に関する必須ガイドライン
- Oracleウォレットの新規作成
- 既存のOracleウォレットのオープン
- Oracleウォレットのクローズ
- サード・パーティ環境へのOracleウォレットのエクスポート
- PKCS #12をサポートしないツールへのOracleウォレットのエクスポート
- LDAPディレクトリへのOracleウォレットのアップロード
- LDAPディレクトリからのOracleウォレットのダウンロード
- Oracleウォレットの変更の保存
- 開いているウォレットの新しい場所への保存
- Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存
- Oracleウォレットの削除
- Oracleウォレット・パスワードの変更
- Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化
6.4.1 Oracleウォレット・パスワードの作成に関する必須ガイドライン
Oracleウォレットには、複数のデータベースに対してユーザーを認証するために使用されるユーザーの資格証明が含まれているため、ウォレットに対して強力なパスワードを選択することが特に重要となります。悪意のあるユーザーがウォレット・パスワードを推測して、ウォレットの所有者がアクセス権を持つすべてのデータベースにアクセスする可能性があるためです。
パスワードは、英字と数字または特殊文字を組み合せて8文字以上で指定する必要があります。
注意:
ユーザー名、電話番号または公的機関の識別番号に基づく推測しやすいパスワードは指定しないことを強くお薦めします。これにより、潜在的な攻撃者が個人情報を使用してユーザーのパスワードを割り出すことを予防できます。また、セキュリティ上の措置として、月に1回または四半期に1回など、定期的にパスワードを変更することをお薦めします。
パスワードを変更する場合は、自動ログイン・ウォレットを再生成する必要があります。
6.4.2 Oracleウォレットの新規作成
Oracle Wallet Managerを使用して、ファイル・システム上のディレクトリに資格証明を格納するPKCS #12ウォレット(標準のデフォルトのウォレット・タイプ)を作成できます。また、これを使用して、PKCS #11ウォレットを作成し、サーバー用のハードウェア・セキュリティ・モジュールに資格証明を格納したり、クライアント用のトークンに秘密鍵を格納することもできます。次の各項では、Oracle Wallet Managerを使用して両タイプのウォレットを作成する方法について説明します。
6.4.2.1 標準Oracleウォレットの作成
ハードウェア・セキュリティ・モジュール(PKCS #11デバイス)がない場合は、ファイル・システムのディレクトリに資格証明を格納する標準ウォレットを使用する必要があります。
標準Oracleウォレットを作成するには、次のタスクを実行します。
6.4.5 サード・パーティ環境へのOracleウォレットのエクスポート
-
Oracle Wallet Managerを使用して、ウォレット・ファイルを保存します。
-
Oracle Wallet Managerを起動します。
(UNIXの場合)コマンドラインで、次のコマンドを入力します。
owm
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
-
パネルから「ウォレット」を選択してウォレットが開いていることを確認し、「ウォレット」メニューで「オープン」を選択します。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
-
「ウォレット」メニューから「保存」を選択します。
-
-
サード・パーティ製品固有の手順に従って、Oracle Wallet Managerにより作成されたオペレーティング・システム用PKCS #12ウォレット・ファイル(UNIXおよびWindowsプラットフォーム上では
ewallet.p12
)をインポートします。注意:
-
Oracle Wallet Managerではウォレットごとに複数の証明書がサポートされますが、現在のブラウザの多くは、単一証明書を含むウォレットのインポートのみをサポートしています。このようなブラウザを使用している場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。
-
Oracle Wallet Managerでは、Netscape Communicator 4.7.2以上、OpenSSLおよびMicrosoft Internet Explorer 5.0以上へのウォレット・エクスポートのみがサポートされます。
-
6.4.6 PKCS #12をサポートしないツールへのOracleウォレットのエクスポート
PKCS #12をサポートしないツールにウォレットを配置する必要がある場合は、そのウォレットをテキストベースのPKI形式でエクスポートできます。各コンポーネントは、表6-4に示す規格に従ってフォーマットされます。ウォレット内でSSL鍵を使用する証明書のみがウォレットとともにエクスポートされます。
テキストベースのPKI形式でウォレットをエクスポートするには、次の手順を実行します。
表6-4 PKIウォレットのエンコーディング規格
コンポーネント | エンコーディング規格 |
---|---|
証明連鎖 |
X509v3 |
信頼できる証明書 |
X509v3 |
秘密鍵 |
PKCS #8 |
6.4.7 LDAPディレクトリへのOracleウォレットのアップロード
指定されたウォレットにSSL証明書が含まれる場合、Oracle Wallet ManagerではSSLを使用して、OracleウォレットをLDAPディレクトリにアップロードします。それ以外の場合は、ユーザーがディレクトリ・パスワードを入力します。
ウォレットを誤って破損しないように、Oracle Wallet Managerでは、ターゲットのウォレットが現在開いており、かつ、少なくとも1つのユーザー証明書が含まれている場合を除いて、アップロード・オプションを実行できないようになっています。
ウォレットをアップロードするには、次の手順を実行します。
注意:
-
使用する識別名が、LDAPディレクトリのオブジェクト・クラス
inetOrgPerson
の対応するユーザー・エントリと一致していることを確認する必要があります。 -
SSL証明書が含まれるウォレットをアップロードする場合は、SSLポートを使用してください。SSL証明書が含まれないウォレットをアップロードする場合は、非SSLポートを使用してください。
6.4.8 LDAPディレクトリからのOracleウォレットのダウンロード
OracleウォレットがLDAPディレクトリからダウンロードされると、そのウォレットは作業メモリー内に格納されます。次の項で説明する保存オプションを使用して明示的に保存しないかぎり、ファイル・システムには保存されません。
LDAPディレクトリからウォレットをダウンロードするには、次の手順を実行します。
6.4.11 Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存
システム・デフォルトのウォレット・ロケーション(UNIXおよびWindowsプラットフォームでは次に示す場所)にウォレットが正常に保存されたことを確認するメッセージが、ウィンドウの下部に表示されます。
-
(UNIX)
$ORACLE_HOME
/owm/wallets/
username
(ORACLE_HOME
環境変数が設定されている場合)。./owm/wallets/
username
(ORACLE_HOME
環境変数が設定されていない場合) -
(WINDOWS)
ORACLE_HOME
\owm\wallets\
username
(ORACLE_HOME
環境変数が設定されている場合)。.\owm\wallets\
username
(ORACLE_HOME
環境変数が設定されていない場合)
6.4.12 Oracleウォレットの削除
注意:
-
アプリケーション・メモリー内で開いているウォレットはすべて、アプリケーションを終了するまでメモリー内に残ります。したがって、現在使用中のウォレットを削除しても、システムの操作に直接影響することはありません。
-
Oracle Wallet Managerを使用して、透過的データ暗号化キーストアを削除しないでください。キーストアの削除の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
6.4.13 Oracleウォレット・パスワードの変更
Oracleウォレットのパスワードの変更は、すぐに有効になります。ウォレットは、現在選択されているディレクトリにパスワードで暗号化されて保存されます。
注意:
自動ログインを有効化したウォレットを使用している場合は、パスワードの変更後に自動ログイン・ウォレットを再生成する必要があります。詳細は、「Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化」を参照してください。
ウォレットのパスワードを変更するには、次の手順を実行します。
パスワードが正常に変更されたことを確認するメッセージが、ウィンドウの下部に表示されます。
関連項目:
-
パスワード・ポリシーの制限は、「ウォレット・パスワードの管理」を参照してください。
6.4.14 Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化
6.4.14.1 Oracleウォレットの自動ログインの使用について
ウォレットの自動ログイン機能は、ユーザーが必要なパスワードを手動で入力せずに、PKIベースでサービスにアクセスできるようにする機能です。自動ログインを有効化すると、ウォレットの不明瞭化されたコピーが作成され、ウォレットの自動ログイン機能を無効化するまで自動的に使用されます。
自動ログイン・ウォレットは、ファイル・システム権限によって保護されます。自動ログインを有効化すると、ウォレットは、作成したオペレーティング・システム・ユーザーのみがOracle Wallet Managerで管理できるようになります。
複数のOracleデータベースに対するシングル・サインオン・アクセスを希望する場合は、自動ログインを有効化する必要があります。通常、このようなアクセスはデフォルトで無効化されています。不明瞭化された自動ログイン・ウォレットは、シングル・サインオン機能をサポートするため、SSOウォレットと呼ばれることもあります。
6.5 Oracleウォレットの証明書の管理
6.5.1 Oracleウォレットの証明書の管理について
すべての証明書は、ネットワーク・アイデンティティを対応する公開鍵とバインドする署名付きのデータ構造体です。
表6-5に、この章で区別される2つのタイプの証明書を示します。
表6-5 証明書のタイプ
証明書タイプ | 例 |
---|---|
ユーザー証明書 |
公開鍵/秘密鍵交換でエンド・エンティティの識別情報を証明するためにサーバーまたはユーザーに対して発行される証明書 |
信頼できる証明書 |
ユーザー証明書を発行して署名する認証局など、信頼できるエンティティを表す証明書 |
注意:
ユーザー証明書をインストールするには、そのユーザー証明書を発行した認証局を表す信頼できる証明書がウォレットに含まれている必要があります。ただし、新しいウォレットを作成するたびに、公的に信頼できて、広く使用されている証明書がいくつか自動的にインストールされます。必要な認証局が表示されない場合、最初にその証明書をインストールする必要があります。
また、PKCS#7証明連鎖形式(ユーザー証明書とCA証明書を同時に提供)を使用してインポートすることもできます。
6.5.2 Oracleウォレットのユーザー証明書の管理
トピック:
6.5.2.1 ユーザー証明書の管理について
ユーザー証明書(サーバー証明書を含む)は、エンド・ユーザー、スマートカード、またはWebサーバーのようなアプリケーションによって使用されます。たとえば、CAがWebサーバーの識別名(DN)を「サブジェクト」フィールドに入力して証明書を発行すると、Webサーバーが証明書所有者となり、このユーザー証明書のユーザーとなります。
6.5.2.2 証明書リクエストの追加
Oracle Wallet Managerを使用すると、複数の証明書リクエストを追加できます。Oracle Wallet Managerでは、複数のリクエストを追加すると、後続のリクエスト・ダイアログ・ボックスに初期リクエストの内容が自動的に表示されるので、それを編集することができます。
実際の証明書リクエストがウォレットの一部になります。証明書リクエストのいずれかを再利用して、新規証明書を取得できます。ただし、既存の証明書リクエストは編集できません。適切な情報を入力した証明書リクエストのみをウォレットに格納してください。
PKCS #10証明書リクエストを作成するには、次の手順を実行します。
表6-6 証明書リクエスト: フィールドと説明
フィールド名 | 説明 |
---|---|
共通名 |
必須。ユーザーの識別情報またはサービスの識別情報の名前を入力します。名/姓の形式でユーザー名を入力します。 例: Eileen.Sanger |
組織単位 |
オプション。識別情報の組織単位の名前を入力します。例: 財務。 |
組織 |
オプション。識別情報の組織の名前を入力します。例: XYZ Corp. |
市町村 |
オプション。識別情報が常駐する市町村の名前を入力します。 |
都道府県 |
オプション。識別情報が常駐する都道府県の完全名を入力します。 2文字からなる省略形を受け入れない認証局もあるため、都道府県は完全名で入力してください。 |
国 |
必須。「国」を選択して、国の略称のリストを表示します。その組織の所在地である国を選択します。 |
DN |
必須。「アルゴリズム(鍵サイズ/楕円曲線)」リストを選択して、公開鍵と秘密鍵のペアを作成するときに使用する鍵サイズのリストを表示します。鍵サイズの値は、表6-7を参照してください。 |
詳細 |
オプション。「詳細」を選択して、「証明書リクエストの詳細」ダイアログ・パネルを表示します。このフィールドを使用して、識別情報の識別名(DN)を編集またはカスタマイズします。たとえば、都道府県名や市町村名を編集できます。 |
表6-7に、使用可能な鍵サイズと各サイズで提供される相対的なセキュリティを示します。一般的に、CAは1024または2048の鍵サイズを使用します。証明書の所有者が鍵の長期保有を希望する場合は、3072または4096ビットの鍵を選択します。
表6-7 使用可能な鍵サイズ
鍵サイズ | 関連セキュリティ・レベル |
---|---|
512または768 |
安全とはみなされない。 |
1024または2048 |
安全。 |
3072または4096 |
非常に安全。 |
6.5.2.3 Oracleウォレットへのユーザー証明書のインポート
認証局から証明書が付与される場合、テキスト(BASE64)形式の証明書を含む電子メールか、証明書がバイナリ・ファイルとして添付された電子メールが届きます。次の方法を使用して、ユーザー証明書をインポートできます。
注意:
認証局は、証明書をPKCS #7証明連鎖または個別のX.509証明書として送信します。Oracle Wallet Managerではどちらのタイプもインポートできます。
PKCS #7証明連鎖は証明書の集合体であり、ユーザーの証明書以外に、それを裏付ける信頼できるCA証明書およびサブCA証明書がすべて含まれています。
一方、X.509証明書ファイルには、個々の証明書が含まれ、裏付け用の証明連鎖は含まれません。
ただし、このような個々の証明書をインポートするには、署名者の証明書がウォレット内の信頼できる証明書である必要があります。
認証局の電子メールのテキストからユーザー証明書をインポートする手順
電子メール・メッセージからテキスト(BASE64)形式の証明書をコピーします。Begin Certificate
からEnd Certificate
までの行を含めてください。
-
Oracle Wallet Managerを起動します。
-
(UNIXの場合)コマンドラインで、次のコマンドを入力します。
owm
-
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
-
-
ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
-
「操作」→「ユーザー証明書のインポート」を選択します。
「証明書のインポート」ダイアログ・ボックスが表示されます。
-
「証明書の貼付け」を選択し、「OK」をクリックします。
別の「証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。
Please provide a base64 format certificate and paste it below.
-
ダイアログ・ボックスに証明書を貼り付けて、「OK」をクリックします。
-
PKCS#7形式の証明書を受信した場合、この証明書はインストールされ、PKCS#7データと一緒に含まれていた他の証明書はすべて、「信頼できる証明書」リストに追加されます。
-
PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が「信頼できる証明書」リストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、「信頼できる証明書」リストに追加されます。(CA証明書がすでに「信頼できる証明書」リストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、証明書が正常にインストールされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリのステータスが「準備完了」に変わります。
-
注意:
標準X.509証明書には、次の開始テキストと終了テキストが含まれます。
-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
一般的なPKCS#7証明書には、前述のようにさらに多くの情報が含まれ、開始テキストと終了テキストは次のとおりです。
-----BEGIN PKCS7----- -----END PKCS7-----
コピーするには、ダッシュを含めてすべて選択し、通常の[Ctrl]キーを押しながら[C]キーを押し、貼り付けるには、[Ctrl]キーを押しながら[V]キーを押します。
ファイルからユーザー証明書をインポートする手順
ファイル内のユーザー証明書は、テキスト(BASE64)形式またはバイナリ(der
)形式になります。
-
Oracle Wallet Managerを起動します。
-
(UNIXの場合)コマンドラインで、次のコマンドを入力します。
owm
-
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
-
-
ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
-
「操作」→「ユーザー証明書のインポート」を選択します。「証明書のインポート」ダイアログ・ボックスが表示されます。
-
「証明書を含むファイルの選択」を選択し、「OK」をクリックします。別の「証明書のインポート」ダイアログ・ボックスが表示されます。
-
証明書ファイルの場所のパス名またはフォルダ名を入力します。
-
証明書ファイルの名前(
cert.txt
、cert.der
など)を選択します。 -
「OK」をクリックします。
-
PKCS#7形式の証明書を受信した場合、この証明書はインストールされ、PKCS#7データと一緒に含まれていた他の証明書はすべて、「信頼できる証明書」リストに追加されます。
-
PKCS#7形式以外の証明書を受信した場合、そのCAの証明書が「信頼できる証明書」リストにまだなければ、追加手順が必要になります。Oracle Wallet Managerにより、証明書を発行したCAの証明書をインポートするよう求められます。このCA証明書は、「信頼できる証明書」リストに追加されます。(CA証明書がすでに「信頼できる証明書」リストに存在している場合、追加手順なしで証明書がインポートされます。)
(a)または(b)が成功した場合は、証明書が正常にインストールされたことを確認するメッセージが、ウィンドウの下部に表示されます。Oracle Wallet Managerのメイン・パネルに戻り、左パネルのサブツリー内にある対応するエントリのステータスが「準備完了」に変わります。
-
6.5.2.4 サード・パーティによって作成された証明書およびウォレットのインポート
サード・パーティ証明書とは、Oracle Wallet Managerを使用して生成されなかった証明書リクエストから作成された証明書のことです。このようなサード・パーティ証明書には、ユーザー証明書の他にその証明書の秘密鍵も含まれるため、実際にはウォレットです。さらに、それには証明書が信頼できるエンティティによって作成されたことを示す信頼できる証明書の連鎖が含まれます。
これらのウォレットは、Oracle Wallet ManagerによりPKCS#12形式でインポートすることにより、1回の手順で使用可能になります。この形式には、前述の3つの要素(ユーザー証明書、秘密鍵および信頼できる証明書)がすべて含まれます。次のPKCS #12形式の証明書がサポートされています。
-
Netscape Communicator 4.x以上
-
Microsoft Internet Explorer 5.x以上
Oracle Wallet ManagerはPKCS#12規格に準拠しているため、PKCS#12準拠ツールによってエクスポートされた証明書はOracle Wallet Managerで使用できます。
こうしたサード・パーティ証明書は、秘密鍵と信頼できる認証局の連鎖がないため、既存のOracleウォレットに格納することはできません。そのため、こうした証明書はそれぞれ、独立したPKCS#12ファイルとして、つまり独自のウォレットとしてエクスポートおよび取得されます。
サード・パーティ・ツールで作成されたユーザー証明書のインポート
サード・パーティによって作成されたウォレットを利用するには、この項で説明するように、そのウォレットをインポートする必要があります。
サード・パーティ・ツールを使用して作成された証明書をインポートするには、次の手順を実行します。
注意:
このパスワードは、関連するアプリケーションを起動するたびに、または証明書が必要になるたびに要求されます。このようなアクセスを自動化するには、「Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化」を参照してください。
ただし、必要な証明書の秘密鍵が別のハードウェア・セキュリティ・モジュールで保持されている場合、その証明書をインポートすることはできません。
6.5.2.7 ユーザー証明書のエクスポート
ファイル・システム・ディレクトリに証明書を保存するには、次の手順を使用して証明書をエクスポートします。
関連項目:
ウォレットのエクスポートの詳細は、「サード・パーティ環境へのOracleウォレットのエクスポート」を参照してください。Oracle Wallet Managerは単一のウォレットへの複数の証明書の格納をサポートしていますが、現在のブラウザの多くは、単一証明書を含むウォレットのみをサポートしています。したがって、このようなブラウザを使用している場合は、単一鍵ペアを含むOracleウォレットをエクスポートする必要があります。
6.5.3 Oracleウォレットの信頼できる証明書の管理
トピック:
6.5.3.1 信頼できる証明書のインポート
認証局から受信する電子メールから貼り付けるか、ファイルからインポートするかのいずれかの方法で、信頼できる証明書をウォレットにインポートできます。
Oracle Wallet Managerでは、ウォレットの新規作成時に、VeriSign社、RSA社、Entrust社およびGTE CyberTrust社の信頼できる証明書が自動的にインストールされます。
この項の内容は次のとおりです。
テキストのみ(BASE64)形式の信頼できる証明書をコピーして貼り付ける手順
-
ユーザー証明書が含まれている電子メール・メッセージが届いたら、本文から信頼できる証明書をコピーします。
BEGIN CERTIFICATE
からEND CERTIFICATE
までの行を含めてください。ユーザー証明書をコピーするには、[Ctrl]キーを押しながら[C]キーを押します(キーボード・ショートカット)。
-
Oracle Wallet Managerを起動します。
-
(UNIXの場合)コマンドラインで、次のコマンドを入力します。
owm
-
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
-
-
ウォレットが閉じている場合は、「ウォレット」メニューから「オープン」を選択して開きます。プロンプトが表示されたら、ウォレットのディレクトリの場所を選択し、ウォレット・パスワードを入力します。
-
「操作」メニューから「信頼できる証明書のインポート」を選択します。
「信頼できる証明書のインポート」ダイアログ・ボックスが表示されます。
-
「証明書の貼付け」オプションを選択し、「OK」をクリックします。
別の「信頼できる証明書のインポート」ダイアログ・ボックスに次のメッセージが表示されます。
Please paste a BASE64 format certificate below.
-
ウィンドウに証明書を貼り付けて、「OK」をクリックします。
証明書を貼り付けるには、[Ctrl]キーを押しながら[V]キーを押します(キーボード・ショートカット)。
信頼できる証明書が正常にインストールされたことを示すメッセージが表示されます。
-
「OK」をクリックします。
Oracle Wallet Managerのメイン・パネルに戻り、信頼できる証明書が「信頼できる証明書」ツリーの下部に表示されます。
信頼できる証明書を含むファイルをインポートする手順