1. Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
  2. Oracle Advanced Authenticationの管理
  3. Oracle Advanced Authenticationの構成
  4. 証明書の管理および失効

11.14 証明書の管理および失効

この項では、失効するSSL証明書を管理する方法について説明します。

OAAインストールで使用される証明書は、<NFS_CREDS_PATH>のPKCSファイルに格納されています。これらのファイルは次のとおりです:
  • cert.p12 - サーバー証明書およびキーが含まれます
  • trust.p12 - 信頼できる認証局証明書が含まれます
これらのファイルは、商用認証局を使用している場合は自分で生成したもので、自己署名証明書を使用している場合はインストールによって生成されたものです。「サーバー証明書および信頼証明書の生成」を参照してください。

ノート:

管理者は、次のことに注意する必要があります:
  • 自己署名証明書が自動的に生成されるのは、1月25日以降のリリースを使用してインストールを実行した場合のみです。1月25日より前のリリースをインストールした場合は、自己署名証明書、cert.p12およびtrust.p12を手動で生成します。
  • 1月25日以降のリリースを使用したインストールで生成される自己署名証明書の有効期間は6か月です。

trust.p12には、OAMで使用される証明書も含まれています。これには、OAMで使用されるサーバー証明書が含まれます。これは完全な信頼チェーンです。1月25日以降のOAAをインストールした場合、元のインストールでこれらの証明書が自動的に取得されてtrust.p12にインポートされます。1月25日より前のリリースでは、これは手動のタスクであり、管理者がインストール前にこれらをインポートする必要がありました。

管理者は、次のことに注意する必要があります:
  • 「証明書を生成するためのサード・パーティCAの使用」を実行して最初に生成されていたサード・パーティ証明書を更新する場合は、新しい証明書を使用してcert.p12およびtrust.p12を再作成する必要があります。同じ手順を実行できますが、既存のファイルの名前を変更してから先に進む必要があります。
  • これまで自己署名証明書を使用していたが、独自のサード・パーティ証明書を生成することにした場合は、「証明書を生成するためのサード・パーティCAの使用」に従ってcert.p12およびtrust.p12を作成する必要があります。
  • 自己署名証明書を更新する場合、デプロイメントの更新中にcert.p12およびtrust.p12が新しい証明書で自動的に再生成されます。
  • OAM証明書を更新する場合は、最初にOAMサーバーで証明書を更新する必要があります。デプロイメントの更新中に、OAM証明書が自動的に取得されてtrust.p12に追加されます。

デプロイメントの更新

新しい証明書でデプロイメントを更新するには:
  1. 管理ポッドに入ります。次に例を示します:
    kubectl exec -n oaans -ti oaamgmt-oaa-mgmt-84955fdf8f-x22k4 -- /bin/bash
  2. サード・パーティ証明書を使用していて、独自のcert.p12およびtrust.p12ファイルを生成した場合は、次のことを実行する必要があります:
    1. /u01/oracle/scripts/credsディレクトリに移動し、既存のファイルの名前を変更します:
      cd /u01/oracle/scripts/creds
mv trust.p12 trust.p12.old
mv cert.p12 cert.p12.old
    2. コンテナの外側の<INSTALL_HOST>で、新しいtrust.p12およびcert.p12ファイルが配置された<WORKDIR>に移動します。たとえば:
      cd /workdir
    3. 次のコマンドを実行して、新しいファイルを/u01/oracle/scripts/creds/にコピーします。これが<NFS_CREDS_PATH>にマップされます:
      kubectl cp <WORKDIR>/cert.p12 <NAMESPACE>/<OAAMGMTPOD>:/u01/oracle/scripts/creds/cert.p12
kubectl cp <WORKDIR>/trust.p12 <NAMESPACE>/<OAAMGMTPOD>:/u01/oracle/scripts/creds/trust.p12
      たとえば:
      kubectl cp /workdir/cert.p12 oaans/oaamgmt-oaa-mgmt-84955fdf8f-x22k4:/u01/oracle/scripts/creds/cert.p12
kubectl cp /workdir/trust.p12 oaans/oaamgmt-oaa-mgmt-84955fdf8f-x22k4:/u01/oracle/scripts/creds/trust.p12
  3. 管理コンテナ内部で、/u01/oracle/scripts/settings/installOAA.propertiesを編集し、次のパラメータが設定されていることを確認します:

    ノート:

    自己署名証明書からサード・パーティ証明書に移行する場合を除き、これらのパラメータは元のインストールからすでに設定されているはずです。
    変数 サンプル値 説明
    common.deployment.keystorepassphrase=<USER_CERT_P12_PWD> password

    独自の証明書を使用している場合は、これを<USER_CERT_P12_PWD>に設定する必要があります。

    インストール中にOAAによって生成された自己署名証明書を使用する場合は、任意のパスワードに設定します。
    common.deployment.truststorepassphrase=<TRUST_CERT_P12_PWD> password

    独自の証明書を使用している場合は、これを<TRUST_CERT_P12_PWD>に設定する必要があります。

    インストール中にOAAによって生成された自己署名証明書を使用する場合は、任意のパスワードに設定します。
  4. /u01/oracle/logs/status.infoを編集し、次の2つのパラメータをFALSEに変更します
    CERTIFICATEINSTALL=false
VAULTINSTALL=false
  5. 次のコマンドを実行して、デプロイメントを更新します:
    cd ~
./OAA.sh -f installOAA.properties

    このコマンドによって、デプロイメントが新しい証明書で更新されます。

    デプロイメントの更新中に、進行状況が画面に表示されます。より詳細な情報が必要な場合は、install.logを参照できます。このログには、管理コンテナ内部(/u01/oracle/logs)から、またはコンテナの外部(<NFS_LOGS_PATH>)からアクセスできます。

    デプロイメントの更新が正常に完了すると、「デプロイメントの詳細の出力」に示したような出力が表示されます。

    ノート:

    デプロイメントの更新で問題が発生した場合は、「インストールのトラブルシューティング」を参照してください。