プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理
12c (12.2.1.2.0)
E82873-02
目次へ移動
目次
前
 		次

10 証明書ルックアップおよび検証フレームワークの構成

この章では、X.509証明書チェーンをルックアップおよび検証する、証明書ルックアップおよび検証(CLV)フレームワークの構成方法について説明します。

この章の内容は次のとおりです。

証明書ルックアップおよび検証フレームワークの概要

WebLogic Serverは、Webサービス・リクエスト、双方向SSL、または他の保護された対話の一部としてデジタル証明書を受け取る場合があります。これらの証明書を検証するため、WebLogic Serverには証明書ルックアップおよび検証(CLV)フレームワークが含まれます。CLVフレームワークの主要な要素は、証明書パス・ビルダーと証明書パス検証プロバイダです。CLVフレームワークでは、証明書チェーンへの参照が与えられている場合、そのチェーンを見つけて検証する1つ(および唯一)のアクティブな証明書パス・ビルダーと、証明書チェーンを検証するゼロまたは1つ以上の証明書パス検証プロバイダが必要です。

WebLogic Serverが証明書を受け取ると、CLVフレームワークは、証明書パス・ビルダーとして構成されているセキュリティ・プロバイダを使用して証明書チェーンを検索および検証します。証明書チェーンを検索および検証したら、構成されている各証明書パス検証プロバイダを構成された順に呼び出して、証明書チェーンをさらに検証します。証明書パス・ビルダーとすべての証明書パス検証プロバイダが正常に検証を完了した場合にのみ、証明書チェーンが有効になります。

チェーンが有効になるのは、以下のすべての条件がtrueの場合です。

  • チェーン内の証明書が正しく相互署名されています。

  • サーバーの信頼性のあるCAの1つである証明書でチェーンが終了しています。

  • チェーンが基本制約ルール(チェーン内に証明書の発行が許可されていない証明書で発行された証明書がない、など)に準拠しています。

  • チェーン内の証明書が期限切れではありません。

WebLogic Serverには、2種類のCLVセキュリティ・プロバイダが用意されています。証明書パス・ビルダーと証明書パス検証プロバイダの両方として機能するWebLogic証明書パス・プロバイダ(「証明書パス・プロバイダ」を参照)と、証明書レジストリ(「証明書レジストリ」を参照)です。WebLogic証明書パス・プロバイダは、証明書チェーン全体に対して信頼性のあるCAベースの検証を行う場合に使用します。証明書レジストリは、証明書が登録されているかどうかだけを検証する場合に使用します。どちらの検証も行う場合、両方を使用します(証明書レジストリを現在のビルダーとして指定します)。

証明書ルックアップと検証の詳細は、キーストアの構成を参照してください。

WebLogic Serverで提供されるCLVセキュリティ・プロバイダ

WebLogic Serverには、次のCLVセキュリティ・プロバイダが用意されています。

証明書パス・プロバイダ

WebLogic Serverのデフォルト・セキュリティ・レルムには、WebLogic証明書パス・プロバイダが構成されます。この証明書パス・プロバイダには、証明書パス・ビルダーと証明書パス検証プロバイダという2つの機能があります。証明書パス・プロバイダは、目的の証明書または証明書チェーンを受け取ります。必要な場合、サーバーの信頼性のあるCAのリストを使用して証明書チェーンを完成させます。チェーンの作成後、証明書パス・プロバイダはチェーンを検証します。つまり、チェーン内の署名、チェーンの期限切れ、チェーンの基本制約、およびチェーンがサーバーの信頼性のあるCAの1つによって発行された証明書で終了していることをチェックします。

WebLogic証明書パス・プロバイダの構成は必要ありません。ただし、「現在のビルダー」属性を使用して、証明書パス・プロバイダをアクティブな証明書チェーン・ビルダーとして使用するかどうかを指定できます。

証明書レジストリ

証明書レジストリは、WebLogic Serverへのアクセスが許可されている信頼性のある証明書のリストを明示的に登録できるセキュリティ・プロバイダです。証明書レジストリをセキュリティ・レルムの一部として構成した場合、その証明書レジストリに登録されている証明書だけが有効であると見なされます。証明書レジストリは、失効チェックを実行するための、費用のかからないメカニズムを提供します。証明書レジストリから証明書を削除することによって、証明書を即座に無効にできます。このレジストリは、組込みLDAPサーバーに格納されます。

証明書レジストリは、証明書パス・ビルダーと証明書パス検証プロバイダの両方です。どちらの場合でも、証明書レジストリは、チェーンの目的の証明書がレジストリに格納されていることを検証しますが、それ以外の検証は行いません。証明書レジストリをセキュリティ・レルムの証明書パス・ビルダーとして使用し、WebLogic証明書パス・プロバイダまたは別のセキュリティ・プロバイダを使用してチェーン全体の検証を行う場合、各サーバーの信頼性のあるキーストアに中間およびルートCAを登録し、証明書レジストリに目的の証明書を登録する必要があります。

WebLogic Serverのデフォルト・セキュリティ・レルムには、証明書レジストリは含まれていません。証明書レジストリを構成したら、WebLogic Server管理コンソールを使用してレジストリの証明書を追加、削除および参照できます。Java keytoolユーティリティを使用すると、証明書をキーストアからファイルにエクスポートできます。管理コンソールを使用すると、PEMまたはDERファイルの証明書をファイル・システムから証明書レジストリにインポートできます。また、管理コンソールでは、証明書の内容(サブジェクトDN、発行者DN、シリアル番号、有効日、フィンガープリントなど)を参照できます。

Oracle WebLogic Server管理コンソール・オンライン・ヘルプ証明書パス・プロバイダの構成に関する項を参照してください。

前
 		次
目次へ移動
目次