12 キーと証明書の管理
この章の内容は次のとおりです。
キーストア・サービスについて
キーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化、キーおよび証明書を必要とするその他のタスク用のキーおよび証明書を管理できます。一般的なキーストア管理タスクには、次のものがあります。
-
アプリケーション・ストライプのコンテキストでキーストアを直接作成、またはファイル・システムからキーストア・ファイルをインポートして作成。
-
キーストアのリストの表示と、更新のためのその一部の選択。
-
キーストアの更新および削除。
-
キーストア・パスワードの変更。
-
キーストアのエクスポートおよびインポート。
次の各項目で、キーストア・サービスの概要を説明します。
キーストア・サービスの構造
キーストアは、アプリケーション・ストライプおよびそのストライプ内のキーストアによって一意に識別されます。キーおよび証明書はストライプ内のキーストアに作成されます。ストライプ名はセキュリティ・ストアで一意であり、ストライプ内のキーストア名はストライプで一意である必要があります。たとえば、(stripe1,keystoreA)
、 (stripe1,keystoreB),
および(stripe2,keystoreA)
は、3つの異なるキーストアを指します。
アプリケーションは、アプリケーション・ストライプ内に複数のキーストアを作成できます。
キーストアには、キーストア内で一意の別名によって参照される次のエントリを含めることができます。
-
非対称キー: SSLで使用される公開キーおよび秘密キーが含まれます。公開キーは証明書内にラップされます。
-
対称キー: 通常、暗号化に使用されます。
-
信頼できる証明書: SSLピアとの信頼を構築するために使用されます。
キーストアのタイプ
キーストア・サービスでは、次の2つのタイプのキーストアを作成できます。
-
ポリシーによって保護されるキーストア
このキーストアはポリシーによって保護されるため、ランタイム・コードによるアクセスはコードソース・ポリシーによって保護されます。キー・データは、ドメイン暗号化キーを使用して暗号化されます。
-
パスワードによって保護されるキーストア
このキーストアは、キーストア・パスワードまたはキー・パスワード(あるいはその両方)によって保護されます。ランタイム・コードがこれらにアクセスするには、キーストア・パスワードとキー・パスワード(キーストア・パスワードと異なる場合)へのアクセスが必要になります。キー・データは、パスワードベースの暗号化によりキーストア/キー・パスワードを使用して暗号化されます。
パスワードによって保護されるキーストアの使用をお薦めします。ただし、アプリケーションに高レベルのセキュリティが必要な場合は、コードソース・ポリシーによって保護されたキーストアの使用を検討してください。キーはウォレットに対してエクスポート、インポートおよびリストアできます。
複数のサーバーがあるドメインでは、サポートされているストア・タイプはLDAPまたはDBのみです。キーストア・サービスを使用して、パスワードまたはキーを管理しないでください。かわりに、資格証明ストアをアプリケーションに使用します。
トラストストア
トラストストアは、最もよく知られたサードパーティ認証局の信頼できる証明書と、キーストア・サービスで構成されているデモ認証局(CA)からの信頼できる証明書が格納されるキーストアです。アプリケーションでSSLを使用する場合、たとえば、証明書に対してトラストストアを指定でき、証明書を格納するための専用のキーストアは必要ありません。
注意:
デモCAには、ハードコードされた秘密キーが含まれています。本番環境でこのデモCAの証明書を使用も信頼もしないことをお薦めします。デモCA証明書の置換の詳細は、次のトピックを参照してください。
トラストストアは、ドメイン内のすべての製品およびアプリケーションによって共有されます。製品に対する信頼の追加または削除に関する決定は、ドメイン内の他の製品に影響する可能性があります。カスタム・トラストストアの作成は、トラストストアでは製品の信頼管理要件を満たせない場合にのみ検討してください。
トラストストアはすべての製品およびアプリケーションで使用されるように事前に構成されているため、アプリケーションではニーズに応じて複数のキーストアを構成できます。
一方向SSL
一方向SSLの場合、アプリケーションではトラストストアを使用できるため、特別なキーストアを作成する必要はありません。
双方向SSL
双方向SSLの場合、アプリケーションではキーストアを作成して独自のアイデンティティ証明書のみを格納し、他の証明書にはトラストストアを使用します。
キーストア・サービス・コマンドについて
キーストア・サービスでは、キーストアの作成と管理、証明書のエクスポート、キー・ペアの生成などのキーストア操作に、専用のコマンド・セットを使用します。これらのコマンドの使用方法は似ていますが、他のOPSSコマンドとは異なります。
これらすべてのコマンドの起点は、次の操作を可能にするOPSSサービス・コマンド・オブジェクトを取得するgetOpssService
コマンドです。
-
サービスに対するコマンドの実行
-
コマンド・ヘルプの取得
コマンドの構文は次のようになります。
variable = getOpssService(name='service_name')
このコマンドでは:
-
variable
はコマンド・オブジェクトを格納します。 -
service_name
は、コマンド・オブジェクトを取得する対象のサービスを指します。有効な値は、KeyStoreServiceのみです。
例:
svc = getOpssService(name='KeyStoreService')
キーストア・サービス・コマンドのヘルプの表示
キーストア・サービス・コマンドに関するヘルプを取得するには、サービス・コマンド・オブジェクトの取得から始めます。次に、このオブジェクトをヘルプ・コマンドおよび問題のコマンドとともに使用します。
サービス・コマンド・オブジェクトおよびすべてのキーストア・サービス・コマンドのリストを取得するには、次のように入力します。
svc = getOpssService(name='KeyStoreService') svc.help()
特定のコマンドに対するヘルプを表示するには、次のように入力します。
svc.help('command-name')
たとえば次のように入力すると、exportKeyStore
コマンドに対するヘルプが表示されます。
svc.help('exportKeyStore')
キーストア・サービス・コマンド・リファレンス
キーストア・サービス・コマンドの構文情報および参照情報は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSキーストア・サービス・コマンドを参照してください。
Fusion Middleware Controlを使用したキーストアの管理
次のタスクに従って、Oracle Enterprise Manager Fusion Middleware Controlを使用してキーストアを管理します。
タスク1: 「キーストア」ページのオープン
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
タスク2: キーストアの作成
-
キーストアの作成先となるストライプを選択します。必要に応じて、ストライプを作成します。
-
「キーストアの作成」をクリックします。「キーストアの作成」ダイアログが表示されます。
-
このダイアログで、次のデータを入力します。
-
キーストア名: 一意の名前。
-
「保護」タイプ: キーストアの保護メカニズム。「ポリシー」または「パスワード」を選択します。パスワードで保護されたキーストアの場合は、有効なパスワードを指定します。
-
権限の付与: コードURLにパーミッションを付与するにはこのチェック・ボックスを選択します。
-
-
「OK」をクリックします。新しいキーストアが選択したストライプの下に表示されます。
タスク3: キーストアの削除
キーストアを削除すると、そのキーストア内の証明書もすべて削除されることに注意してください。
-
キーストアが存在するストライプを開いて、行を選択します。
-
「削除」をクリックします。「キーストアの削除」ダイアログが表示されます。
-
これがパスワードで保護されたキーストアの場合は、パスワードを入力します。
-
「OK」をクリックします。
タスク4: キーストア・パスワードの変更
このタスクは、パスワードで保護されたキーストアにのみ適用されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
-
「パスワードの変更」をクリックします。「キーストア・パスワードの変更」ダイアログが表示されます。
-
古いパスワードと新しいパスワードを入力します。
-
「OK」をクリックします。
WLSTを使用したキーストアの管理
次のタスクに従って、WebLogic Scripting Tool (WLST)を使用してキーストアを管理します。
タスク1: キーストアの作成
createKeyStore
WLSTコマンドを使用します。たとえば、ストライプ名をteststripe1
として、パーミッションベースのキーストアを作成します。
svc.createKeyStore(appStripe='teststripe1', name='keystore1', password='password',permission=true)
password
は、keystore1
のパスワードです。新しいストライプ名では任意の文字の組合せが可能ですが、フォワード・スラッシュ(/)を使用しないことをお薦めします。キーストア名は、一意である必要があります。
タスク2: キーストアの削除
deleteKeyStore
WLSTコマンドを使用します。たとえば、ストライプをappstripe1
として、keystore1
を削除します。
svc.deleteKeyStore(appStripe='appstripe1', name='keystore1', password='password')
password
は、keystore1
のパスワードです。
タスク3: キーストア・パスワードの変更
changeKeyStorePassword
WLSTコマンドを使用します。たとえば、ストライプ名をsystem
として、keystore2
のパスワードを変更します。
svc.changeKeyStorePassword(appStripe='system', name='keystore2', currentpassword='currentpassword', newpassword='newpassword')
currentpassword
とnewpassword
はそれぞれ、古いパスワードと新しいパスワードです。
タスク4: キーストアのエクスポート
exportKeyStore
WLSTコマンドを使用します。
単一のキーをファイルにエクスポートするには、次のようにします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JKS',filepath='/tmp/file.jks')
複数のキーをファイルにエクスポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
対称キーをエクスポートするには、次のようにします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JCEKS',filepath='/tmp/file.jks')
ウォレットにエクスポートするには、OracleWallet
タイプを使用します。
svc.exportKeyStore(appStripe='mystripe', name='keystore3', password='password',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet',filepath='/tmp')
タスク5: キーストアのインポート
importKeyStore
WLSTコマンドを使用します。
単一のキー(myOrakey
など)をインポートするには、次のようにします。
svc.importKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myOrakey', keypasswords='keypassword1', type='JKS', permission=true, filepath='/tmp/file.jks')
複数のキーをファイルにインポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
キーをウォレットからインポートするには、OracleWallet
タイプを使用します。
svc.importKeyStore(appStripe='mystripe', name='keystore4', password='password',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet', permission=true, filepath='/tmp')
証明書について
キーストア・サービス(KSS)キーストアでは、Javaキーストア(JKS)、Java暗号化拡張機能キーストア(JCEKS)およびOracleウォレットの証明書フォーマットがサポートされています。一般的な証明書管理タスクは、次のとおりです。
-
キー・ペアに対する証明書の作成。
-
証明書に対する証明書署名リクエスト(CSR)の生成とファイルへの保存。
-
送信者を検証し、署名して証明書を返信する認証局へのCSRの送信。
-
テキスト・フィールドへの貼付けまたはファイル・システムからのインポートによる、キーストアへのユーザーおよび信頼できる証明書のインポート。
注意:
キーストア・サービスでは、PEM/BASE64でエンコードされた証明書のインポートのみサポートされます。DERでエンコードされた証明書または信頼できる証明書をキーストアにインポートすることはできません。
-
キーストアからファイルへの証明書または信頼できる証明書のエクスポート。
-
キーストアからの証明書または信頼できる証明書の削除。
公開CA証明書に関する次の点は、12.2.1にアップグレードされたドメインおよび新しい12.2.1 Java Required Files (JRF)ドメインに当てはまります。
-
よく知られた公開CA証明書は、
system
ストライプ内のtrust
キーストアでは使用できなくなりました。 -
かわりに、よく知られた公開CA証明書を使用してJava SE Development Kit (JDK)
cacerts
ファイルからすでにシードされている、system
ストライプ内のpubliccacerts
キーストアを使用します。あるいは、必要に応じて独自の証明書をインポートします。 -
merge.jdkcacerts.with.trust
プロパティでは、kss://system/trust
キーストアへの問合せ時に、kss://system/ubliccacerts
キーストアの公開CA証明書を戻すかどうかを指定します。問合せですべてのpublicacerts
証明書を戻す場合はtrue
に設定します。問合せでpublicacerts
証明書を戻さない場合は設定しないか、false
に設定します。
関連項目:
Fusion Middleware Controlを使用した証明書の管理
次のタスクに従って、Fusion Middleware Controlを使用してキーストアを管理します。
タスク1: キー・ペアの生成
-
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
-
キーストアがパスワードで保護されている場合は、キーストア・パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
-
「キー・ペアの生成」をクリックします。「キー・ペアの生成」ダイアログが表示されます。
-
このダイアログで、次のデータを入力します。
-
別名(必須)
-
共通名(必須)
-
サブジェクトの代替名
-
組織単位
-
組織
-
市区町村
-
都道府県
-
国: ドロップダウン・リストから1つ選択します。
-
キー・タイプ: ドロップダウン・リストからアルゴリズムを選択します。選択肢は、「ECC」(楕円曲線暗号システム)または「RSA」です。
-
キー・サイズ: キー・サイズを選択します。
-
-
「OK」をクリックします。証明書リスト内に新規証明書が表示されます。
-
証明書の別名をクリックして、証明書の詳細を表示します。
キー・ペアは、デモCA署名証明書内にラップされ、トラストストアに格納されます。この証明書をSSLに使用するには、アプリケーションでトラストストアを使用するか、デモCA証明書をカスタム・キーストアにインポートする必要があります。
タスク2: 証明書に対するCSRの生成
-
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
-
キーストアがパスワードで保護されている場合は、キーストア・パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
-
証明書に対応する行を選択して、「CSRの生成」をクリックします。「CSRの生成」ダイアログ・ボックスが表示されます。
-
次のいずれかの操作を行います。
-
CSR全体をコピーしてテキスト・ファイルに貼り付け、「閉じる」をクリックします。
-
「CSRのエクスポート」をクリックすると、CSRがファイルに保存されます。
-
署名証明書を返信する認証局に生成された証明書を送信します。
タスク3: 証明書のインポート
-
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
-
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
-
「インポート」をクリックします。「証明書のインポート」ダイアログが表示されます。
-
ドロップダウンから「証明書」または「信頼できる証明書」を選択します。
-
ドロップダウンから別名を選択します。
-
証明書ソースを指定します。貼付けオプションを使用する場合は、証明書をコピーして直接テキスト・フィールドに貼り付けます。ファイルの選択オプションを使用する場合は、「参照」をクリックしてオペレーティング・システムからファイルを選択します。
-
「OK」をクリックします。インポートされた証明書または信頼できる証明書が、証明書の一覧に表示されます。
タスク4: 証明書のエクスポート
-
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
-
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
-
証明書に対応する行を選択して、「エクスポート」をクリックします。証明書のエクスポート・ダイアログが表示されます。
-
次のいずれかの操作を行います。
-
証明書全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
-
「証明書のエクスポート」をクリックして証明書をファイルに保存します。
-
タスク5: 証明書のパスワードの変更
-
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
-
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
-
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
-
証明書に対応する行を選択して、「パスワードの変更」をクリックします。「キー・パスワードの変更」ダイアログが表示されます。
-
古いパスワードと新しいパスワードを入力し、「OK」をクリックします。
タスク6: 証明書の削除
- Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
- キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
- キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
- 証明書に対応する行を選択して、「削除」をクリックします。「証明書の削除」ダイアログが表示されます。「OK」をクリックします。
WLSTを使用した証明書の管理
次のタスクに従って、WLSTを使用して証明書を管理します。
タスク1: キー・ペアの生成
generateKeyPair
WLSTコマンドを使用します。たとえば、アプリケーション・ストライプがappstripe2
という名前とすると、次のコマンドではECCアルゴリズムを使用して別名がmyalias
のキー・ペアが作成されます。
svc.generateKeyPair(appStripe='appstripe2', name='keystore2', password='password', dn='cn=www.example.com', keysize='1024', alias='myalias', keypassword='keypassword', algorithm='EC')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。
キー・ペアは、デモCA証明書内にラップされ、トラストストアに格納されます。アプリケーションでトラスト・ストアを使用していない場合は、デモ用のCA証明書をカスタム・キーストアにインポートする必要があります。
次の例は、デフォルトのRSAアルゴリズムを使用してkeystore2にキー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='keystore2', password='password', dn='cn=www.oracle.com', keysize='2048', alias='orakey', keypassword='keypassword')
サブジェクトの代替名(SAN)拡張は、オプションのext_san
引数を使用して渡せます。引数の書式は、 "type:value,...,type:value"
です。DNSタイプのみがサポートされます。
次の例は、デフォルトのRSAアルゴリズムを使用してkeystore2にSAN拡張を使用したキー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='keystore2', password='password', dn='cn=www.oracle.com', keysize='2048', alias='orakey', keypassword='keypassword',
ext_san='DNS:server1.oracle.com,DNS:www.oracle.com')
タスク2: キー・ペアに対するCSRの生成
exportKeyStoreCertificateRequest
WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをstripe1
とすると、次のコマンドではtestalias
キー・ペアからCSRが生成されます。
svc.exportKeyStoreCertificateRequest(appStripe='stripe1', name='keystore1', password='password', alias='testalias', keypassword='keypassword', filepath='/tmp/csr-file')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。CSRはオペレーティング・システム・ファイルにエクスポートされます。
タスク3: 証明書のインポート
importKeyStoreCertificate
WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripe1
とすると、次のコマンドでは別名がmykey
の証明書がオペレーティング・システム・ファイルからインポートされます。
svc.importKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。
タスク4: 証明書のエクスポート
exportKeyStoreCertificate
WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドでは別名がmykey
の証明書がオペレーティング・システム・ファイルにエクスポートされます。
svc.exportKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='password', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt/')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。
注意:
filepath
パラメータを使用して指定したディレクトリは、キーストアをエクスポートする前に存在している必要があります。
タスク5: 証明書のパスワードの変更
changeKeyPassword
WLSTコマンドを使用します。たとえば、システム・ストライプをsystem1とすると、次のコマンドでは別名がtestkey
の証明書が削除されます。
svc.changeKeyPassword(appStripe='system1', name='keystore', password='password', alias='testkey', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
ここで、password
はキーストア・パスワードで、keypassword
は証明書の別名のパスワードです。
タスク6: 証明書の削除
deleteKeyStoreEntry
WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripe
とすると、次のコマンドでは別名がorakey
の証明書が削除されます。
svc.deleteKeyStoreEntry(appStripe='appstripe', name='keystore2', password='password', alias='orakey', keypassword='keypassword')
ここで、password
はキーストア・パスワードで、keypassword
は別名のパスワードです。
デモCA署名証明書の置換
アプリケーションを本番環境にデプロイする際は、サードパーティの認証局(CA)署名証明書またはドメインCA署名証明書を使用することをお薦めします。デフォルトでは、ドメインのOPSSキーストア・サービスを使用して作成された証明書は、デモCAを使用して署名されます。これらのデモ証明書は本番環境では使用しないでください。デモ用証明書CAの秘密キーは、WebLogic Serverのすべてのインストールで使用可能であるため、各インストールで同じキーを使用してデモ用CA署名証明書を生成できます。したがって、こうした証明書は信頼できません。
ドメインCAは自己署名証明書で、ドメインではCAと同様に機能します。デモCAとは異なり、ドメインCA証明書で使用される秘密キーは各ドメインで一意なので、セキュリティが向上します。ドメインCA証明書を作成し、「デモCA証明書のドメインCA署名証明書との置換」の説明に従って、ドメイン内のすべてのデモCA証明書を置き換えることができます。
サードパーティのCAは、アイデンティティを検証し、証明書を発行します。証明書を取得するには、証明書リクエストを作成してCAに送信する必要があります。CAは、証明書リクエストを認証し、リクエストに基づいてデジタル証明書を作成します。デモ証明書をサードパーティのCA署名証明書に置き換えるには、「デモCA証明書のサードパーティCA署名証明書との置換」を参照してください。
デモCAトラスト・サービス証明書の置換
OPSSトラスト・サービスの証明書はopss
ストライプの次のキーストアに格納されます。
-
trustservice_ks
: 秘密キーが含まれているキーストア -
trustservice_ts
: 証明書が含まれているトラスト・ストア
デフォルトでは、信頼できる証明書はデモCAを使用して署名され、前述の両方のキーストア・リストに同じコピーがあります。これをドメインCAまたはサードパーティのCA署名証明書に置き換えるには、次のようにします。
セキュリティが強化されたドメインの設定: 例
次の例の手順には、ドメイン全体でサードパーティCA署名または内部CA署名証明書のいずれかをデモCA証明書のかわりに使用するようにドメインを設定する方法を示すために、前述の項で提供されたステップが適用されています。
-
デモCA証明書のドメインCA署名証明書との置換に説明されているように、デモCAをカスタムCAに置き換えます。
-
democa
信頼できる証明書をkss://system/trust
から削除し、サードパーティまたは内部CAから追加します。これは、deleteKeyStoreEntry
およびimportKeyStoreCertificate
コマンドをそれぞれ使用して実行できます。 -
system/demoidentity
およびopss/trustservice_ks
キーストアで、デプロイメント内のすべてのdemoCA
証明書をサードパーティまたは内部CAにより署名された証明書で置き換えます。これを行うには、各証明書別のステップに従います。-
置き換える必要がある証明書の別名を使用して、CSRを生成します。これを行うには、
exportKeyStoreCertificateRequest
コマンドを使用します。サンプルの使用方法は、タスク2、キー・ペアに対するCSRの作成を参照してください。 -
CSRをサードパーティまたは内部CAに送信して証明書を取得します。
-
サードパーティまたは内部CA署名証明書を、置き換えようとしている証明書(デモCA署名証明書を置き換えます)と同じ別名を使用してキーストアにインポートします。
-
-
opss/trustservice_ts
の証明書を次のように置き換えます。-
別名
trustservice
を持つ証明書をopss/trustservice_ks
からファイルにエクスポートします。 -
別名
trustservice
を持つ信頼できる証明書をopss/trustservice_ts
から削除します。 -
ファイルから証明書をキーストア
opss/trustservice_ts
に別名trustservice
を使用してインポートします。
これらのステップの使用方法と必要なコマンドは、デモCAトラスト・サービス証明書の置換のステップ2を参照してください。
-
Fusion Middlewareコンポーネントでのキーストア・サービスの使用方法
Oracle WebLogic Serverでキーストアを構成した後、それらを使用してキーおよび証明書を生成します。キーストア・サービスを使用するようにノード・マネージャを構成することもできます。
関連項目:
『Oracle WebLogic Serverセキュリティの管理』の「SSLの構成」
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのキーストアの構成
『Oracle Fusion Middlewareの管理』のOPSSキーストア・サービスを使用するためのノード・マネージャの構成
ローカル・キーストアとセキュリティ・ストアの同期
すべてのOracle Fusion Middlewareコンポーネントは、中央セキュリティ・ストアにキーと証明書を保持しています。ただし、特定のインフラストラクチャ・コンポーネントでは、セキュリティ・ストアが使用可能になるには起動が必要になるため、一部のコンポーネントではかわりにローカル・ファイル・キーストア・インスタンスを使用します。
ローカル・ファイル・キーストアを中央セキュリティ・ストアと同期するには、syncKeyStores
コマンドを使用します。同期は、重要なデータが抽象セキュリティ・ストアから読み取られ、ローカル・ファイル・キーストアで同期される一方向の処理です。
syncKeyStoresの使用方法
syncKeyStores
コマンドの使用方法は次のとおりです。
syncKeyStores(appStripe='system', keystoreFormat='KSS')
このコマンドは、中央セキュリティ・ストアのsystemストライプにアクセスし、その内容をローカル・システムのDOMAIN_HOME/config/fmwconfig
のkeystores.xml
というファイルにダウンロードします。
詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のsyncKeyStores
を参照してください。
キーストアの同期のタイミング
キーストアを同期するためにsyncKeyStores
コマンドを使用するタイミングを判定するには、次の点を考慮します。
-
更新中のキーストアがWebLogic Serverに属する場合、そのキーストアはsystemストライプの下に配置する必要があります。
-
信頼できる証明書の追加や削除など、ドメイン・トラストストアを変更する場合、
syncKeyStores
を実行して、WebLogic Serverで使用されるローカル・コピーを中央セキュリティ・ストアと同期する必要があります。 -
Oracle Web Services ManagerやJava EEアプリケーションなど、階層型コンポーネントがキーストアを更新する場合、
syncKeyStores
コマンドを実行する必要はありません。このようなコンポーネントまたはアプリケーションが、中央セキュリティ・ストアからキーおよび証明書に直接アクセスするためです。