OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > 認証局オーバーライドの構成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

認証局オーバーライドの構成

始める前に


認証局オーバーライドを構成して、特定の認証局(CA)で発行された証明書に固有のCRチェック動作を指定できます。認証局オーバーライドは、設定された対応するドメイン全体のCRチェック構成よりも常に優先されます。

認証局オーバーライドを使用して、特定のCAについて、ドメイン全体のCRチェック構成設定より優先させることができます。ただし、CRLローカル・キャッシュは例外で、ドメイン全体でのみ構成されます。

CAの認証局オーバーライドを構成するには:

  1. まだ行っていない場合、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(チェンジ・センターの使用を参照)。
  2. 管理コンソールの左ペインの「ドメイン構造」の下で、ドメイン名を選択します。
  3. 「セキュリティ」→「SSL証明書失効チェック」→「認証局オーバーライド」を選択し、「新規」をクリックします。

    証明書失効チェック認証局オーバーライドの新規作成ページが表示されます。
  4. 「名前」フィールドに、オーバーライドするための一意の短い名前を入力します。

    たとえば、CAサブジェクト名がCN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=USの場合は、この一意の名前を共通名(CN)の値、つまりCertGenCABにできます。

  5. 「識別名」フィールドで、CAの識別名を入力します。たとえば、CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US
  6. 「終了」をクリックします。
  7. domain-nameの設定ページで、「セキュリティ」→「SSL証明書失効チェック」→「認証局オーバーライド」を選択し、認証局の名前をクリックしてオーバーライドを構成します。

    certificate-authority-nameの設定ページが表示されます。
  8. 「構成」→「全般」を選択し、次のオーバーライド・プロパティの1つ以上を適宜設定して、「保存」をクリックします。
    • このCAによって発行された証明書の失効ステータスをSSL証明書パス検証プロセスの一部としてチェックしない場合は、「この認証局の失効チェックの無効化」チェック・ボックスを選択します
    • CRチェックのメソッドまたは順序を変更するには、「失効チェック」から目的の設定を選択します。
    • このCAが発行した証明書に不明または未確認の失効ステータスがあった場合にWebLogic ServerでSSL証明書パス検証を失敗させる場合は、「不明な失効ステータスでの失敗」チェック・ボックスを選択します。
  9. 「構成」→「OCSP」を選択し、このCAに対して次のOCSPオーバーライド・プロパティの1つを適宜設定します。
    • 「Nonceの有効化」の現在の設定を変更して、ドメイン全体の設定をオーバーライドします。
    • 「レスポンス・キャッシュの有効化」の現在の設定を変更して、ドメイン全体の設定をオーバーライドします。
  10. 「詳細」をクリックし、このCAに対して次の追加OCSPオーバーライド・プロパティの1つ以上を適宜設定します。
    • 「レスポンス・タイムアウト(秒)」を指定して、このCAが発行した証明書のOCSPレスポンスの待機時間を制限します。
    • 「許容時間(秒)」を指定して、WebLogic ServerとOCSP応答者間のクロック・スキュー差を処理します。
    • フェイルオーバー(証明書AIA値のOCSP応答者URIが使用可能でないか許容されない場合)またはオーバーライド(応答者URLとして常に使用)に使用する「応答者URL」を指定します。
    • 応答者URLの「使用方法」(「フェイルオーバー」または「オーバーライド」)を選択します。
    • このCAオーバーライドの「OCSP応答者の明示的信頼方法」設定を適宜指定します。デフォルトでは、「OCSP応答者の明示的信頼方法」は無効になっています。このモデルでは、OCSPレスポンス署名の検証に使用できる信頼性のある証明書を追加して指定できます。信頼性はあるが、発行者のかわりにOCSPレスポンスに署名する権限はないOCSP応答者に対しては明示的信頼モデルを使用できます。

    CAオーバーライドで指定できるOCSPプロパティの詳細は、OCSP認証局オーバーライドの構成を参照してください。

  11. OCSPオーバーライド・プロパティを指定した場合は、「保存」をクリックします。
  12. 「構成」→「CRL」を選択し、このCAに対して次のCRLオーバーライド・プロパティの1つ以上を適宜設定します。
    • 「配布ポイントからの更新の有効化」の選択を変更して、ドメイン全体のCRL構成をオーバーライドします。
    • 「詳細」をクリックし、フェイルオーバー(証明書のCRLDistributionPoints拡張機能のURLが使用不能な場合)またはオーバーライド(配布ポイントURLとして常に使用するため)に使用するCRLの「配布ポイントURL」を変更します。このCRL配布ポイントURLの「使用方法」(「フェイルオーバー」または「オーバーライド」)を選択して、「ダウンロード・タイムアウト(秒)」を指定します。

    CAオーバーライドで指定できるCRLプロパティの詳細は、CRL認証局オーバーライドの構成を参照してください。

  13. CRLオーバーライド・プロパティを指定した場合は、「保存」をクリックします。
  14. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。レルムの自動再起動がデフォルト・レルムで有効になっている場合、変更を有効にするためにWebLogic Serverを再起動する必要はありません。

先頭に戻る