orapkiユーティリティを使用したPKI要素の管理

F orapkiユーティリティを使用したPKI要素の管理

orapkiコマンドライン・ユーティリティは、署名付き証明書の作成、Oracleウォレットの管理、証明書失効リストの管理など、PKI要素を管理します。

orapkiユーティリティの使用
orapkiユーティリティで、公開キー・インフラストラクチャ(PKI)要素(ウォレットや証明書失効リストなど)をコマンドラインから管理します。
orapkiユーティリティの構文
orapkiユーティリティの構文で、Oracleウォレット、証明書失効リストまたはPKIデジタル証明書を指定します。
テスト用の署名付き証明書の作成
orapkiユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。
証明書の表示
証明書を作成した後は、orapkiユーティリティを使用してその証明書を表示できます。
orapkiユーティリティを使用したOracleウォレットの管理
orapkiユーティリティで、ウォレットを作成、表示、変更できます。証明書と証明書リクエストを追加およびエクスポートできます。
orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
証明書失効リスト(CRL)は、orapkiユーティリティを使用して管理する必要があります。
orapkiの使用方法
orapkiコマンドの例には、ウォレットおよびユーザー証明書の作成、自己署名証明書を含むウォレットおよび証明書のエクスポートがあります。
orapkiユーティリティ・コマンドのサマリー
orapkiコマンドは、ウォレット、証明書失効リスト(CRL)および証明書の様々な管理タスクを実行します。

親トピック: 付録

F.1 orapkiユーティリティの使用

orapkiユーティリティで、公開キー・インフラストラクチャ(PKI)要素(ウォレットや証明書失効リストなど)をコマンドラインから管理します。

これにより、スクリプトを使用してこれらのタスクを自動化できます。PKI要素の管理をスクリプトに組み込む方法を提供することにより、PKIを管理するための数多くのルーチン・タスクを自動化できるようになります。

orapkiコマンドライン・ユーティリティを使用して次のタスクを実行できます。

テスト用の署名付き証明書の作成および表示
Oracleウォレットの管理(透過的データ暗号化キーストアを除く):
- Oracleウォレットの作成および表示
- 証明書リクエストの追加および削除
- 証明書の追加および削除
- 信頼できる証明書の追加および削除
証明書失効リスト(CRL)の管理:
- 証明書検証用ハッシュ値によるCRLの名前変更
- Oracle Internet DirectoryでのCRLのアップロード、一覧表示、表示および削除

ノート:

PKI暗号化と透過的データ暗号化を組み合せた使用は非推奨です。透過的データ暗号化を構成するには、ADMINISTER KEY MANAGEMENT SQL文を使用します。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.2 orapkiユーティリティの構文

orapkiユーティリティの構文で、Oracleウォレット、証明書失効リストまたはPKIデジタル証明書を指定します。

orapkiコマンドライン・ユーティリティの構文を次に示します。

orapki module command -parameter value

ここで、moduleをwallet (Oracleウォレット)、crl (証明書失効リスト)またはcert (PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmoduleによって異なります。

たとえば、walletを使用している場合、addコマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txtにあるユーザー証明書が、$ORACLE_HOME/wallet/ewallet.p12にあるウォレットに追加されます。

orapki wallet add -wallet $ORACLE_HOME/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.3 テスト用の署名付き証明書の作成

orapkiユーティリティは、テスト用の署名付き証明書を作成する便利で手軽な方法を提供します。

テスト用の署名付き証明書を作成するには、次のコマンドを使用します。

orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]

このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密キーを含むウォレットを指定します。-validityパラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.4 証明書の表示

証明書を作成した後は、orapkiユーティリティを使用してその証明書を表示できます。

証明書を表示するには、次のコマンドを使用します。

orapki cert display -cert certificate_location [-summary | -complete]

このコマンドを使用すると、orapkiを使用して作成したテスト証明書を表示できます。-summaryまたは-completeのいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summaryを選択すると、証明書とその有効期限が表示されます。-completeを選択すると、シリアル番号、公開キーなどの追加の証明書情報が表示されます。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.5 orapkiユーティリティを使用したOracleウォレットの管理

orapkiユーティリティで、ウォレットを作成、表示、変更できます。証明書と証明書リクエストを追加およびエクスポートできます。

orapkiを使用したウォレットの管理について
Oracleウォレットの作成および管理に使用されるorapkiコマンドライン・ユーティリティ構文を理解する必要があります。
orapkiを使用したウォレットの作成、表示および変更
orapkiを使用して、Oracleウォレットでの様々な管理アクティビティを実行できます。
orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加
orapkiユーティリティを使用して、様々な証明書関連タスクを実行できます。
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
orapkiユーティリティを使用して、Oracleウォレットから証明書および証明書リクエストをエクスポートできます。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.5.1 orapkiを使用したウォレットの管理について

Oracleウォレットの作成および管理に使用されるorapkiコマンドライン・ユーティリティ構文を理解する必要があります。

orapkiユーティリティのwalletモジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。たとえば、PKCS#12ウォレットおよび自動ログイン・ウォレットを作成できます。PKCS#12ウォレットに関連付けられている自動ログイン・ウォレット、またはウォレットが作成されたコンピュータおよびウォレット作成ユーザーに対してローカルな自動ログイン・ウォレットを作成できます。ウォレットを表示したり、ウォレットのパスワードを変更したり、AES256アルゴリズムを使用するようにウォレットを変換できます。

ノート:

-walletパラメータは、すべてのwalletモジュール・コマンドで必須です。

親トピック: orapkiユーティリティを使用したOracleウォレットの管理

F.5.2 orapkiを使用したウォレットの作成、表示および変更

orapkiを使用して、Oracleウォレットでの様々な管理アクティビティを実行できます。

PKCS#12ウォレットの作成
orapkiユーティリティを使用して、PKCS#12のOracleウォレットを作成できます。
自動ログイン・ウォレットの作成
orapkiユーティリティを使用して、自動ログイン・ウォレットを作成できます。
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットの作成
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットを作成できます。
コンピュータとウォレット作成ユーザーにローカルな自動ログイン・ウォレットの作成
orapkiユーティリティを使用して、ウォレットを作成したユーザーのコンピュータにローカルな自動ログイン・ウォレットを作成できます。
ウォレットの表示
orapkiユーティリティを使用して、ウォレットを表示できます。
ウォレットのパスワードの変更
orapkiユーティリティを使用して、ウォレットのパスワードを変更できます。
AES256アルゴリズムの使用を目的としたOracleウォレットの変換
デフォルトでは、ADMINISTER KEY MANAGEMENT文またはALTER SYSTEM文を使用したOracleウォレットは、3DESで暗号化されます。

親トピック: orapkiユーティリティを使用したOracleウォレットの管理

F.5.2.1 PKCS#12ウォレットの作成

orapkiユーティリティを使用して、PKCS#12のOracleウォレットを作成できます。

Oracle PKCS#12ウォレット(ewallet.p12)を作成するには、orapki wallet createコマンドを使用します。
```
orapki wallet create -wallet wallet_location [-pwd password]
```

コマンドラインでパスワードを指定していない場合、このコマンドではウォレットのパスワードの入力と再入力を求められます。-walletで指定された場所にウォレットが作成されます。

ノート:

セキュリティ上の理由から、コマンドラインにパスワードを指定しないことをお薦めします。パスワードの入力は、求められた場合にのみ行ってください。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.2.2 自動ログイン・ウォレットの作成

orapkiユーティリティを使用して、自動ログイン・ウォレットを作成できます。

ウォレットを開く際にパスワードを必要としない自動ログイン・ウォレット(cwallet.sso)を作成するには、orapki wallet createコマンドを使用します。
```
orapki wallet create -wallet wallet_location -auto_login_only
```

パスワードを使用しないでウォレットを変更または削除できます。ファイル・システム権限によって、このような自動ログイン・ウォレットに必要なセキュリティが提供されます。

ローカルの自動ログイン・ウォレットを別のコンピュータに移動することはできません。それらは作成されたホストで使用する必要があります。

ローカルの自動ログイン・ウォレットを開く際にパスワードが不要な場合でも、ウォレットを変更または削除するには、関連付けられたPKCS#12ウォレットのパスワードを入力する必要があります。PKCS#12ウォレットを更新した場合、関連付けられた自動ログイン・ウォレットも更新されます。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.2.3 PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットの作成

PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットを作成できます。

自動ログイン・ウォレットを開くのにパスワードは必要ありません。

ただし、ウォレットを変更または削除するには、関連付けられたPKCS#12ウォレットのパスワードを入力する必要があります。PKCS#12ウォレットを更新した場合、関連付けられた自動ログイン・ウォレットも更新されます。

PKCS#12ウォレット(ewallet.p12)に関連付けられた自動ログイン・ウォレット(cwallet.sso)を作成するには、次のコマンドを使用します。
```
orapki wallet create -wallet wallet_location -auto_login [-pwd password]
```

このコマンドでは、自動ログインが有効なウォレット(cwallet.sso)が作成され、PKCS#12ウォレット(ewallet.p12)に関連付けられます。コマンドラインでパスワードを指定していない場合、このコマンドではPKCS#12ウォレットのパスワードの入力を求められます。

wallet_locationがPKCS#12ウォレットにすでに含まれている場合は、その自動ログインが有効になります。既存のPKCS#12ウォレットの自動ログインを有効にするには、そのパスワードを入力する必要があります。

wallet_locationがPKCS#12ウォレットに含まれていない場合は、新しいPKCS#12ウォレットが作成されます。新しいPKCS#12ウォレットのパスワードを指定する必要があります。

PKCS#12ウォレットの自動ログイン機能をオフにする場合は、Oracle Wallet Managerを使用します。

F.5.2.4 コンピュータとウォレット作成ユーザーにローカルな自動ログイン・ウォレットの作成

orapkiユーティリティを使用して、ウォレットを作成したユーザーのコンピュータにローカルな自動ログイン・ウォレットを作成できます。

自動ログイン・ウォレットが作成されるコンピュータとそのウォレットを作成したユーザーの両方にローカルな自動ログイン・ウォレットを作成するには、次のコマンドを使用します。
```
orapki wallet create -wallet wallet_location -auto_login_local [-pwd password]
```

このコマンドにより、自動ログイン・ウォレット(cwallet.sso)が作成されます。これは、PKCS#12ウォレット(ewallet.p12)に関連付けられます。コマンドラインでパスワードを指定していない場合、このコマンドではPKCS#12ウォレットのパスワードの入力を求められます。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.2.5 ウォレットの表示

orapkiユーティリティを使用して、ウォレットを表示できます。

Oracleウォレットを表示するには、orapki wallet displayコマンドを使用します。
```
orapki wallet display -wallet wallet_location
```

このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます(これらは拡張子.p12のバイナリPKCS12ファイルであることが必要です)。他のファイルでは失敗します。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.2.6 ウォレットのパスワードの変更

orapkiユーティリティを使用して、ウォレットのパスワードを変更できます。

ウォレットのパスワードを変更するには、次のコマンドを使用します。
```
orapki wallet change_pwd -wallet wallet_location [-oldpwd password ] [-newpwd password]
```

このコマンドでは、現在のウォレットのパスワードが新しいパスワードに変更されます。コマンドラインでパスワードを指定していない場合、このコマンドでは新旧のパスワードを求められます。

ノート:

セキュリティ上の理由から、コマンドラインでパスワード・オプションを指定しないことをお薦めします。パスワードの入力は、求められたときに行ってください。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.2.7 AES256アルゴリズムの使用を目的としたOracleウォレットの変換

デフォルトでは、ADMINISTER KEY MANAGEMENT文またはALTER SYSTEM文を使用したOracleウォレットは、3DESで暗号化されます。

orapki convertコマンドを使用して、3DESアルゴリズムよりも強力なAES256アルゴリズムを使用するようにウォレットを変換できます。ADMINISTER KEY MANAGEMENT文やALTER SYSTEM文ではなくorapkiを使用してウォレットを作成した場合、そのウォレットはデフォルトでAES256アルゴリズムを使用します。

ノート:

このリリースでは、3DES112および3DES168アルゴリズムは非推奨です。より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

ウォレットのアルゴリズムを3DESからAES256に変更するには:

orapki wallet convert -wallet wallet_location [-pwd password] [-compat_v12]

compat_v12設定は、3DESからAES256への変換を行います。

親トピック: orapkiを使用したウォレットの作成、表示および変更

F.5.3 orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

orapkiユーティリティを使用して、様々な証明書関連タスクを実行できます。

証明書リクエストのOracleウォレットへの追加
orapkiユーティリティを使用して、証明書および証明書リクエストをOracleウォレットに追加できます。
信頼できる証明書のOracleウォレットへの追加
orapkiユーティリティを使用して、信頼できる証明書をOracleウォレットに追加できます。
ルート証明書のOracleウォレットへの追加
orapkiユーティリティを使用して、ルート証明書をOracleウォレットに追加できます。
ユーザー証明書のOracleウォレットへの追加
orapkiユーティリティを使用して、ユーザー証明書をOracleウォレットに追加できます。
PKCS#11ウォレットを使用したハードウェア・デバイス上の資格証明の検証
PKCS#11ウォレットを使用して、ハードウェア・デバイス上の資格証明を検証できます。
PKCS#11情報のOracleウォレットへの追加
他のOracleウォレットと同様に、PKCS#11情報を含むウォレットを使用できます。

親トピック: orapkiユーティリティを使用したOracleウォレットの管理

F.5.3.1 証明書リクエストのOracleウォレットへの追加

orapkiユーティリティを使用して、証明書および証明書リクエストをOracleウォレットに追加できます。

Oracleウォレットに証明書リクエストを追加するには、orapki wallet addコマンドを使用します。
```
orapki wallet add -wallet wallet_location -dn user_dn -keySize 512|1024|2048
```

このコマンドを使用すると、指定した識別名(user_dn)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、リクエストされた証明書のキー・サイズ(512、1024または2048ビット)も指定します。リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。

関連トピック

orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.3.2 信頼できる証明書のOracleウォレットへの追加

orapkiユーティリティを使用して、信頼できる証明書をOracleウォレットに追加できます。

Oracleウォレットに信頼できる証明書を追加するには、次のコマンドを使用します。
```
orapki wallet add -wallet wallet_location -trusted_cert -cert
certificate_location
```

このコマンドでは、指定した場所(-cert certificate_location)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖にあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.3.3 ルート証明書のOracleウォレットへの追加

orapkiユーティリティを使用して、ルート証明書をOracleウォレットに追加できます。

Oracleウォレットにルート証明書を追加するには、次のコマンドを使用します。

orapki wallet add -wallet wallet_location -dn certificate_dn -keySize 512|1024|2048 -self_signed -validity number_of_days

このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書のキー・サイズ(-keySize)は、512、1024または2048ビットに指定できます。

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.3.4 ユーザー証明書のOracleウォレットへの追加

orapkiユーティリティを使用して、ユーザー証明書をOracleウォレットに追加できます。

Oracleウォレットにユーザー証明書を追加するには、次のコマンドを使用します。
```
orapki wallet add -wallet wallet_location -user_cert -cert certificate_location
```

このコマンドでは、-certパラメータで指定された場所にあるユーザー証明書が、wallet_locationにあるOracleウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。

ノート:

セキュリティ上の理由から、コマンドラインにパスワードを指定しないことをお薦めします。パスワードの入力は、求められたときに行ってください。

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.3.5 PKCS#11ウォレットを使用したハードウェア・デバイス上の資格証明の検証

PKCS#11ウォレットを使用して、ハードウェア・デバイス上の資格証明を検証できます。

次のコマンドを使用して、資格証明の詳細を検証します。
```
orapki wallet p11_verify -wallet wallet_location [-pwd password]
```

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.3.6 PKCS#11情報のOracleウォレットへの追加

他のOracleウォレットと同様に、PKCS#11情報を含むウォレットを使用できます。

秘密キーはハードウェア・デバイスに格納されます。暗号化処理もデバイスで実行されます。

ウォレットにPKCS#11情報を追加するには、次のコマンドを使用します。

orapki wallet p11_add -wallet wallet_location -p11_lib pkcs11Lib 
[-p11_tokenlabel tokenLabel] [-p11_tokenpw tokenPassphrase] 
[-p11_certlabel certLabel] [-pwd password]

詳細は、次のとおりです。

walletでは、ウォレット・ロケーションを指定します。
p11_libでは、PKCS#11ライブラリへのパスを指定します。これにはライブラリのファイル名が含まれます。
p11_tokenlabelでは、デバイスで使用されるトークンまたはスマートカードを指定します。これはデバイスに複数のトークンがある場合に使用します。トークンのラベルは、ベンダー・ツールを使用して設定します。
p11_tokenpwでは、トークンへのアクセスに使用されるパスワードを指定します。トークンのパスワードは、ベンダー・ツールを使用して設定します。
p11_certlabelは、トークン上の証明書ラベルを指定するために使用します。これはトークンに複数の証明書がある場合に使用します。証明書ラベルはベンダー・ツールを使用して設定します。
pwdは、ウォレットのパスワードを指定するために使用します。

親トピック: orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

F.5.4 orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート

orapkiユーティリティを使用して、Oracleウォレットから証明書および証明書リクエストをエクスポートできます。

Oracleウォレットから証明書をエクスポートするには、次のコマンドを使用します。
```
orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename
```

このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書が、ウォレットから-certで指定されたファイルにエクスポートされます。

Oracleウォレットから証明書リクエストをエクスポートするには、次のコマンドを使用します。

orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename

このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書リクエストが、ウォレットから-requestで指定されたファイルにエクスポートされます。

親トピック: orapkiユーティリティを使用したOracleウォレットの管理

F.6 orapkiユーティリティを使用した証明書失効リスト(CRL)の管理

証明書失効リスト(CRL)は、orapkiユーティリティを使用して管理する必要があります。

このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapkiを使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。

関連トピック

証明書失効リストの管理

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.7 orapkiの使用方法

orapkiコマンドの例には、ウォレットおよびユーザー証明書の作成、自己署名証明書を含むウォレットおよび証明書のエクスポートがあります。

例: 自己署名証明書を含むウォレットおよび証明書のエクスポート
orapki wallet addコマンドで自己署名証明書を含むウォレットを作成し、orapki wallet exportで証明書をエクスポートできます。
例: ウォレットおよびユーザー証明書の作成
orapkiユーティリティで、ウォレットおよびユーザー証明書を作成できます。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.7.1 例: 自己署名証明書を含むウォレットおよび証明書のエクスポート

orapki wallet addコマンドで自己署名証明書を含むウォレットを作成し、orapki wallet exportで証明書をエクスポートできます。

例F-1では、自己署名証明書を含むウォレットを作成し、そのウォレットを表示して証明書をファイルにエクスポートするステップを示します。

例F-1 自己署名証明書を含むウォレットの作成と証明書のエクスポート

ウォレットを作成します。

たとえば:
```
orapki wallet create -wallet /private/user/orapki_use/root
```
ウォレットは、/private/user/orapki_use/rootに作成されます。
自己署名証明書をウォレットに追加します。
```
orapki wallet add -wallet /private/user/orapki_use/root -dn 
'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650
```
この結果、3650日の有効期限を持つ自己署名された証明書が作成されます。サブジェクトの識別名はCN=root_test,C=USです。証明書のキー・サイズは2048ビットです。
ウォレットを表示します。
```
orapki wallet display -wallet /private/user/orapki_use/root
```
これはウォレットに含まれる証明書を表示するために使用します。
証明書をエクスポートします。
```
orapki wallet export -wallet /private/user/orapki_use/root -dn 
'CN=root_test,C=US' -cert /private/user/orapki_use/root/b64certificate.txt
```
これにより、自己署名証明書がファイルb64certificate.txtにエクスポートされます。使用される識別名はステップ2と同じであることに注意してください。

親トピック: orapkiの使用方法

F.7.2 例: ウォレットおよびユーザー証明書の作成

orapkiユーティリティで、ウォレットおよびユーザー証明書を作成できます。

例F-2では、ユーザー証明書の作成に関連する様々な作業について説明します。

次に、ウォレットの作成、証明書リクエストの作成、証明書リクエストのエクスポート、テスト用のリクエストからの署名付き証明書の作成、証明書の表示、ウォレットへの信頼できる証明書の追加、およびウォレットへのユーザー証明書の追加のステップを示します。

例F-2 ウォレットおよびユーザー証明書の作成

自動ログインが有効なウォレットを作成します。

次に例を示します。
```
orapki wallet create -wallet /private/user/orapki_use/server -auto_login
```
これにより、自動ログインを有効にしたウォレットが/private/user/orapki_use/serverに作成されます。
証明書リクエストをウォレットに追加します。
```
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -dn 'CN=server_test,C=US' -keysize 2048
```
これにより、作成されたウォレット(ewallet.p12)に証明書リクエストが追加されます。サブジェクトの識別名はCN=server_test,C=USです。指定されたキー・サイズは2048ビットです。
証明書リクエストをファイルにエクスポートします。
```
orapki wallet export -wallet /private/user/orapki_use/server -dn 'CN=server_test,C=US' -request /private/user/orapki_use/server/creq.txt
```
これにより、指定されたファイル(この場合はcreq.txt)に証明書リクエストがエクスポートされます。
テスト用のリクエストからの署名付き証明書を作成します。
```
orapki cert create -wallet /private/user/orapki_use/root -request /private/user/orapki_use/server/creq.txt -cert /private/user/orapki_use/server/cert.txt -validity 3650
```
これにより、3650日の有効期限を持つ証明書cert.txtが作成されます。証明書は前のステップで生成された証明書リクエストから作成されます。
証明書を表示します。
```
orapki cert display -cert /private/user/orapki_use/server/cert.txt -complete
```
これにより、前のステップで生成された証明書が表示されます。-completeオプションでは、シリアル番号や公開キーなどの追加的な証明書情報を表示できます。
信頼できる証明書をウォレットに追加します。
```
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -trusted_cert -cert /private/user/orapki_use/root/b64certificate.txt
```
これにより、信頼できる証明書b64certificate.txtがewallet.p12ウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖内のすべての信頼できる証明書を追加する必要があります。
ユーザー証明書をウォレットに追加します。
```
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -user_cert -cert /private/user/orapki_use/server/cert.txt
```
このコマンドはユーザー証明書cert.txtをewallet.p12ウォレットに追加します。

親トピック: orapkiの使用方法

F.8 orapkiユーティリティ・コマンドのサマリー

orapkiコマンドは、ウォレット、証明書失効リスト(CRL)および証明書の様々な管理タスクを実行します。

orapki cert create
orapki cert createコマンドは、テスト用の署名付き証明書を作成します。
orapki cert display
orapki cert displayコマンドは、特定の証明書の詳細を表示します。
orapki crl deleteコマンド
orapki crl deleteコマンドは、Oracle Internet Directoryから証明書失効リスト(CRL)を削除します。
orapki crl display
orapki crl displayコマンドは、Oracle Internet Directoryに格納されている、指定した証明書失効リスト(CRL)を表示します。
orapki crl hash
orapki crl hashコマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にCRLファイル・システムの場所を特定します。
orapki crl list
orapki crl listコマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)のリストを表示します。
orapki crl upload
orapki crl uploadコマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードします。
orapki wallet add
orapki wallet addコマンドは、証明書リクエストおよび証明書をOracleウォレットに追加します。
orapki wallet convert
orapki wallet convertコマンドは、Oracleウォレットで3DESアルゴリズムを変換してAES256アルゴリズムを使用します。
orapki wallet create
orapki wallet createコマンドは、Oracleウォレットの作成またはOracleウォレットの自動ログインの有効化を行います。
orapki wallet display
orapki wallet displayコマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示します。
orapki wallet export
orapki wallet exportコマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートします。

親トピック: orapkiユーティリティを使用したPKI要素の管理

F.8.1 orapki cert create

orapki cert createコマンドは、テスト用の署名付き証明書を作成します。

構文

orapki cert create [-wallet wallet_location] -request certificate_request_location -cert certificate_location -validity number_of_days [-summary]

walletは、証明書リクエストへの署名に使用されるユーザー証明書と秘密キーを含むウォレットを指定します。
request (必須)は、作成する証明書の証明書リクエストの場所を指定します。
cert (必須)は、ツールによって新しい署名付き証明書が配置されるディレクトリの場所を指定します。
validity (必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.2 orapki cert display

orapki cert displayコマンドは、特定の証明書の詳細を表示します。

構文

orapki cert display -cert certificate_location [-summary|-complete]

certは、表示する証明書の場所を指定します。
-summaryパラメータまたは-completeパラメータのいずれかを使用して、次の情報を表示できます。
- summaryを使用すると、証明書およびその有効期限が表示されます。
- completeを使用すると、シリアル番号、公開キーなどの追加の証明書情報が表示されます。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.3 orapki crl deleteコマンド

orapki crl deleteコマンドは、Oracle Internet Directoryから証明書失効リスト(CRL)を削除します。

orapkiを使用してディレクトリからCRLを削除するユーザーは、CRLAdmins (cn=CRLAdmins,cn=groups,%s_OracleContextDN%)ディレクトリ・グループのメンバーである必要があります。

前提条件

なし

構文

orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]

issuerは、CRLを発行した認証局(CA)の名前を指定します。
ldapは、CRLを削除するディレクトリのホスト名とSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。

このポートの詳細は、Oracle Internet DirectoryへのCRLのアップロードも参照してください。
userは、ディレクトリのCRLサブツリーからCRLを削除する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリから削除する前に、ツールによってCAの証明書に対するCRLの有効性が検証されます。
summaryはオプションです。削除されたCRL LDAPエントリが表示されます。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.4 orapki crl display

orapki crl displayコマンドは、Oracle Internet Directoryに格納されている、指定した証明書失効リスト(CRL)を表示します。

構文

orapki crl display -crl crl_location [-wallet wallet_location] [-summary|-complete]

crlパラメータは、ディレクトリ内のCRLの場所を指定します。orapki crl listコマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。orapki crl listを参照してください。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLを表示する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
summaryおよびcompleteは、次の情報を表示します。
- summaryを選択すると、CRL発行者名およびCRLの有効期間を含むリストが表示されます。
- completeを選択すると、そのCRLに含まれるすべての失効した証明書のリストが表示されます。このオプションを選択すると、CRLのサイズによっては、表示に時間がかかる場合があることに注意してください。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.5 orapki crl hash

orapki crl hashコマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にCRLファイル・システムの場所を特定します。

構文

orapki crl hash -crl crl_filename|URL [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]

crlは、CRLまたはCRLがあるURLを含むファイル名を指定します。
wallet (オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
オペレーティング・システムに応じて、-symlinkパラメータまたは-copyパラメータのいずれかを使用します。
- (UNIX) symlinkは、crl_directoryの場所にCRLへのシンボリック・リンクを作成します。
- (Windows) copyは、crl_directoryの場所にCRLのコピーを作成します。
summary (オプション)は、CRL発行者の名前を表示します。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.6 orapki crl list

orapki crl listコマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)のリストを表示します。

構文

特定のCRLを検出してローカル・ファイル・システムで表示またはダウンロードする際に、このリストを参照すると便利です。

orapki crl list -ldap hostname:ssl_port

ldapは、CRLリストの作成対象のディレクトリ・サーバーのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。

F.8.7 orapki crl upload

orapki crl uploadコマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードします。

CRLをディレクトリにアップロードするには、ディレクトリ管理グループCRLAdmins (cn=CRLAdmins,cn=groups,%s_OracleContextDN%)のメンバーである必要があることに注意してください。

構文

orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_location] [-summary]

crlは、ディレクトリの場所またはディレクトリにアップロードするCRLが配置されているURLを指定します。
ldapは、CRLのアップロード先のディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。

このポートの詳細は、Oracle Internet DirectoryへのCRLのアップロードも参照してください。
userは、ディレクトリのCRLサブツリーにCRLを追加する権限のあるディレクトリ・ユーザーのユーザー名を指定します。
walletは、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これはオプションのパラメータです。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。
summaryはオプションです。これを使用すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリが表示されます。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.8 orapki wallet add

orapki wallet addコマンドは、証明書リクエストおよび証明書をOracleウォレットに追加します。

構文

証明書リクエストを追加するには:

orapki wallet add -wallet wallet_location -dn user_dn -keySize 512|1024|2048

walletは、証明書リクエストの追加先のウォレットの場所を指定します。
dnは、証明書の所有者の識別名を指定します。
keysizeは、証明書のキー・サイズを指定します。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。orapki wallet exportを参照してください

信頼できる証明書を追加するには:

orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location

trusted_certは、-certで指定された場所にある信頼できる証明書をウォレットに追加します。

ルート証明書を追加するには:

orapki wallet add -wallet wallet_location -dn certificate_dn -keySize 512|1024|2048 -self_signed -validity number_of_days

self_signedは、ルート証明書を追加します。
validityは必須です。これを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定します。

ユーザー証明書を追加するには:

orapki wallet add -wallet wallet_location -user_cert -cert certificate_location

user_certは、-certパラメータで指定された場所にあるユーザー証明書をウォレットに追加します。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.9 orapki wallet convert

orapki wallet convertコマンドは、Oracleウォレットで3DESアルゴリズムを変換してAES256アルゴリズムを使用します。

ノート:

構文

orapki wallet convert -wallet wallet_location [-pwd password] [-compat_v12]

walletには、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。
pwdはウォレット・パスワードです。
compat_v12は、3DESからAES256への変換を行います。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.10 orapki wallet create

orapki wallet createコマンドは、Oracleウォレットの作成またはOracleウォレットの自動ログインの有効化を行います。

構文

orapki wallet create -wallet wallet_location [-auto_login|-auto_login_local]

walletには、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。
auto_loginにより、自動ログイン・ウォレットが作成されるか、または、-walletオプションで指定されたウォレットの自動ログインが有効になります。

自動ログイン・ウォレットの詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。
auto_login_localにより、ローカル自動ログイン・ウォレットが作成されるか、または、-walletオプションで指定されたウォレットのローカル自動ログインが有効になります。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.11 orapki wallet display

orapki wallet displayコマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示します。

構文

orapki wallet display -wallet wallet_location

walletは、開くウォレットの場所を指定します(そのウォレットが現在の作業ディレクトリにない場合)。

親トピック: orapkiユーティリティ・コマンドのサマリー

F.8.12 orapki wallet export

orapki wallet exportコマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートします。

構文

証明書をOracleウォレットからエクスポートするには:

orapki wallet export -wallet wallet_location -dn certificate_dn -cert certificate_filename

walletは、証明書のエクスポート元のウォレットの場所を指定します。
dnは、証明書の識別名を指定します。
certは、エクスポートされる証明書を含むファイルの名前を指定します。

証明書リクエストをOracleウォレットからエクスポートするには:

orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename

requestは、エクスポートされる証明書リクエストを含むファイルの名前を指定します。

親トピック: orapkiユーティリティ・コマンドのサマリー