G orapki

この付録で、orapkiなど12cよりも前のツールから、12c (12.2.1.1)で提供されている証明書ツール、ウォレット管理ツールおよびSSL構成ツールへの移行方法について学習していきます。

orapkiユーティリティは、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、およびテスト用の署名付き証明書の作成のためのコマンド行ツールです。また、SSL構成ツールも提供されていました。

Oracle Fusion Middleware 12c (12.2.1.1)では、SSLを構成するために、コマンド行(orapkiユーティリティ)ユーザー・インタフェースとグラフィカル・ユーザー・インタフェースの両方が提供されています。Oracle WebLogic Scripting Tool (WLST)およびOracle Enterprise Manager Fusion Middleware Controlにより、ユーザーはKSSベースおよびJKSベースのキーストア、ウォレットおよび証明書を管理できます。

内容は次のとおりです。

• 証明書とCRLの管理にorapkiユーティリティを使用する方法

関連項目:

• この付録で説明されているorapkiコマンドの追加の情報と例は、ドキュメントID 1629906.1 Fusion Middleware 12cにおけるORAPKIを使用したウォレットの作成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。

• この付録で説明されているWLSTコマンドの例は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』を参照してください。

• Oracle Fusion Middlewareのキーストアとウォレット管理の詳細は、「Oracle Fusion MiddlewareでのSSLの構成」を参照してください。

ノート:

orapkiユーティリティは、Oracle共通ホームのバイナリ・ディレクトリ$ORACLE_HOME/oracle_common/binにあります。

• 証明書とCRLの管理にorapkiユーティリティを使用する方法
  ウォレットの作成や証明書の作成などの一部の基本操作を実行するのにorapkiユーティリティを使用できます。

証明書とCRLの管理にorapkiユーティリティを使用する方法

ウォレットの作成や証明書の作成などの一部の基本操作を実行するのにorapkiユーティリティを使用できます。

この項の内容は次のとおりです。

• orapkiの概要

• orapkiヘルプの表示

• テスト用の署名付き証明書の作成

• orapkiユーティリティを使用したOracleウォレットの管理

• orapkiユーティリティを使用した証明書失効リストの管理

• orapkiユーティリティ・コマンドのサマリー

• orapkiの概要
  orapkiユーティリティは、公開キー・インフラストラクチャ(PKI)要素(ウォレット、証明書失効リストなど)をコマンド行で管理できるようにするために提供されています。これにより、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。
• orapkiヘルプの表示
  特定のモードで使用可能なorapkiコマンドをすべて表示できます。
• テスト用の署名付き証明書の作成
  orapkiコマンド行ユーティリティは、テスト目的の署名付き証明書を作成する便利で手軽な手段となります。
• orapkiユーティリティを使用したOracleウォレットの管理
  これらのorapkiユーティリティのwalletモジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。
• orapkiユーティリティを使用した証明書失効リストの管理
  証明書失効リスト(CRL)は、orapkiユーティリティを使用して管理する必要があります。このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapkiを使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。
• orapkiユーティリティ・コマンドのサマリー
  ウォレット、証明書および証明書失効リストを管理するための次のorapkiコマンドの用途および構文について説明します。

orapkiの概要

orapkiユーティリティは、公開キー・インフラストラクチャ(PKI)要素(ウォレット、証明書失効リストなど)をコマンド行で管理できるようにするために提供されています。これにより、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。

このコマンド行ユーティリティを使用して、次のタスクを実行できます。

• テスト用の署名付き証明書の作成

• Oracleウォレットの管理:

  • Oracleウォレットの作成と表示

  • 証明書リクエストの追加と削除

  • 証明書の追加と削除

  • 信頼できる証明書の追加と削除

• 証明書失効リスト(CRL)の管理

  • 証明書検証用ハッシュ値によるCRLの名前変更

orapkiを使用すると、証明書をDERフォーマットとPEMフォーマットの両方でインポートできます。

• orapkiの構文
  
• orapkiの環境設定
  

orapkiの構文

orapkiコマンドライン・ユーティリティの基本的な構文を次に示します。

orapki module command -parameter value

このコマンドでは、moduleをwallet (Oracleウォレット)、crl(証明書失効リスト)またはcert (PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmoduleによって異なります。たとえば、walletを使用している場合、addコマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txtにあるユーザー証明書が、ORACLE_HOME/wallet/ewallet.p12にあるウォレットに追加されます。

orapki wallet add -wallet ORACLE_HOME/wallet/ewallet.p12
-user_cert -cert /private/lhale/cert.txt

DN構文はプラットフォーム固有です。

多数のorapkiコマンドでは、DNの指定が必要です。UNIXでは、user_dnを一重引用符で囲む必要があります。たとえば:

$ORACLE_HOME/oracle_common/bin/orapki wallet add 
-wallet $ORACLE_HOME/wallet 
-dn 'CN=server.example.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN' 
-keysize 1024 

Windowsでは、次のように二重引用符で囲みます。

$ORACLE_HOME/oracle_common/bin/orapki wallet add 
-wallet $ORACLE_HOME/wallet 
-dn "CN=server.example.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN"
-keysize 1024

orapkiの環境設定

Web層のインストール環境のコンテキストでorapkiを実行している場合は、ORACLE_HOMEを、製品のインストール場所を指すように設定します。

orapkiヘルプの表示

特定のモードで使用可能なorapkiコマンドをすべて表示できます。

orapki mode help

たとえば、証明書失効リスト(CRL)を管理するために使用可能なコマンドをすべて表示するには、コマンド行に次のように入力します。

orapki crl help

ノート:

-summary、-completeまたは-walletコマンド・オプションの使用は、常にオプションです。これらのコマンド・オプションが指定されていなくても、コマンドは実行されます。

テスト用の署名付き証明書の作成

orapkiコマンド行ユーティリティは、テスト目的の署名付き証明書を作成する便利で手軽な手段となります。

次の構文を使用して、署名付き証明書を作成し、証明書を表示できます。

テスト用の署名付き証明書を作成するには:

orapki cert create [-wallet wallet_location] -request
 certificate_request_location
-cert certificate_location -validity number_of_days [-summary]

このコマンドにより、証明書リクエストから署名付き証明書が作成されます。-walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密キーを含むウォレットを指定します。-validityパラメータは、現在の日付から数えてこの証明書が有効である日数を指定します。証明書と証明書リクエストの指定は、このコマンドでは必須です。

証明書を表示するには:

orapki cert display -cert certificate_location [-summary | -complete]

このコマンドを使用すると、orapkiを使用して作成したテスト証明書を表示できます。-summaryまたは-completeのいずれかを選択できます。これによりコマンドが表示するデータの詳細さが決まります。-summaryを選択すると、証明書とその有効期限が表示されます。-completeを選択すると、シリアル番号、公開キーなどの追加の証明書情報が表示されます。

orapkiユーティリティを使用したOracleウォレットの管理

これらのorapkiユーティリティのwalletモジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。

次の各トピックでは、orapkiコマンド行ユーティリティを使用してOracleウォレットの作成および管理を行うために使用される構文について説明します。

• orapkiを使用したOracleウォレットの作成と表示
  
• orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加
  
• 証明書の追加と削除
  
• 信頼できる証明書の追加と削除
  
• orapkiを使用したECC証明書のOracleウォレットへの追加
  
• orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
  
• 信頼フラグの作成と管理
  
• PKCS#12ファイルのOracleウォレットへのインポート
  
• OracleウォレットとJKSキーストア間の変換
  

orapkiを使用したOracleウォレットの作成と表示

この項の内容は次のとおりです。

• Oracle Walletの作成
  
• 自動ログインが有効なOracleウォレットの作成
  
• AES暗号化によるOracleウォレットの作成
  
• AES暗号化を使用するように既存のウォレットを変換
  
• Oracleウォレットの表示
  

Oracle Walletの作成

orapki wallet create -wallet wallet_location

このコマンドでは、ウォレット・パスワードを入力または再入力するよう求められます。-walletで指定された場所にウォレットが作成されます。

自動ログインが有効なOracleウォレットの作成

orapki wallet create -wallet wallet_location -auto_login

このコマンドを使用すると、自動ログインが有効なウォレットが作成されます。また、既存のウォレットで自動ログインを有効化する場合にも使用できます。wallet_locationにすでにウォレットが含まれている場合、そのウォレットの自動ログインが有効になります。自動ログイン機能を無効にするには、cwallet.ssoを削除します。

ノート:

自動ログイン機能を有効にしたウォレットでは、addなど、ウォレットを変更する操作に対してのみパスワードの入力を求めるプロンプトが表示されます。

AES暗号化によるOracleウォレットの作成

orapki wallet create -wallet wallet -pwd pwd -compat_v12

このコマンドを使用すると、AES暗号化によりOracleウォレットが作成されます。

AES暗号化を使用するように既存のウォレットを変換

orapki wallet convert -wallet wallet -compat_v12 -pwd pwd 

このコマンドを使用すると、Oracleウォレットの暗号化が3DESからAESに変換されます。

Oracleウォレットの表示

orapki wallet display -wallet wallet_location

このコマンドを使用すると、ウォレットに含まれている証明書リクエスト、ユーザー証明書および信頼できる証明書が表示されます。

orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加

この項の内容は次のとおりです。

• 証明書リクエストのOracleウォレットへの追加
  
• 信頼できる証明書のOracleウォレットへの追加
  
• ルート証明書のOracleウォレットへの追加
  
• ユーザー証明書のOracleウォレットへの追加
  

証明書リクエストのOracleウォレットへの追加

orapki wallet add -wallet wallet_location -dn user_dn -keysize certificate_key_size -addext_ski -addext_ku extension_key_usage -addext_basic_cons CA -pathLen number -addext_san DNS

このコマンドを使用すると、指定した識別名(user_dn)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、次のパラメータおよび拡張機能も指定します。

• –keysizeパラメータは、リクエストされた証明書のキー・サイズを指定します。キー・サイズ識別子は、512、1024、2048、4096、8192、16384です。

• -addext_skiパラメータは、サブジェクト・キー識別子拡張機能を証明書リクエストに追加するための拡張機能です。

• -addext_kuパラメータは、キーの用途を追加するための拡張機能です。キーは、digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnlyおよびdecipherOnlyです。

• -addext_basic_consパラメータは、基本制約を追加するための拡張機能です。この拡張機能は、証明書リクエストがCAであることを記述します。-pathLenも記述します(このパラメータは、CAの有効な証明書パスにある、自己発行でない中間CA証明書の数を示します)。

• -addext_sanパラメータは、サブジェクト代替名の追加に使用される他、サブジェクトの識別にも使用されるX509証明書に対する拡張機能です。このオプションでは、カンマで区切ったドメイン名の追加のみ可能です。次の例に示すように追加できます。

  -addext_san DNS:<value1>,DNS:<value2>,DNS:<value3>
  or
  -addext_san DNS:ns1.example.com,DNS:ns2.example.com

  ノート:

  -addext_sanは、12c (12.2.1.1)以降のOracle Fusion Middlewareで適用できます。

リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。

たとえば:

Linux/Unix:
$ORACLE_HOME/oracle_common/bin/orapki wallet add 
-wallet $ORACLE_HOME/wallet 
-dn 'CN=server.in.test.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN' 
-keysize 1024 

Windows:
$ORACLE_HOME/oracle_common/bin/orapki wallet add 
-wallet $ORACLE_HOME/wallet 
-dn "CN=server.in.test.com, OU=Support, O=Oracle, L=Jaipur, ST=Rajasthan, C=IN"
-keysize 1024

信頼できる証明書のOracleウォレットへの追加

orapki wallet add -wallet wallet_location -trusted_cert -cert
certificate_location

このコマンドを使用すると、指定した場所(-cert certificate_location)にある信頼できる証明書がウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖にあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。

ルート証明書のOracleウォレットへの追加

orapki wallet add -wallet wallet_location -dn
certificate_dn -keysize 512|1024|2048|4096|8192|16384 -self_signed -validity number_of_days

このコマンドを使用すると、新しい自己署名(ルート)証明書が作成され、ウォレットに追加されます。-validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。このルート証明書のキー・サイズ(-keysize)は、512、1024、2048、4096、8192または16384ビットに指定できます。

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

ユーザー証明書のOracleウォレットへの追加

orapki wallet add -wallet wallet_location -user_cert -cert certificate_location

このコマンドを使用すると、-certパラメータで指定された場所にあるユーザー証明書が、wallet_locationにあるOracleウォレットに追加されます。

証明書の追加と削除

次のコマンドを実行します。

orapki wallet remove -wallet wallet_location
remove [-wallet [wallet]] [-dn [subject_dn]] [-issuer_dn [issuer_dn]] [-serial_num<serial_num>][-trusted_cert_all|-trusted_cert|-user_cert|-cert_req] [-pwd<pwd>] | [-auto_login_only]

たとえば:

orapki wallet remove -user_cert -alias "<Alias>" -wallet <wallet file> -auto_login_only

信頼できる証明書の追加と削除

次のコマンドを実行します。

orapki wallet remove -trusted_cert_all -wallet <wallet_location>

たとえば:

orapki wallet remove -wallet <wallet location> -trusted_cert -dn "Distinguished Name of trusted certificate that you want to remove"

orapkiを使用したECC証明書のOracleウォレットへの追加

この項の内容は次のとおりです。

• ECC証明書リクエストのOracleウォレットへの追加
  
• ECC証明書を備えたOracleウォレットの表示
  

ECC証明書リクエストのOracleウォレットへの追加

orapki wallet add -wallet wallet_location -dn user_dn -sign_alg signing_alg -asym_alg ECC -eccurve curve_type -addext_ski -addext_ku extension_key_usage -addext_basic_cons CA -pathLen number -addext_san DNS 

このコマンドを使用すると、指定した識別名(user_dn)を持つユーザーのウォレットに証明書リクエストが追加されます。このリクエストでは、次のECC固有のパラメータを指定します。

• -sign_algパラメータはCAが証明書に署名するために使用できる署名アルゴリズムを指定します。ecdsasha1、ecdsasha256、ecdsasha384およびecdsasha512は、CA用にサポートされるECCキーを使用した署名アルゴリズムで、md5、sha1、sha256、sha384およびsha512は、CA用にサポートされるRSAキーを使用した署名アルゴリズムです。

• -asym_algパラメータはキーのタイプ(ECCまたはRSA)を指定します。キーのタイプがECCの場合、オプション-eccurveを指定して、キーを生成するためのECC曲線を設定する必要があります。キーのタイプがRSAの場合、オプション-keysizeを指定して、生成するRSAキーのサイズを設定する必要があります。

• -eccurveパラメータは、ECCキーを生成するための曲線を指定します。曲線識別子は、p192、p224、p256、p384、p521、k163、k233、k283、k409、k571、b163、b233、b283、b409、b571です。

ECC証明書を備えたOracleウォレットの表示

orapki wallet display -wallet wallet_location

このコマンドで、ウォレットに含まれているECC証明書が表示されます。

orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート

この項の内容は次のとおりです。

• 証明書のOracleウォレットからのエクスポート
  
• 証明書リクエストのOracleウォレットからのエクスポート
  

証明書のOracleウォレットからのエクスポート

orapki wallet export -wallet wallet_location -dn
certificate_dn -cert certificate_filename -issuer_dn dn_of_issuer –serial_num serial_number_of_certificate

このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書が、ウォレットから-certで指定されたファイルにエクスポートされます。このコマンドは、次のオプションを使用してウォレット内の証明書を一意に識別します。

• -issuer_dnオプションには、証明書発行者のDNを指定します。

• -serial_numオプションは、証明書の識別番号として使用します。シリアル番号オプションでは、10進数形式と16進数形式の両方がサポートされます。

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

証明書リクエストのOracleウォレットからのエクスポート

orapki wallet export -wallet wallet_location -dn
certificate_request_dn -request certificate_request_filename

このコマンドを使用すると、サブジェクトの識別名(-dn)を持つ証明書リクエストが、ウォレットから-requestで指定されたファイルにエクスポートされます。

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

信頼フラグの作成と管理

信頼フラグを使用すると、証明書に割り当てられた適切なロールによる、証明書チェーンの検証やパスの構築などの操作が簡単に実行できます。デフォルトでは、ウォレットで信頼フラグはサポートされていません。

orapkiユーティリティを使用して、Oracleウォレットにインストールされている証明書に信頼フラグを保持できます。また、信頼フラグをサポートするウォレットの作成と変換、適切なフラグの作成と各証明書での保持などを実行できます。

表G-1に、サポートされている信頼フラグを示します。

表G-1 Oracleウォレット証明書の信頼フラグ

NZ信頼フラグ値	説明およびベスト・プラクティス	NSSフラグ
SERVER_AUTH (信頼できるサーバーのCA証明書)	信頼できるCAのルート証明書と中間証明書に割り当てられます。CA証明書をクライアントCAロールまたはサーバーCAロールで機能できるようにするためのきめ細かな制御の役に立ちます。 CLIENT_AUTHフラグと共存できます。 サーバーの認証時に、クライアントの証明書ストア内のSERVER_AUTHフラグ付きのCA証明書がサーバー証明書チェーン内にある場合、認証は成功します。SERVER_AUTHフラグ付きのCA証明書が存在しない場合、認証は失敗します。 クライアント・ウォレットで、SERVER_AUTHフラグをサーバーのルートCA証明書を割り当てることをお薦めします。サーバー証明書チェーンの検証は、このSERVER_AUTHフラグ付きの証明書で停止します。サーバーのルートCA証明書をクライアント・ウォレットに追加しない場合は、サーバーの中間CA証明書に設定してください。	"C"
CLIENT_AUTH (信頼できるクライアントのCA証明書)	信頼できるCAのルート証明書と中間証明書に割り当てられます。 SERVER_AUTHフラグと共存できます。CA証明書をクライアントCAロールまたはサーバーCAロールで機能できるようにするためのきめ細かな制御の役に立ちます。 SSLサーバーがクライアント認証をリクエストする場合、サーバーは、証明書の受入れ元である信頼できるCA証明書のサブジェクト名のリストを送信します。このリストの作成には、ウォレット内のCLIENT_AUTHフラグ付きの信頼できる証明書が使用されます。 SSLクライアントの認証時に、サーバーのウォレット内のCLIENT_AUTHフラグ付きのCA証明書がクライアント証明書チェーン内にある場合、認証は成功します。CLIENT_AUTHフラグ付きのCA証明書が存在しない場合、認証は失敗します。	"T"
VALID_PEER	ピアを認証するためにピアのユーザー証明書に割り当てられます。通常は、秘密キーを持ちません。 CLIENT_AUTH、SERVER_AUTHまたはUSER_CERTフラグと共存できません。 このフラグを自己署名サーバーまたはクライアント証明書に追加することをお薦めします。証明書チェーンの構築および検証は、VALID_PEERフラグ付きの証明書で停止します。 認証時に、認証を求めてSSLピアによって送信されたユーザーの証明書が、リライイング・パーティのVALID_PEERフラグ付きの証明書ストア内に存在する場合、この証明書が有効なピアのユーザー証明書であることを前提として、この証明書は証明書チェーンの検証なしにSSL接続を確立することが許可されます。	"P"
NULL。	フラグが指定されていない証明書に暗黙的に割り当てられます。 中間CA証明書とともに使用することをお薦めします。	""

明示的に実行できるフラグ割当ての他に、ウォレットで信頼フラグが使用できる場合に、証明書で自動的に実行される特定の割当てがあります。

• ルート・ウォレットにおいて(「ユーザー証明書」および「信頼できる証明書」セクションに同じ証明書のコピーを含む)、USER_CERTフラグが「ユーザー証明書」セクションにある証明書のみに追加されます。

• 信頼フラグをサポートできるようにウォレットが変換された場合、特定のルールにより、ウォレットに追加された信頼できる証明書への信頼フラグの割当てが制御されます(下記の「信頼できる証明書への信頼フラグの割当て」を参照)。

• 証明書がウォレットから削除されると、その証明書に関連付けられているフラグがすべて削除されます。同じ証明書を再インストールする場合は、再度フラグを追加する必要があります。

• 信頼フラグを含むウォレットを作成すると(-with_trust_flagsオプションを使用)、ウォレットに特定のデフォルトの証明書が移入されます。これらの証明書にはすべて、SERVER_AUTH/CLIENT_AUTHフラグが割り当てられます。

信頼できる証明書への信頼フラグの割当て

信頼フラグが有効なウォレットに信頼できる証明書を追加すると、信頼フラグは次のように処理されます。

• ルートCAにはSERVER_AUTHフラグが割り当てられます。

• 中間CA (ICA)にはNULLフラグが割り当てられます。

• 秘密キーのないエンドエンティティ証明書には、VALID_PEERフラグが割り当てられます。

• 秘密キーのない自己署名証明書には、VALID_PEERフラグが割り当てられます。

次の各項目では、orapkiで実行できる信頼フラグ操作について説明します。

• 信頼フラグをサポートするウォレットの作成
  
• 信頼フラグをサポートするようにウォレットを変換
  
• 証明書の信頼フラグの追加と更新
  
• 信頼フラグを含む証明書のウォレットへの追加
  

信頼フラグをサポートするウォレットの作成

ウォレットの作成時には、orapkiのオプションwith_trust_flagsを使用します。

orapki wallet create –wallet wallet_location 
–pwd password –with_trust_flags

このコマンドを使用すると、信頼フラグをサポートするOracleウォレットが作成され、一方with_trust_flagsパラメータを指定せずに作成されたウォレットでは信頼フラグがサポートされませんが、サポートするように変換することはできます。

自動ログイン・ウォレットの作成などのその他のオプションも、信頼フラグをサポートするウォレットの作成時に指定できます。

信頼フラグ対応ウォレットに追加された信頼できる証明書への信頼フラグの割当てを制御するルールは、「信頼フラグの作成と管理」(「信頼できる証明書への信頼フラグの割当て」を参照)で説明されており、これらのフラグは明示的にクリアできます。

信頼フラグをサポートするようにウォレットを変換

信頼フラグをサポートするように既存のウォレットを更新できます。

このコマンド構文を使用すると、信頼フラグをサポートするようにウォレットが変換されます。

orapki wallet enable_trust_flags –wallet wallet_location –pwd password

または、自動ログイン・ウォレットの場合:

orapki wallet enable_trust_flags –wallet wallet_location –auto_login_only

使用ルールは次のとおりです。

• これは自動ログイン・ウォレットであるため、パスワードは必要ありません。

• このコマンドを使用すると、ウォレットを元の状態(つまり、信頼フラグをサポートしない状態)には戻せません。

• ウォレット内に存在するユーザー証明書にはすべてUSER_CERTフラグが割り当てられます。

信頼できる証明書の信頼フラグは、次のように処理されます。

• ルートCAにはSERVER_AUTHフラグが割り当てられます。

• ICA (中間CA)にはNULLフラグが割り当てられます。

• 秘密キーのないエンドエンティティ証明書には、VALID_PEERフラグが割り当てられます。

信頼できる証明書に関連付けられているフラグを変更して、任意の信頼フラグを割り当てることができます。

証明書の空のウォレットへの追加

前述したように、このコマンドを使用すると、ウォレットを元の状態(つまり、信頼フラグをサポートしない状態)には戻せません。

orapkiによってインストールされたデフォルトの証明書を含む、すべての証明書をウォレットから削除すると、ツールはウォレットが信頼フラグをサポートしているかどうかを判別することができなくなります。このため、お薦めする方法は、デフォルトでインストールされている証明書をウォレットから削除しないことであり、これらを削除する必要がある場合は、削除する前に必ず証明書をインストールして、ウォレット内に最低1つの証明書が残されている状態にしてください。

すべての証明書をウォレットから削除して、後で新しい証明書をインストールする場合、信頼フラグ・オプションを指定して新しい証明書をインストールすると、ウォレットは自動的に信頼フラグをサポートするようになります。信頼フラグ・オプションを指定せずに新しい証明書をインストールした場合、ウォレットは信頼フラグをサポートしません。

証明書の信頼フラグの追加と更新

orapkiのオプションtrust_flagsを使用すると、選択した証明書に必要なフラグが割り当てられます。

orapki wallet assign_trust_flags –wallet wallet_location
–pwd password –trust_flags ""|"flags" 
–dn "value" [–serial_num "value"  –issuer "value"] 

このコマンドを使用すると、dnによって指定された証明書の信頼フラグが追加、更新または削除されます。構文ルールは次のとおりです。

• ウォレットは信頼フラグをサポートしている必要があります。

• ウォレットは自動ログイン・ウォレットであるため、パスワードは必要ありません。

• 表G-1で定義されたフラグを指定します。

• 必須の証明書属性パラメータはサブジェクトDNのみであり、残りの2つのパラメータはオプションです。ただし、証明書を一意に識別するために、これらのパラメータを使用して詳細を十分に指定する必要があります。

• 照合する属性名では大文字と小文字は区別されませんが、属性値では区別されます。

• -serial_numオプションは、証明書の識別番号として使用します。シリアル番号オプションでは、10進数形式と16進数形式の両方がサポートされます。

• 証明書に既存のフラグが割り当てられている場合は上書きされます。

• "," (カンマ)を使用して複数のフラグを割り当てることができます(例: –add "SERVER_AUTH,CLIENT_AUTH")。

• USER_CERTフラグは、ユーザー証明書に対して暗黙的に割り当てられているため、このコマンドでは指定できません(ユーザー証明書には必ずUSER_CERTフラグが存在します)。

• 信頼フラグを削除するには、–add ""を使用します。この場合、証明書にはNULLフラグが割り当てられます。

• 変更またはクリア・アクションにより、いずれかのユーザー証明書の証明書チェーンが無効になってしまう場合、このアクションは実行されません。

たとえば:

orapki wallet assign_trust_flags –wallet /usr/test
–trust_flags "SERVER_AUTH,CLIENT_AUTH" 
–dn "cn=jack, ou=people, dc=example, dc=com" 
–serial_num "1122" –issuer "sample"

信頼フラグを含む証明書のウォレットへの追加

ウォレットへの証明書の追加時には、orapkiのオプションtrust_flagsを使用します。

orapki wallet add –wallet wallet_location 
–[trusted_cert|user_cert|self_signed] 
–cert cert_location –pwd password –trust_flags "flag(s)"

このコマンドを使用すると、指定した信頼フラグを含む証明書がOracleウォレットに追加されます。構文ルールは次のとおりです。

• ウォレットは信頼フラグをサポートしている必要があります。

• ウォレットが自動ログイン・ウォレットである場合、パスワードは必要ありません。

• 自己署名付き証明書を生成する場合、cert_locationは必要ありません。

• 証明書のタイプがuser_certである場合、暗黙的にUSER_CERTフラグが追加されます。(ルート・ウォレットでは、「信頼できる証明書」セクションに自己署名付き証明書も存在していますが、この証明書にはUSER_CERTフラグは割り当てられません。)

• 表G-1で定義されたフラグを指定します。

• 信頼フラグが有効である場合、信頼できる証明書の完全な階層が存在している必要はありません(信頼フラグが指定されていないウォレットの場合とは異なり、ユーザー証明書の追加時に全チェーンが存在している必要があります)。階層内の信頼できる証明書のいずれかにSERVER_AUTH/CLIENT_AUTHフラグが割り当てられると、証明書チェーンの構築が停止します。

PKCS#12ファイルのOracleウォレットへのインポート

orapkiのオプションpkcs12fileを使用すると、PKCS#12ファイルをwall.etにインポートできます

orapki wallet import_pkcs12 
–wallet wallet_location [-pwd wallet_password] 
-pkcs12file pkcs12_file_location [-pkcs12pwd pkcs12_file_password]

このコマンドを使用すると、PKCS#12ファイルがOracleウォレットにインポートされます。コマンドでパスワードを指定しない場合、ユーティリティによってプロンプトが表示されます。

OracleウォレットとJKSキーストア間の変換

JKSキーストアからOracleウォレットへの変換およびOracleウォレットからJKSへの変換を実行できます。

• JKSからOracleウォレットへの変換
  
• OracleウォレットからJKSへの変換
  

JKSからOracleウォレットへの変換

エントリをJKSストアからp12ウォレットに移行するには、次のコマンドを使用します。

jks_to_pkcs12 -wallet wallet -pwd pwd -keystore keystore 
-jkspwd jkspwd [-aliases [alias:alias..]]

このコマンドのパラメータは次のとおりです。

• walletはウォレット・ロケーションです。エントリがJKSキーストアからこのウォレットに移行されます。

• pwdはウォレット・パスワードです。

• keystoreはキーストアの場所です。このJKSはp12ウォレットに移行されます。

• jkspwdはJKSパスワードです。

• aliasesはオプションです。これを指定すると、指定した別名に対応するエントリのみが移行されます。指定しないと、すべてのエントリが移行されます。

このコマンドについて説明するために、自己署名JKSキーストアの作成から始めます。

keytool -genkey -alias myalias -keyalg RSA -keysize 1024 -dname CN=root,C=US -validity 3650 -keystore ./ewallet.jks -storetype jks -storepass password 
-keypass password 

次に、Oracleウォレットを作成します。

orapki wallet create -wallet ./ -pwd password 

JKSキーストアのエントリをウォレットに移行します。

orapki wallet jks_to_pkcs12 -wallet ./ -pwd password -keystore ./ewallet.jks -jkspwd password

ノート:

この例では、ウォレットは新しく作成されたため空です。しかし実際には、このコマンドを使用するときにウォレットが空である必要はありません。事前に存在しているエントリは保持されます。

OracleウォレットからJKSへの変換

エントリをp12ウォレットからJKSキーストアに移行するには、次のコマンドを使用します。

pkcs12_to_jks -wallet p12wrl -pwd p12pwd 
[-jksKeyStoreLoc jksKSloc -jksKeyStorepwd jksKS_pwd][-jksTrustStoreLoc loc -jksTrustStorepwd pwd]

このコマンドのパラメータは次のとおりです。

• walletはp12ウォレット・ロケーションです。

• pwdはウォレット・パスワードです。

• jksKeyStoreLocはJKSキーストアの場所です。

• jksKeyStorepwdはJKSキーストア・パスワードです。

• jksTrustStoreLocはJKSトラストストアの場所です。

• jksTrustStorepwdはJKSトラストストア・パスワードです。

ノート:

パスワードは、8文字以上で、アルファベットと、数字または特殊文字の組合せを含んでいる必要があります。

次の例では、すべてのウォレットのエントリが同じJKSキーストアに移行されます。

orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewallet.jks -jksKeyStorepwd mypasswd2

次の例では、キーおよび信頼できる証明書のエントリが別々のJKSキーストアに移行されます。

orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd 
-jksKeyStoreLoc ./ewalletK.jks -jksKeyStorepwd mypasswd2 
-jksTrustStoreLoc ./ewalletT.jks -jksTrustStorepwd mypasswd2

orapkiユーティリティを使用した証明書失効リストの管理

証明書失効リスト(CRL)は、orapkiユーティリティを使用して管理する必要があります。このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapkiを使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。

関連項目:

orapkiでのCRLの管理の詳細は、『Oracle Database Advanced Security管理者ガイド』の証明書失効リストの管理に関する項を参照してください。

次の各項では、CRLについて、CRLの使用方法、およびorapkiを使用してCRLを管理する方法について説明します。

• 証明書失効リストによる証明書検証について
  
• 証明書失効リストの管理
  

証明書失効リストによる証明書検証について

指定の証明書を指定のコンテキストで使用できるかどうかを判定するプロセスは、証明書の検証と呼ばれます。証明書の検証には、次の項目の判定が含まれます。

• 信頼できる認証局(CA)にデジタル署名された証明書があるかどうか。

• 証明書のデジタル署名が、証明書自体の別個に計算されたハッシュ値および証明書の署名者の(CAの)公開キーに対応しているかどうか。

• 証明書が期限切れになっていないかどうか。

• 証明書が失効していないかどうか。

SSLネットワーク・レイヤーは、自動的に最初の3つの検証チェックを実行しますが、証明書が失効していないことを確認するには、証明書失効リスト(CRL)のチェックを構成する必要があります。CRLは、失効した証明書のリストを含む署名付きデータ構造体です。これは通常、元の証明書を発行したエンティティと同じエンティティによって発行され署名されます。

• 使用するCRLの選択方法
  
• CRLチェックの動作の仕組み
  

使用するCRLの選択方法

使用するトラスト・ポイントすべてについてCRLが必要です。トラスト・ポイントは、一定の信頼レベルで資格を与えられたサード・パーティ・アイデンティティからの信頼できる証明書です。通常、信頼する認証局はトラスト・ポイントと呼ばれます。

CRLチェックの動作の仕組み

証明書失効ステータスは、ファイル・システム・ディレクトリにあるCRL、または証明書のCRL配布ポイント(CRL DP)の拡張子で指定された場所からダウンロードしたCRLに対してチェックされます。CRLをローカル・ファイル・システムまたはディレクトリに格納する場合、CRLを定期的に更新する必要があります。CRL DPを使用する場合、CRLは、対応する証明書が最初に使用されるときにダウンロードされます。

サーバーは、次の場所で(ここに示されている順番で)CRLを検索します。システムは、証明書のCAのDNと一致するCRLを検出すると、検索を停止します。

1. ローカル・ファイル・システム

   CRLファイルの場所と管理はコンポーネントに応じて異なります。Oracle WebLogic Serverの場合は、『Oracle WebLogic Serverセキュリティの管理』のCRLローカル・キャッシュの構成に関する項を参照してください。Oracle HTTP Serverの場合は、ドキュメントID 1665286.1 FMW 12cにおけるOracle HTTP ServerでのCRLチェックの構成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。

2. CRL DP

   CAが、証明書が発行されたときのCRL DP X.509、バージョン3、証明書拡張子内の位置を指定すると、その証明書用の失効情報を含む適切なCRLがダウンロードされます。現在、Oracle Advanced Securityは、HTTPおよびLDAPを介したCRLのダウンロードをサポートしています。

   ノート:

   • パフォーマンス上の理由から、ユーザー証明書のみがチェックされます。

   • CRLをローカル・ファイル・システムではなくディレクトリに格納することをお薦めします。

証明書失効リストの管理

CRL管理の手順は、対象となるコンポーネントに応じて異なります。Oracle WebLogic Serverの場合は、『Oracle WebLogic Serverセキュリティの管理』のCRLローカル・キャッシュの構成に関する項を参照してください。Oracle HTTP Serverの場合は、ドキュメントID 1665286.1 FMW 12cにおけるOracle HTTP ServerでのCRLチェックの構成方法(Oracle Technology Networkナレッジ・ベースにあります)を参照してください。

証明書失効ステータスのチェックを有効にするには、まず、使用するCAから受信したCRLがシステムで使用できるフォームである(ハッシュ値で名前変更されている)こと、またはシステムで使用できる場所にある(ディレクトリにアップロードされている)ことを確認してください。Oracle Advanced Securityには、次のタスクを実行するために使用できるコマンド行ユーティリティ、orapkiがあります。

ノート:

CRLは、正常な検証を行うために、(期限切れになる前に)定期的に更新する必要があります。このタスクは、スクリプトでorapkiコマンドを使用して自動化できます。

• 証明書検証用ハッシュ値によるCRLの名前変更
  

関連項目:

LDAPコマンド行ツールおよびその構文については、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』のコマンド行ツールの概要に関する項を参照してください。

証明書検証用ハッシュ値によるCRLの名前変更

システムは、証明書を検証するとき、証明書を作成したCAが発行するCRLを見つける必要があります。システムは、証明書の発行者名とCRLにある発行者名を照合して適切なCRLを検出します。

Oracle Net Managerの「証明書失効リスト・パス」フィールドにCRL格納場所を指定する(sqlnet.oraファイルのSSL_CRL_PATHパラメータを設定する)場合、orapkiユーティリティを使用して発行者名を表すハッシュ値を使用してCRLを名前変更します。ハッシュ値を作成すると、サーバーでCRLをロードできます。

UNIXシステムでは、orapkiによってCRLへのシンボリック・リンクが作成されます。Windowsシステムでは、CRLファイルのコピーが作成されます。どちらの場合も、orapkiによって作成されたシンボリック・リンクまたはコピーは、発行者名のハッシュ値を使用して名前が付けられます。その後、システムが証明書を検証するとき、同じハッシュ関数が使用されて、適切なCRLをロードできるようにリンク(またはコピー)の名前が計算されます。

ご使用のオペレーティング・システムに応じて、次のコマンドのいずれかを入力して、ファイル・システムに格納されているCRLの名前を変更します。

UNIXファイル・システムに格納されているCRLの名前を変更するには:

orapki crl hash -crl crl_filename [-wallet wallet_location]
-symlink crl_directory [-summary]

Windowsファイル・システムに格納されているCRLの名前を変更するには:

orapki crl hash -crl crl_filename
[-wallet wallet_location] -copy crl_directory [-summary]

このコマンドで、crl_filenameはCRLファイルの名前、wallet_locationはCRLを発行したCAの証明書を含むウォレットの場所、crl_directoryはCRLがあるディレクトリです。

-walletおよび-summaryの使用はオプションです。-walletを指定すると、CRLの名前を変更する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。-summaryオプションを指定すると、ツールによってCRL発行者名が表示されます。

orapkiユーティリティ・コマンドのサマリー

ウォレット、証明書および証明書失効リストを管理するための次のorapkiコマンドの用途および構文について説明します。

• orapki cert create
  
• orapki cert display
  
• orapki crl create
  
• orapki crl hash
  
• orapki crl revoke
  
• orapki crl status
  
• orapki crl verify
  
• orapki wallet add
  
• orapki wallet change_pwd
  
• orapki wallet create
  
• orapki wallet enable_trust_flags
  
• orapki wallet assign_trust_flags
  
• orapki wallet display
  
• orapki wallet export
  
• orapki wallet export_trust_chain
  
• orapki wallet import_pkcs12
  
• orapki wallet export_private_key
  
• orapki wallet import_private_key
  
• orapki wallet jks_to_pkcs12
  
• orapki wallet pkcs12_to_jks
  
• orapki wallet p11_add
  
• orapki wallet p11_verify
  
• orapki wallet upload
  
• orapki wallet download
  
• orapki wallet replace
  
• orapki wallet remove
  

orapki cert create

このコマンドは、テスト用の署名付き証明書を作成するために使用します。

FMWの構文は次のとおりです:

orapki cert create [-wallet wallet_location]
-request certificate_request_location
-cert certificate_location -validity number_of_days [-summary]

• -walletパラメータは、証明書リクエストへの署名に使用されるユーザー証明書と秘密キーを含むウォレットを指定します。

• -requestパラメータ(必須)は、作成する証明書の証明書リクエストの場所を指定します。

• -certパラメータ(必須)は、ツールが新しい署名付き証明書を配置するディレクトリの場所を指定します。

• -validityパラメータ(必須)は、現在の日付から数えてこの証明書が有効である日数を指定します。

orapki cert display

このコマンドは、特定の証明書の詳細を表示するために使用します。

orapki crl create

CRLを作成するためのFMWの構文は次のとおりです:

orapki crl create [-crl [url|filename]] 
[-wallet [cawallet]] 
[-nextupdate [days]] 
[-pwd pwd]

• -crlは、CRLが作成される場所です(たとえば、./nzcrl.txt)。

• -walletは、自己署名証明書と対応する秘密キーを含むCAウォレットです。

• -nextupdateは、次回更新までの日数です。

• -pwdは、CAウォレットのパスワードです。

CRLを作成するためのENTの構文は次のとおりです:

crl:
create [-crl [url|filename]] [-wallet [cawallet]] <-issuer [issuer_dn]>
<-issuersissuer [issuersissuer_dn]>
<-serial_num [serial_num]> [-nextupdate [days]] [-pwd <pwd>] [-sign_alg
<md5|sha1|sha256|sha384|sha512|ecdsasha1|ecdsasha256|ecdsasha384|ecdsasha512>]

• -crlは、CRLが作成される場所です(たとえば、./nzcrl.txt)。

• -issuerは、発行者のDNです

• -issuersissuerは、発行者証明書の発行者DNです

• -serial_numは、CRLのシリアル番号です

• -sign_algは、使用する署名アルゴリズムです

orapki crl hash

このコマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にファイル・システム内のCRLの場所を特定するために使用します。

構文は次のとおりです。

orapki crl hash -crl crl_filename|URL 
 [-wallet wallet_location] [-symlink|-copy] crl_directory [-summary]

• -crlパラメータは、CRLまたはCRLがあるURLを含むファイル名を指定します。

• -walletパラメータ(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。

• オペレーティング・システムに応じて、-symlinkパラメータまたは-copyパラメータのいずれかを使用します。

  • UNIX: -symlinkを使用してcrl_directoryにCRLへのシンボリック・リンクを作成します。

  • Windows: -copyを使用してcrl_directoryにCRLのコピーを作成します。

• -summaryパラメータ(オプション)を使用すると、ツールによってCRL発行者名が表示されます。

orapki crl revoke

これらのコマンドは、証明書を取り消すために使用します。

FMWの構文は次のとおりです:

orapki crl revoke [-crl [url|filename]] 
[-wallet [cawallet]] 
[-cert [revokecert]] 
[-pwd pwd]

ENTの構文は次のとおりです:

revoke [-crl [url|filename]] [-wallet [cawallet]] [-cert [revokecert]] [-pwd
<pwd>] [-sign_alg
<md5|sha1|sha256|sha384|sha512|ecdsasha1|ecdsasha256|ecdsasha384|ecdsasha512>]

• -crlは、URLまたはファイル名としてCRLを指定します。

• -walletは、自己署名証明書と対応する秘密キーを含むCAウォレットです

• -cert: 取り消す証明書

• -pwd は、CAウォレットのパスワードです。

• -sign_algは、使用する署名アルゴリズムです。

orapki crl status

このコマンドは、証明書がCRLで失効しているかどうかをチェックするために使用します。

構文は次のとおりです。

orapki crl status [-crl [url|filename]] 
 [-cert [cert]]

• -crlは、URLまたはファイル名としてCRLを指定します。

• -certは、CAの証明書です。

orapki crl verify

このコマンドは、CRL署名を確認するために使用します。

構文は次のとおりです。

orapki crl verify [-crl [url|filename]] 
[-cert [cacert]]

これらの意味は、次のとおりです。

• -crlは、URLまたはファイル名としてCRLを指定します。

• -certは、チェックする証明書を指定します。

orapki wallet add

このコマンドは、証明書リクエストおよび証明書をOracleウォレットに追加するために使用します。

関連項目:

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

証明書リクエストを追加するには:

orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048|4096|8192|16384

• -walletパラメータは、証明書リクエストの追加先のウォレットの場所を指定します。

• -dnパラメータは、証明書の所有者の識別名を指定します。

• -keysizeパラメータは、証明書のキー・サイズを指定します。

• リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。「orapki wallet export」を参照してください。

信頼できる証明書を追加するには:

orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location

• -trusted_certパラメータを使用すると、ツールによって、-certで指定された場所にある信頼できる証明書がウォレットに追加されます。

ルート証明書を追加するには:

orapki wallet add -wallet wallet_location -dn 
certificate_dn -keysize 512|1024|2048|4096|8192|16384
 -self_signed 
-valid_from [mm/dd/yyyy] -valid_until [mm/dd/yyyy]
-validity number_of_days

• -self_signedパラメータを使用すると、ツールによってルート証明書が作成されます。

• -validityパラメータを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定できます。

• -valid_fromパラメータおよびvalid_untilパラメータを使用して、このルート証明書が有効である正確な日付範囲を指定できます。-validity number_of_daysのかわりに、この方法で有効期間を指定できます。

ユーザー証明書を追加するには:

orapki wallet add -wallet wallet_location -user_cert -cert certificate_location

• -user_certパラメータを使用すると、ツールによって、-certパラメータで指定された場所にあるユーザー証明書がウォレットに追加されます。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。

証明書リクエストにサブジェクト・キー識別子の拡張子を追加するには:

orapki wallet add -wallet wallet_location -dn user_dn -keysize 512|1024|2048 -addext_ski

バージョン3の自己署名証明書をウォレットに追加するには:

orapki wallet add -wallet wallet_location -dn certificate_dn -keysize 512|1024|2048 -self_signed -validity number_of_days -addext_ski

証明書のウォレットへの追加時に信頼フラグを追加するには:

orapki wallet add –wallet wallet_location 
–[trusted_cert|user_cert|self_signed] 
–cert cert_location –pwd password –trust_flags "flag(s)"

• -trust_flagsパラメータにより、指定したフラグが証明書に追加されます。使用方法の詳細は、「信頼フラグを含む証明書のウォレットへの追加」を参照してください。

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

orapki wallet change_pwd

このコマンドは、Oracleウォレットのパスワードを変更するために使用します。

構文は次のとおりです。

orapki wallet change_pwd [-wallet [wallet_location]] [-oldpwd oldpassword] [-newpwd newpassword]

• -walletパラメータは、パスワードを変更するウォレットの場所を指定します。

• -oldpwdパラメータは、既存のウォレット・パスワードを指定します。

• -newpwdパラメータは、新しいウォレット・パスワードを指定します。

orapki wallet create

このコマンドは、Oracleウォレットの作成、Oracleウォレットの自動ログインの設定、および証明書の信頼フラグの有効化のために使用します。

構文は次のとおりです。

orapki wallet create -wallet wallet_location 
[–with_trust_flags] [-auto_login]

• -walletパラメータは、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。

• -auto_loginパラメータにより、自動ログイン・ウォレットが作成されます。または、-walletオプションで指定されたウォレットの自動ログインが有効になります。

• –with_trust_flagsパラメータにより、ウォレットが信頼フラグをサポートできるようになります。

orapki wallet enable_trust_flags

このコマンドは、信頼フラグをサポートするようにウォレットを変換するために使用します。

構文は次のとおりです。

orapki wallet enable_trust_flags –wallet wallet_location –pwd password

orapki wallet assign_trust_flags

このコマンドは、ウォレット内の証明書に信頼フラグを割り当てるために使用します。

構文は次のとおりです。

orapki wallet assign_trust_flags [–wallet [wallet_location]] [–pwd password] [–trust_flags ""|"flags"] 
[–dn ["value"]] [–issuer [issuer_dn]] [–serial_num [serial_num]]

• -walletパラメータは、信頼フラグを証明書に割り当てる元となるウォレットの場所を指定します。

• -pwdは、ウォレット・パスワードを指定します。

• –trust_flagsパラメータは、有効にする信頼フラグを指定します。信頼フラグは、SERVER_AUTH,CLIENT_AUTH、VALID_PEERおよびNULLです。

• -dnパラメータは、証明書の識別名を指定します。

• -issuerオプションには、証明書発行者のDNを指定します。

• -serial_numオプションは、証明書の識別番号として使用します。シリアル番号オプションでは、10進数形式と16進数形式の両方がサポートされます。

ウォレット内の単一の証明書に一意的に一致させるために、-serial_numオプションおよび-issuerオプションが必要になる場合があります。

その他の使用方法の詳細は、「証明書の信頼フラグの追加と更新」を参照してください。

DN構文の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

orapki wallet display

このコマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示するために使用します。

構文は次のとおりです。

orapki wallet display -wallet wallet_location

-walletパラメータは、開くウォレットの場所を指定します(そのウォレットが現在の作業ディレクトリにない場合)。

orapki wallet export

このコマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートするために使用します。

関連項目:

dnパラメータの指定例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

構文は次のとおりです。

orapki wallet export -wallet wallet_location 
-dn certificate_dn -cert certificate_filename

• -walletパラメータは、証明書のエクスポート元のウォレットがあるディレクトリを指定します。

• -dnパラメータは、証明書の識別名を指定します。

• -certパラメータは、エクスポートされる証明書を含むファイルのパスおよびファイル名を指定します。

証明書リクエストをOracleウォレットからエクスポートするには:

orapki wallet export -wallet wallet_location 
-dn certificate_request_dn -request certificate_request_filename

• -requestパラメータは、エクスポートされる証明書リクエストを含むファイルのパスおよびファイル名を指定します。

orapki wallet export_trust_chain

このコマンドは、ユーザーのトラストのチェーン(証明書チェーン)をエクスポートするために使用します。

構文は次のとおりです。

orapki wallet export_trust_chain [-wallet [wallet]] 
[-certchain [filename]]
[-dn [user_cert_dn] ] 
[-pwd pwd]
[-issuer_dn [issuer_dn]]
[-serial_num [serial_num]]

• -walletパラメータは、証明書チェーンのエクスポート元のウォレットの場所を指定します。

• -certchainパラメータは、エクスポートされる証明書チェーンを含むファイルの名前を指定します。

• -dnパラメータは、エクスポートされるエントリの識別名を指定します。

• -pwdは、ウォレット・パスワードを指定します。

• -issuer_dnオプションには、証明書発行者のDNを指定します。

• -serial_numオプションは、証明書の識別番号として使用します。シリアル番号オプションでは、10進数形式と16進数形式の両方がサポートされます。

—dnパラメータの指定方法の例は、「証明書リクエストのOracleウォレットへの追加」を参照してください。

orapki wallet import_pkcs12

このコマンドは、PKCS#12ファイルをOracleウォレットにインポートするために使用します。

orapki wallet import_pkcs12 
–wallet wallet_location [-pwd wallet_password] 
-pkcs12file pkcs12_file_location [-pkcs12pwd pkcs12_file_password]

• walletパラメータは、PKCS#12ファイルのインポート先のOracleウォレットの相対または絶対パスを指定します。必須です。

• pwdパラメータは、PKCS#12ファイルのインポート先のOracleウォレットのパスワードを指定します。このパラメータはオプションであり、必要に応じてプロンプトが表示されます。

• pkcs12fileパラメータは、OracleウォレットにインポートされるPKCS#12ファイルの相対または絶対パスを指定します。必須です。

• pkcs12pwdパラメータは、OracleウォレットにインポートされるPKCS#12ファイルのパスワードを指定します。このパラメータはオプションであり、必要に応じてプロンプトが表示されます。

たとえば:

orapki wallet import_pkcs12 –wallet /scratch/user/oracleWalletFolder/ewallet.p12 -pwd walletPassword -pkcs12file /scratch/userId/pkcs12fileFolder/certandkey.p12 -pkcs12pwd pkcs12filePassword

orapki wallet export_private_key

このコマンドを使用して、秘密キーをエクスポートします。

export_private_key[-wallet
          [wallet]] [-pwd <pwd>] [-pvtkeyfile [filename]] [-alias [pvtkey_alias]] [-pvtkeypwd <pwd>]
          [-salt salt]

• walletパラメータは、ウォレットの場所を指定します。

• dnパラメータは、サブジェクトの識別名です。必須

• pvykeyfileパラメータは、pvtkeyをエクスポートする場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• aliasパラメータは、pvtkeyの別名を指定します。
• saltパラメータは、証明書のシリアル番号を指定します。

orapki wallet import_private_key

このコマンドを使用して、秘密キーをインポートします。import_private_keyには、暗号化された秘密キーが必要です。パスワードが指定されていない場合、orapkiはユーザーにパスワードを要求します。OracleWallet APIを使用して暗号化されていない秘密キーをインポートすることはできません。

import_private_key [-wallet
          [wallet]] [-pwd <pwd>] [-alias [pvtkey_alias]] [-pvtkeyfile [filename]] [-pvtkeypwd <pwd>]
          [-salt salt] [-cert [certfilename]] [-cacert
    [cacertfilename]]

• walletパラメータは、ウォレットの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• pvtkeyfileパラメータは、pvtkeyをエクスポートするファイルの場所を指定します。

• aliasパラメータは、pvtkeyの別名を指定します。

• pvtkeypwdパラメータは、pvtkeyのパスワードを指定します。
• certパラメータは、証明書ファイルのパスを指定します。
• cacertパラメータは、cacertファイルのパスを指定します。

orapki wallet jks_to_pkcs12

このコマンドを使用して、JKSをPKCS12に移行します。

jks_to_pkcs12 [-wallet [wallet]]
          [-pwd <pwd>] [-keystore [keystore]] [-jkspwd [jkspwd]] <-aliases
      [alias:alias..]>

• walletパラメータは、ウォレットの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• keystoreパラメータは、jksキーストアの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• jkspwdパラメータでは、jksのパスワードを指定します。

orapki wallet pkcs12_to_jks

このコマンドを使用して、PKCS12をJKSに移行します。

pkcs12_to_jks [-wallet [wallet]]
          [-pwd <pwd>] [-jksKeyStoreLoc <jksKSloc> -jksKeyStorepwd <jksKS_pwd>][-jksTrustStoreLoc <loc>
          -jksTrustStorepwd <jkstspwd>]

• walletパラメータは、ウォレットの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• jksKeyStoreLocパラメータは、jksキーストアの場所を指定します。

• jksKSpwdパラメータでは、jksキーストアのパスワードを指定します。

• jksTrustStoreLocパラメータは、jksトラストストアの場所を指定します。

• jkstspwdパラメータは、jksトラストストアのパスワードを指定します。

orapki wallet p11_add

このコマンドを使用して、PKCS#11ライブラリをウォレットに追加します。

p11_add [-wallet [wallet]]
          [-p11_lib <pkcs11Lib>] [-p11_tokenlabel<tokenLabel>] [-p11_tokenpw <tokenPassphrase>]
          [-p11_certlabel <certlabel>] [-pwd <pwd>]

• walletパラメータは、ウォレットの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

• p11_libパラメータは、PKCS11のライブラリの場所を指定します。必須です。

orapki wallet p11_verify

このコマンドを使用して、ウォレットを検証します。

p11_verify -wallet <wallet_path> -pwd <wallet_password>

• walletパラメータは、ウォレットの場所を指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

orapki wallet upload

このコマンドを使用して、CRLをホストにアップロードします。

upload [-crl [url|filename]]
          [-ldap [host:port]] [-user [user]] [-wallet <wallet>] <-summary> [-pwd <pwd>] <-ldappwd
          [ldappwd]>

• CRLパラメータは、CRLの場所を指定します。

• ldapパラメータは、ホスト名とポートを指定します。

• userパラメータは、ユーザー名を指定します。

• walletパラメータは、CRLをアップロードするウォレットの場所を指定します。

• summaryパラメータを使用すると、アップロードのサマリーが表示されます。

• pwdパラメータは、ウォレットのパスワードを指定します。

• ldappwdパラメータは、CRLをアップロードするホストのパスワードを指定します。

orapki wallet download

このコマンドを使用して、ホストからウォレットをダウンロードします。

download [-wallet [wallet]] [-ldap
          [host:nonsslport]] [-user [user]] [-userpwd [userpwd]] [-pwd
    <pwd>]

• walletパラメータは、CRLをアップロードするウォレットの場所を指定します。

• ldapパラメータは、ホスト名とポートを指定します。

• userパラメータは、ユーザー名を指定します。

• userpwdパラメータは、ユーザーのパラメータを指定します。

• pwdパラメータは、ウォレットのパスワードを指定します。

orapki wallet replace

このコマンドを使用して、ウォレットの証明書を置き換えます。

replace [-wallet [wallet]]
          [-issuer_dn <issuer_dn>] [-serial_num <serial_num>] [-cert [filename]]
          [-trusted_cert|-user_cert]><-trust_flags [SERVER_AUTH,CLIENT_AUTH|VALID_PEER|NULL]> [-pwd
          <pwd>]

• walletパラメータは、ウォレットの場所を指定します。

• issuer_dnパラメータは、発行者のdnを指定します。

• serial_numパラメータは、証明書のシリアル番号を指定します。

• certパラメータは、証明書ファイルの場所を指定します。

• trusted_cert| user_cert-パラメータは、信頼できる証明書かユーザー証明書かを指定します。

• trust_flagsパラメータは、証明書で有効にする信頼フラグを指定します。

orapki wallet remove

このコマンドを使用して、ウォレットから証明書を削除します。

remove [-wallet [wallet]] [-dn
          [subject_dn]] [-issuer_dn [issuer_dn]] [-serial_num <serial_num>]
          [-trusted_cert_all|-trusted_cert|-user_cert|-cert_req]  [-pwd <pwd>] |
          [-auto_login_only]

• walletパラメータは、ウォレットの場所を指定します。

• dnパラメータは、削除しようとするサブジェクトのdnを指定します。

• issuer_dnパラメータは、発行者のdnを指定します。

• serial_numパラメータは、サブジェクトのシリアル番号を指定します。

• trusted_cert| user_cert-パラメータは、信頼できる証明書かユーザー証明書かを指定します。

• auto_login_onlyパラメータは、ウォレットがauto_login_onlyかどうかを指定します。