1. Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
  2. Oracle Advanced Authentication、Oracle Adaptive Risk ManagementおよびOracle Universal Authenticatorのインストール
  3. OAA、OARMおよびOUAのインストール手順
  4. OAA、OARMおよびOUAをインストールするための前提条件の構成
  5. サーバー証明書および信頼証明書の生成

5.1.9 サーバー証明書および信頼証明書の生成

OAAは通信にSSLを使用します。本番環境では、信頼できる認証局にトレース可能な市販の証明書を使用することをお薦めします。OAAサンドボックス環境へのOAAインストールでは、有効期間が6か月の自己署名証明書を生成できます。

自己署名証明書を使用する場合は、この項をスキップできます。

商用証明書を使用する場合は、次の手順に従います:

ノート:

管理者は、証明書に有効期限があることに注意する必要があります。商用証明書の有効期限はそれぞれ異なりますが、自己署名証明書は6か月後に失効します。失効の約1か月前に証明書を更新することをお薦めします。詳細は、「証明書の管理および失効」を参照してください。

5.1.9.1 証明書を生成するためのサード・パーティCAの使用

次のステップは、証明書の生成にサード・パーティの認証局(CA)を使用する方法を示しています:

  1. <INSTALL_HOST>で、<WORKDIR>oaasslディレクトリを作成し、フォルダに移動します。次に例を示します:
    mkdir /workdir/oaassl
cd /workdir/oaassl
  2. サーバー証明書の4096ビット秘密キー(oaa.key) を生成します:
    openssl genrsa -out oaa.key 4096
  3. 証明書署名リクエスト(oaa.csr)を作成します:
    openssl req -new -key oaa.key -out oaa.csr
    求められた場合は、証明書署名リクエスト(CSR)作成の詳細を入力します。たとえば:
    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:California
Locality Name (eg, city) [Default City]:Redwood City
Organization Name (eg, company) [Default Company Ltd]:Example Company
Organizational Unit Name (eg, section) []:Security
Common Name (eg, your name or your server's hostname) []:oaa.example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  4. CSR (oaa.csr)をサード・パーティCAに送信します。
  5. CAから証明書を受信したら、ファイルの名前をoaa.pemに変更し、それを<WORKDIR>/oaa_sslディレクトリにコピーします。

    ノート:

    証明書oaa.PEMはPEM形式である必要があります。PEM形式でない場合は、opensslを使用してPEMに変換します。たとえば、DER形式からPEMに変換するには:
    openssl x509 -inform der -in oaa.der -out oaa.pem
  6. 信頼ルートCA証明書(rootca.pem)と、oaa.pemに署名したチェーン内の他のCA証明書(rootca1.pemrootca2.pemなど)を、<WORKDIR>/oaa_sslディレクトリにコピーします。前述のとおり、CA証明書はPEM形式である必要があるため、必要に応じて変換します。
  7. CAのチェーンに複数の証明書がある場合は、すべてのCA証明書を含むbundle.pemを作成します:
    cat rootca.pem rootca1.pem rootca2.pem >>bundle.pem
  8. 信頼証明書PKCS12ファイル(trust.p12)をCAファイルから作成します。CAに証明書チェーンがない場合は、bundle.pemrootca.pemに置き換えます:
    openssl pkcs12 -export -out trust.p12 -nokeys -in bundle.pem
    求められた場合は、エクスポート・パスワードを入力して確認します。

    ノート:

    エクスポート・パスワードの設定は必須です。
  9. サーバー証明書PKCS12ファイル(cert.p12)を作成します。CAに証明書チェーンがない場合は、次のコマンドでbundle.pemrootca.pemに置き換えます:
    openssl pkcs12 -export -out cert.p12 -inkey oaa.key -in oaa.pem -chain -CAfile bundle.pem
    求められた場合は、エクスポート・パスワードを入力して確認します。

    ノート:

    エクスポート・パスワードの設定は必須です。
  10. cert.p12およびtrust.p12<WORKDIR>にコピーします。次に例を示します:
    cp /workdir/oaassl/*.p12 /workdir/

ノート:

12月24日より前のリリースでは、OAM証明書をtrust.p12にインポートする必要もありました。12月24日以降のリリースでは、インストールで正しい証明書がOAMから自動的にダウンロードされてインポートされるため、このアクションは不要になりました。

5.1.9.2 構成のチェックポイント

  1. 先に進む前に、次の情報があることを確認してください:

    ノート:

    インストールによって作成された自己署名証明書を使用する場合は、この項を無視できます。
    変数 構成する値 サンプル値 説明
    <USER_CERT_P12> /workdir/cert.p12 <INSTALL_HOST><WORKDIR>/cert.p12の場所。これは、サード・パーティの証明書を生成した場合にのみ必要です。
    <USER_CERT_P12_PWD>   password cert.p12のパスワード。これは、サード・パーティの証明書を生成した場合にのみ必要です。
    <TRUST_CERT_P12>   /workdir/trust.p12 <INSTALL_HOST><WORKDIR>/trust.p12の場所。これは、サード・パーティの証明書を生成した場合にのみ必要です。
    <TRUST_CERT_P12_PWD>   password trust.p12のパスワード。これは、サード・パーティの証明書を生成した場合にのみ必要です。