1. Oracle Fusion Middlewareの管理
  2. セキュアな通信
  3. キーストア、ウォレットおよび証明書の管理

7 キーストア、ウォレットおよび証明書の管理

Oracle Fusion Middlewareでは、キーストア、キーおよび証明書を管理するためのセキュリティ機能およびツールをサポートしています。これらのアーティファクトは、Oracle Fusion MiddlewareコンポーネントのSSLおよび関連タスクを構成するために使用されます。
  • Oracle Fusion Middlewareでのキーおよび証明書の保存
    キーと証明書はデータのデジタル署名および検証に使用され、ネットワーク接続において認証、整合性およびプライバシを実現できます。
  • キーストアおよびウォレット用コマンド行インタフェース
    Oracle Fusion Middlewareでは、キーストアおよびOracleウォレットを作成および管理したり、そこに格納されたオブジェクトを操作するWLSTスクリプトのセットが用意されています。
  • キーストア管理
    キーストア・サービスでは、Secure Sockets Layer (SSL)、メッセージ・セキュリティ、暗号化、特別な証明書を必要とするその他のタスク用のキーおよび証明書を管理できます。
  • ウォレットの管理
    Oracleウォレットには、様々なアプリケーション用の証明書を作成、保持および削除できる全種類の管理機能が用意されています。

親トピック: セキュアな通信

Oracle Fusion Middlewareでのキーおよび証明書の保存

キーと証明書はデータのデジタル署名および検証に使用され、ネットワーク接続において認証、整合性およびプライバシを実現できます。

秘密キー、デジタル証明書および信頼できるCA証明書は、キーストアに格納されます。この項では、Oracle Fusion Middlewareで使用可能なキーストアについて説明します。内容は次のとおりです。

  • キーストアのタイプ
    Oracle Fusion Middlewareでは、キーと証明書用に様々なタイプのキーストアが用意されています。
  • キーストア管理ツール
    Oracle Fusion Middlewareでは、WLST、orapkiおよびFusion Middleware Controlがキーストア操作のオプションとして用意されています。

親トピック: キーストア、ウォレットおよび証明書の管理

キーストアのタイプ

Oracle Fusion Middlewareでは、キーと証明書用に様々なタイプのキーストアが用意されています。

各種キーストアを表7-1に示します。

表7-1 Oracle Fusion Middlewareのキーストアのタイプ

キーストア・タイプ 説明 保護メカニズム

Oracleウォレット

Oracleウォレット

パスワードまたは自動ログイン

JKS

Javaキーストア   

パスワード

KSS

OPSSキーストア・サービス

パスワードまたはポリシー
  • Oracleウォレットについて
    Oracleウォレットは、証明書、信頼できる証明書、証明書リクエスト、秘密キーなどの資格証明を格納するコンテナです。Oracle Internet DirectoryなどのLDAPディレクトリやファイル・システムにOracleウォレットを格納できます。Oracleウォレットは、パスワードで保護することも自動ログインにもできます。
  • JKSキーストアについて
    JKSキーストアは、JavaキーストアのデフォルトのJDK実装です。Java EEアプリケーションはJKSベースのキーストアおよびトラストストアを使用できます。
  • キーストア・サービス(KSS)キーストアについて
    OPSSキーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化および関連タスク用のキーおよび証明書を管理できます。キーストア・サービスは、キーストアとトラストストア、期限切れ証明書およびその他の重要な資料に対するポリシー・ベースの保護および集中管理を含む、いくつかの利点を提供します。

親トピック: Oracle Fusion Middlewareでのキーおよび証明書の保存

Oracleウォレットについて

Oracleウォレットは、証明書、信頼できる証明書、証明書リクエスト、秘密キーなどの資格証明を格納するコンテナです。Oracle Internet DirectoryなどのLDAPディレクトリやファイル・システムにOracleウォレットを格納できます。Oracleウォレットは、パスワードで保護することも自動ログインにもできます。

ウォレットを作成すると、次のことができます。

  • ウォレットに自己署名付き証明書を自動移入できます。このようなウォレットはテスト・ウォレットと呼ばれ、通常、開発またはテスト・フェーズで使用されます。

  • 認証局(CA)から署名された証明書を返送してもらえるように、証明書リクエストを生成することができます。CAが証明書を返送すると、その証明書はウォレットにインポートされます。このようなウォレットは、サード・パーティのウォレットと呼ばれます。

テスト・ウォレットまたはサード・パーティのウォレットはパスワードで保護することも、パスワードが不要なように構成することもできます。後者は、自動ログイン・ウォレットと呼ばれています。

OracleウォレットはOracle HTTP Serverで使用されます。Oracle Fusion Middleware 12c (12.2.1.2)の時点では、キーストア・サービスで使用できる中央記憶域および統合管理を利用して、該当するサービスのエクスポート、インポートおよび同期化機能により、ウォレットとその内容を管理できます。

関連項目:

親トピック: キーストアのタイプ

JKSキーストアについて

JKSキーストアは、JavaキーストアのデフォルトのJDK実装です。Java EEアプリケーションはJKSベースのキーストアおよびトラストストアを使用できます。

親トピック: キーストアのタイプ

キーストア・サービス(KSS)キーストアについて

OPSSキーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化および関連タスク用のキーおよび証明書を管理できます。キーストア・サービスは、キーストアとトラストストア、期限切れ証明書およびその他の重要な資料に対するポリシー・ベースの保護および集中管理を含む、いくつかの利点を提供します。

Oracle Fusion Middleware 12c (12.2.1.2)、Oracle WebLogic Serverの場合

  • 最初からキーストア・サービスを使用します。

  • アップグレードした環境ではデフォルトでJKSを使用します。

親トピック: キーストアのタイプ

キーストア管理ツール

Oracle Fusion Middlewareでは、WLST、orapkiおよびFusion Middleware Controlがキーストア操作のオプションとして用意されています。

DERでエンコードされた証明書のインポートについて

DERでエンコードされた証明書または信頼できる証明書をOracleウォレットにインポートするときには、Fusion Middleware ControlWLSTコマンド行ツールも使用できません。かわりに、orapkiコマンド行ツールを使用してください。

WLSTでもFusion Middleware Controlでも作成されていないキーストアの使用

ノート:

これは、同じ場所に配置される環境にのみ当てはまります。

Oracleウォレットがorapkiなどのツールを使用して作成された場合、使用前にインポートする必要があります。特にOracle HTTP Serverでは、ウォレットがorapkiを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、先にFusion Middleware ControlまたはWLST importKeyStoreコマンドを使用してインポートする必要があります。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』キーストアのインポートに関する項を参照してください。

ファイル・システムへのキーストアのコピーはサポートされない

ノート:

これは、同じ場所に配置される環境にのみ当てはまります。

ファイル・システム上の任意のディレクトリにキーストアを直接作成、名前変更、またはコピーすることはサポートされていません。使用する既存のキーストアまたはウォレットを、Fusion Middleware ControlまたはWLSTユーティリティを使用してインポートする必要があります。

スタンドアロン環境でのウォレットの管理

スタンドアロンOHSインストールなどのスタンドアロン環境では、orapkiコマンドをウォレット管理に使用します。詳細は、『Oracle HTTP Serverの管理』スタンドアロン・モードでのSSLの構成に関する項を参照してください。

自己署名付き証明書に関するJDK7の要件

JDK7では、SSL構成で使用する自己署名付きCA証明書にkeyUsage拡張機能が必要です。詳細は、「JDK7の証明書ではkeyUsage拡張機能が必要」を参照してください。

追加情報

これらのツールの詳細は、次の各項を参照してください。

親トピック: Oracle Fusion Middlewareでのキーおよび証明書の保存

キーストアおよびウォレット用コマンド行インタフェース

Oracle Fusion Middlewareでは、キーストアおよびOracleウォレットを作成および管理したり、そこに格納されたオブジェクトを操作するWLSTスクリプトのセットが用意されています。

コマンド行インタフェースの起動方法の詳細は、「コマンド行インタフェースの起動方法」を参照してください。

親トピック: キーストア、ウォレットおよび証明書の管理

コマンド行インタフェースの起動方法

SSL用のWLSTコマンドを実行する場合は、Oracle共通ホームからWLSTスクリプトを起動する必要があります。

これにより、WLSTシェルが起動します。ユーザー名、パスワードおよび接続URLを指定して、実行中のOracle WebLogic Serverインスタンスに接続します。接続すると、次の項で説明するようにSSL関連のWLSTコマンドを実行できるようになります。

ノート:

SSL関連のすべてのWLSTコマンドでは、前述の場所でのみスクリプトを起動する必要があります。

次に基本的な実行シーケンスを示します。

./wlst.sh
connect('weblogic','<password>') --- To connect to WebLogic Admin Server
editCustom()
startEdit()
wlstCommand('param1', 'param2', 'param3', 'param4')
save()
activate()

ここで、wlstCommandは、実際のWLSTコマンドです。たとえば、OHSウォレットを作成するには: 

connect('weblogic','<password>') --- For connecting to WLS Admin Server
editCustom()
startEdit()
createWallet('ohs1', 'ohs1', 'ohs', 'testwallet')
save()
activate()

このコマンドでは、最初の2つのパラメータはともにコンポーネント・インスタンス名を参照し(それぞれのパラメータがOracleインスタンスおよびコンポーネント・インスタンスを参照する以前のリリースとは異なり、このリリースでは両方のパラメータがコンポーネント・インスタンスを参照します)、3番目のパラメータはコンポーネントで、4番目のパラメータはウォレット名です。

次にcreateWalletの出力例を示します。 

wls:/base_domain/serverConfig> editCustom()
Location changed to edit custom tree. This is a writable tree with No root.
For more help, use help('editCustom')
 
wls:/base_domain/editCustom> startEdit()
Starting an edit session ...
Started edit session, please be sure to save and activate your
changes once you are done.
wls:/base_domain/editCustom> createWallet('ohs1','ohs1','ohs','testwallet','password')
Wallet created
wls:/base_domain/editCustom> save()
Saving all your changes ...
Saved all your changes successfully.
wls:/base_domain/editCustom> activate()
Activating all your changes, this may take a while ...
The edit lock associated with this edit session is released
once the activation is completed.
Activation completed

親トピック: キーストアおよびウォレット用コマンド行インタフェース

キーストア管理

キーストア・サービスでは、Secure Sockets Layer (SSL)、メッセージ・セキュリティ、暗号化、特別な証明書を必要とするその他のタスク用のキーおよび証明書を管理できます。

12c (12.2.1)以降、Fusion Middlewareでは、同じ場所に配置されるシナリオでのウォレットおよび証明書の管理にはキーストア・サービス(KSS)が推奨されます。KSSのキーストア管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』キーと証明書の管理に関する項を参照してください。

親トピック: キーストア、ウォレットおよび証明書の管理

ウォレットの管理

Oracleウォレットには、様々なアプリケーション用の証明書を作成、保持および削除できる全種類の管理機能が用意されています。

ノート:

12c (12.2.1)以降、「ウォレット」オプションはFusion Middleware Controlの「セキュリティ」メニューで使用できなくなりました。Fusion Middlewareでは、同じ場所に配置されるシナリオでのウォレットの管理にはキーストア・サービス(KSS)が推奨されます。ただし、スタンドアロン環境では、orapkiユーティリティを使用して、ウォレットのみを管理することはできます。スタンドアロン・シナリオではKSSのサポートはありません。

スタンドアロン・コンテキスト(たとえば、スタンドアロンOracle HTTP Server)でのウォレット構成については、「orapki」を参照してください。

この説明では、コンポーネントがWebLogicドメインにインストールされていることを前提としています。

親トピック: キーストア、ウォレットおよび証明書の管理

ウォレットおよび証明書について

次の各トピックでは、各種ウォレットとその推奨事項、規則および要件について説明します。

この項では、次の項目について説明します。

親トピック: ウォレットの管理

パスワードで保護されたウォレットと自動ログイン・ウォレットについて

作成できるウォレットは次の2種類です。

  • 自動ログイン・ウォレット

    これは、PKCS#12ウォレットの不明瞭化された形式です。実行時にパスワードを入力せずに、サービスおよびアプリケーションにPKIベースでアクセスできます。ウォレットへの追加、変更、削除の際にも、パスワードは不要です。ファイル・システム権限では、ウォレットの自動ログインに必要なセキュリティが提供されます。

    ノート:

    以前のリリースでは、パスワード付きのウォレットを作成してから自動ログインを有効にして不明瞭化されたウォレットを作成できました。12c (12.2.1.1)では、自動ログイン・ウォレットはパスワードなしで作成されます。そのようなウォレットを使用する場合、パスワードを指定する必要はありません。

    パスワードのない自動ログインのウォレットを使用している場合、ldapbindコマンドで空値のパスワード("")を指定します。

    古いタイプのウォレット(リリース10gのウォレットなど)は、引き続き以前と同様に機能します。

  • パスワードで保護されたウォレット

    名前のとおり、このタイプのウォレットはパスワードで保護されます。ウォレットのコンテンツに対する追加、変更または削除には、パスワードが必要です。

    パスワードで保護されたウォレットが作成されるたびに、自動ログイン・ウォレットが自動的に生成されます。ただし、この自動ログイン・ウォレットは、前の項目で説明した、ユーザーが作成した自動ログイン・ウォレットとは異なります。ユーザーが作成したウォレットは構成時にパスワードなしで更新することができますが、自動的に生成される自動ログイン・ウォレットはユーザーが直接更新できない読取り専用のウォレットです。ウォレットは、自動ログイン・ウォレットを再度生成するときに、パスワードで保護されたファイルを使用して(パスワードを入力して)変更する必要があります。

    このシステム生成の自動ログイン・ウォレットの目的は、実行時にパスワードなしでサービスおよびアプリケーションにPKIベースのアクセスを提供することですが、構成時にはパスワードが必要です。

自己署名付きウォレットとサード・パーティのウォレットについて

自己署名付きウォレットには、発行者がサブジェクトと同じである証明書が格納されます。これらの証明書は、一般的には信頼性がさほど優先されないイントラネット環境内で作成されます。自己署名付きウォレットの発行者はそれぞれ一意であるため、複数のコンポーネントおよびウォレットを含む環境では信頼性管理タスクはn倍に増加します。

Fusion Middleware Controlを使用して作成した場合、自己署名付きウォレットは5年間有効です。

サード・パーティのウォレットには、既知の認証局(CA)によって発行された証明書が含まれています。機能およびセキュリティは自己署名付きウォレットと同じですが、サード・パーティの証明書は、発行者がよく知られており、多くのクライアントから信頼されているので、信頼性が向上します。

自己署名付きウォレットとサード・パーティのウォレットの違い

機能およびセキュリティの観点からは、自己署名証明書はサード・パーティで発行された証明書と同等です。唯一の異なる点は、自己署名証明書は信頼性がないことです。

インスタンス間でのウォレットの共有

ウォレットはそれぞれ一意のアイデンティティを示すため、コンポーネント・インスタンス間ではウォレットを共有しないことをお薦めします。

ただし、コンポーネント・インスタンスのクラスタを含む環境は例外です。この場合はウォレットを共有してかまいません。

ウォレットを簡単に共有するための管理ツールまたはインタフェースは用意されていません。ただし、あるインスタンスからウォレットをエクスポートして別のインスタンスにインポートすることはできます。ウォレットのエクスポートおよびインポートの詳細は、「一般的なウォレットの操作」を参照してください。

ウォレットの命名規則

Oracleウォレットの場合は、次の命名規則に従います。

  • 256文字を超える名前は使用しないでください。

  • ウォレット名には、次のいずれの文字も使用しないでください。

    | ; , ! @ # $ ( ) < > / \ " ' ` ~ { } [ ] = + & ^ space tab

    ノート:

    オペレーティング・システムでこれらの文字をサポートしていても、このルールは守ってください。

  • ウォレット名には、ASCII以外の文字は使用しないでください。

  • また、ディレクトリ名およびファイル名に関するオペレーティング・システム固有のルールにも従ってください。

LDAPディレクトリでのデータの処理方法により、ウォレット名では大文字と小文字が区別されません。

そのため、ウォレット名は大文字/小文字を区別せずに使用することをお薦めします(可能であれば、すべて小文字を使用します)。たとえば、UPPERという名前のウォレットを作成した場合、upperという名前のウォレットを別に作成しないでください。作成すると、ウォレットの管理作業時に混乱を引き起こす可能性があります。

JDK7でのウォレットの要件

JDK7では、SSL構成で使用する自己署名付きCA証明書にkeyUsage拡張機能が必要です。

詳細は、「JDK7の証明書ではkeyUsage拡張機能が必要」を参照してください。

ウォレットのライフサイクルの管理

このトピックでは、Oracleウォレットの一般的なライフサイクル・イベントについて説明します。

  • ウォレットが作成されます。ウォレットは直接作成するか、ファイル・システムからウォレット・ファイルをインポートすることによって作成できます。

  • 使用可能なウォレットのリストが表示され、特定のウォレットが選択されて更新されます。

  • ウォレットが更新または削除されます。パスワードで保護されたウォレットの更新操作では、ウォレット・パスワードを入力する必要があります。

  • パスワードで保護されたウォレットでは、ウォレット・パスワードは変更できます。

  • ウォレットは削除できます。

  • ウォレットはエクスポートおよびインポートできます。

    ノート:

    Oracle Fusion Middleware 12c (12.2.1.2)の時点では、キーストア・サービスで使用できる中央記憶域および統合コンソールを利用して、該当するサービスのエクスポート、インポートおよび同期化機能により、ウォレットとその内容を管理できます。importKeyStoreexportKeyStoreおよびsyncKeyStoreコマンドの詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』インフラストラクチャ・セキュリティ・カスタムWLSTコマンドに関する項を参照してください。

親トピック: ウォレットの管理

一般的なウォレットの操作

様々なウォレット管理機能を実行するために必要なステップについて、次の手順に従います。

親トピック: ウォレットの管理

orapkiを使用したウォレットの作成

パスワードで保護されたウォレット(ewallet.p12およびcwallet.sso)を作成するには、次のようにします。

orapki wallet create -wallet wallet_location -auto_login

自動ログイン・ウォレット(cwallet.ssoのみ)を作成するには、次のようにします。 

orapki wallet create -wallet wallet_location -auto_login_only

orapkiユーティリティを使用したウォレットの作成の詳細は、「orapkiを使用したOracleウォレットの作成と表示」を参照してください。

orapkiを使用した自己署名付き証明書のウォレットへの追加

orapkiを使用して自己署名付き証明書を含むウォレットを作成するには、次のようにします。

orapki wallet add –wallet wallet_location –dn user_dn -keysize 512|1024|2048|4096|8192|16384 -self_signed [-pwd][-auto_login_only]

ノート:

ウォレットの別名値が指定されていない場合は、デフォルトの別名に設定されます。たとえば、orakey、orakey1、orakey2です。

ECCキーを使用して自己署名付き証明書を含むウォレットを作成するには、次のようにします。

orapki wallet add -wallet wallet_location -dn user_dn -sign_alg signing_alg -asym_alg ECC -eccurve curve_type

ECC証明書リクエストのOracleウォレットへの追加の詳細は、「ECC証明書リクエストのOracleウォレットへの追加」を参照してください。

証明書のライフサイクルの管理

このトピックでは、ウォレットの作成から始まる、証明書の一般的なライフサイクル・イベントについて説明します。

  1. 空のウォレット(証明書リクエストが格納されていないウォレット)を作成します。

  2. 証明書リクエストをウォレットに追加します。

  3. 証明書リクエストをエクスポートします。

  4. 証明書リクエストを使用して、対応する証明書を取得します。

  5. 信頼できる証明書をインポートします。

  6. 証明書をインポートします。

これらのステップは、サード・パーティの信頼できる証明書を含むウォレットの生成に必要です。このタスクの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』デモンストレーションCA署名証明書の置き換えに関する項を参照してください。

親トピック: ウォレットの管理

一般的な証明書の操作

様々な証明書管理機能を実行するために必要なステップについて、次の手順に従います。

親トピック: ウォレットの管理

orapkiを使用した証明書リクエストの追加

Oracleウォレットに証明書署名リクエストを追加するには、次のようにします。

orapki wallet add -wallet wallet_location -dn user_dn -keysize certificate_key_size -addext_ski -addext_ku extension_key_usage -addext_basic_cons CA -pathLen number -addext_san DNS [-pwd] [-auto_login_only]

ノート:

user_dnが参照されているすべてのコマンドで、UNIXの場合は一重引用符を、Windowsの場合は二重引用符を使用します。

orapkiユーティリティを使用した証明書リクエストのOracleウォレットへの追加の詳細は、「orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加」を参照してください。

orapkiを使用した証明書のOracleウォレットからのエクスポート

証明書をOracleウォレットからエクスポートするには、次のようにします。

orapki wallet export -wallet wallet_location -dn
certificate_dn -cert certificate_filename -issuer_dn dn_of_issuer –serial_num serial_number_of_certificate

orapkiユーティリティを使用した証明書のOracleウォレットからのエクスポートの詳細は、「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。

orapkiを使用した証明書リクエストのエクスポート

証明書リクエストをOracleウォレットからエクスポートするには:

orapki wallet export -wallet wallet_location -dn certificate_request_dn -request certificate_request_filename [-pwd]

orapkiユーティリティを使用した証明書リクエストのOracleウォレットからのエクスポートの詳細は、「orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート」を参照してください。

ノート:

信頼できる証明書と、ユーザー証明書について適切な信頼できるルート認証局証明書を識別する方法の詳細は、My Oracle Supportのサポート・ドキュメント1368940.1を参照してください。My Oracle Supportにはhttps://support.oracle.com/からアクセスできます。

orapkiを使用した信頼できる証明書のインポート

信頼できる証明書をウォレットにインポートするには、次のようにします。

orapki wallet add -wallet wallet_location -trusted_cert -cert certificate_location [-pwd] [-auto_login_only]

orapkiユーティリティを使用した信頼できる証明書のOracleウォレットへのインポートの詳細は、「orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加」を参照してください。

orapkiを使用したユーザー証明書のインポート

ユーザー証明書をOracleウォレットに追加するには:

orapki wallet add -wallet wallet_location -user_cert -cert certificate_location [-pwd] [auto_login_only]

orapkiユーティリティを使用した信頼できる証明書のOracleウォレットへのインポートの詳細は、「orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加」を参照してください。

orapkiを使用した証明書リクエストからの署名付き証明書の作成

テスト用の署名付き証明書を作成するには:

orapki cert create -wallet wallet_location –request certificate_request_location -cert certificate_location -validity number_of_days [-summary]

orapkiユーティリティを使用した署名付き証明書の作成の詳細は、「テスト用の署名付き証明書の作成」を参照してください。

ウォレットおよび証明書の保守

次の各トピックでは、ウォレットおよび証明書の保守について詳しく説明します。

親トピック: ウォレットの管理

ウォレットの場所

この項ではウォレットの場所およびメンテナンスの詳細について説明します。

Oracle HTTP Serverウォレットのルート・ディレクトリ

Oracle HTTP Serverウォレットのルート・ディレクトリは、次のとおりです。

$DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance_name/keystores

このルート・ディレクトリには、ウォレットの名前がついたサブディレクトリが入ります。それぞれのサブディレクトリには実際のウォレット・ファイルが格納されます。

たとえば、ohs_instance1ohs1ohs2という2つのウォレットがあるとします。ohs1はパスワードで保護されたウォレット、ohs2は自動ログインのみのウォレットです。サンプルの構造は、次のようになります。 

$DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance1
/keystores/ohs1/cwallet.sso

$DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance1
/keystores/ohs1/ewallet.p12

$DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance1
/keystores/ohs2/cwallet.sso
ホスト名変更のウォレットへの影響

一般的には、ウォレットのDNはウォレットが使用されるサーバーのホスト名に基づいています。

たとえば、ウォレットがOracle HTTP Serverのmy.example.comで作成されている場合、このOracle HTTP Serverウォレットの証明書のDNは「CN=my.example.com,O=organization name」のようになります。

ほとんどのクライアントはSSLハンドシェイク時にホスト名を検証するため、この同期は必須です。

ホスト名の検証を実行するクライアントには、WebブラウザやOracle HTTPClientなどがあります。サーバーのホスト名が証明書のDNと一致しない場合、次のように処理されます。

  • 明確な警告が表示されます(ブラウザ・クライアントの場合)。

  • SSLハンドシェイクが失敗する場合があります(その他のクライアントの場合)。

クライアントからリクエストを受信しているサーバー上にウォレットがある場合、このサーバーのホスト名が変更されるたびに、ウォレット内の証明書も更新する必要があります。

これは、新しいDN(新しいホスト名に基づく)で新しい証明書をリクエストすることで実行できます。

本番ウォレットに対する新しい証明書のリクエスト

本番ウォレットにインポートするための新しい証明書をリクエストできます。

ステップは次のとおりです。

  1. 新しいDN(新しいホスト名に基づく)で新しいリクエストを生成します。
  2. このリクエストを認証局(CA)に送信します。
  3. CAから新しい証明書が返送されます。
  4. ウォレットから古い証明書および証明書リクエストを削除します。
  5. 新しい証明書をインポートします。

これらの操作の詳細は、「一般的なウォレットの操作」を参照してください。

自己署名付きウォレットに対する新しい証明書のリクエスト

自己署名ウォレットに新しい証明書を追加するには、証明書の新しいウォレットを作成する必要があります。

ステップは次のとおりです。

  1. 既存のウォレットを削除します。
  2. 新しいDN(新しいホスト名に基づく)を使用して自己署名証明書を含む新しいウォレットを作成します。

これらの操作の詳細は、「一般的なウォレットの操作」を参照してください。

本番ウォレットの場合も自己署名付きウォレットの場合も、新しい証明書がウォレットで使用可能になったら、その証明書を信頼する必要があるすべてのコンポーネントのウォレットに確実にインポートする必要があります。たとえば、Oracle WebLogic ServerでSSLが有効な場合、ホスト名の変更によってOracle WebLogic Serverの証明書が変更されたら、新しい証明書をOracle HTTP Serverウォレットにインポートして、新しいピアを信頼できるようにする必要があります。

自己署名付きウォレットのサード・パーティのウォレットへの変更

自己署名付きウォレットをサード・パーティのウォレットに変換できます。サード・パーティのウォレットには、信頼できる認証局(CA)が署名した証明書が含まれます。

CN=my.example.com,O=example」というDNの証明書が格納された、MYWalletという自己署名付きウォレットがあるとすると、次のステップを実行して、これをサード・パーティのウォレットに変換します。

  1. ウォレットからユーザー証明書「CN=my.example.com,O=example」を削除します。
  2. ウォレットから信頼できる証明書「CN=my.example.com,O=example」を削除します(これは、ユーザー証明書と同じDNですが、別のエンティティです)。
  3. ウォレットから証明書リクエスト「CN=my.example.com,O=example」をエクスポートして、ファイルに保存します。
  4. この証明書リクエスト・ファイルをVeriSignなどのサード・パーティの認証局(CA)に送信します。
  5. CAは、次のいずれかを返送します。

    • ユーザー証明書ファイルと独自の証明書ファイル

    • ユーザー証明書と独自の証明書で構成された証明連鎖を含む単一のファイル

  6. これらのファイルをウォレットにインポートします。

これらの操作の詳細は、「一般的なウォレットの操作」を参照してください。

ウォレット内の期限が切れそうな証明書の置換え

ウォレット内の期限が切れそうな証明書を実際に期限が切れる前に置き換えて、アプリケーションの停止時間を回避または短縮します。

期限が切れそうな証明書を置き換えるステップは次のとおりです。

  1. ウォレットから証明書リクエストをエクスポートします(これは、現在期限が切れそうな証明書の発行時と同じリクエストです)。
  2. 証明書発行のために、この証明書リクエストをサード・パーティの認証局(CA)に送信します。新しい証明書の発効日は、現在の証明書の期限よりも前になっている必要があります。停止時間を短縮するために、このように期間が重なるようにしてください。

    ノート:

    サード・パーティのCAがすでにリポジトリの証明書リクエストを保守している場合、ステップ1と2は不要です。その場合は、単純にその証明書リクエストの新しい証明書の発行をCAにリクエストします。

  3. ウォレットから既存の証明書(期限が切れそうな証明書)を削除します。
  4. 新しく発行された証明書をウォレットにインポートします。

    停止時間を短縮するために、新しい証明書が有効になり古い証明書が失効していない重複期間に、前の証明書を削除して新しい証明書をインポートします。

  5. 新しい証明書が元の証明書の発行元以外のCAで発行された場合は、新しく発行された証明書をインポートする前に、新しいCAの信頼できる証明書をインポートする必要があります。

これらの操作の詳細は、「一般的なウォレットの操作」を参照してください。