| Oracle Application Serverリリース・ノート 10gリリース2(10.1.2)for Linux on POWER E05281-02 |
|
 戻る |
 次へ |
この章では、Oracle Application Server Certificate Authority(OracleAS Certificate Authority、OCA)に関する問題について説明します。この章の内容は次のとおりです。
この項では、OracleAS Certificate Authorityの一般的な使用法の問題とその対処方法について説明します。この項の内容は次のとおりです。
証明書リクエストの一般名に円記号(\)が含まれていると、OracleAS Certificate AuthorityはDNの処理に失敗します。次に不適切なリクエストの例を示します。
CN=a \& b,O=aime,C=US
&記号をエスケープ文字として使用するかわりに、OracleAS Certificate Authorityで発行される証明書のCN値には、2つの円記号(\\)が使用されます。
この問題を回避するには、Walletを生成するための一般名を入力する際に、円記号を前に付ける必要がある特殊記号は使用しないでください。前の例の場合は、リクエストの一般名を次のように修正します。
CN= a and b, O=aime, C=US
Walletをインポートするとき、OracleAS Certificate Authorityは、Wallet内のlocalIDの値が秘密鍵および証明書と一致するものと想定します。しかし、サード・パーティのWalletには、localIDがこの目的に使用されていないものがあります。そのため、このようなサード・パーティのWalletは、OracleAS Certificate AuthorityでSubCAとしてインポートされません。
一般名の値に=文字が含まれていると、OracleAS Certificate Authorityは誤ってこの文字を有効な文字として受け入れます。次に不適切なリクエストの例を示します。
CN=abc=, O=aime,C=US
この例の場合、abc=は、特殊文字=が含まれているため無効なエントリです。
この問題を回避するには、このようにRDN値に=文字を使用しないようにします。
この項では、OracleAS Certificate Authorityの構成に関する問題とその対処方法について説明します。この項の内容は次のとおりです。
OracleAS Certificate Authorityを停止して、Web管理者の証明書またはCAの証明書を取り消すと、誤動作、すなわち予期しない動作をする場合があり、正常に再起動しません。次にその例を示します。
OracleAS Certificate Authorityサービスを停止して、Web管理者およびCAの証明書を取り消します。新しいCAを作成し、新しいCAのWalletとCASSLのWalletを生成します。OracleAS Certificate Authorityサービスを再起動すると、新しく登録されたWeb管理者には、次のようなエラー・メッセージが表示されます。
Error Certificate of the connecting SSL user does not exist in OCA repository
このエラーは、管理作業を実行しようとすると表示されます。
ブラウザ・インタフェースを開いた状態でOracleAS Certificate Authorityサービスを停止して、Web管理者およびCAの証明書を取り消します。しかし、その後も、開いているブラウザ・セッションで証明書失効リスト(CRL)を更新することができます。
どちらの場合も、問題は、OracleAS Certificate Authorityサービスの処理の誤りおよび停止後のサービスのサポート方法の誤りによるものです。Web管理者の証明書またはCAの証明書を取り消した後は、OracleAS Certificate Authorityだけでなく、OHSおよび証明局のOC4JコンポーネントもOPMNサービスを使用して再起動する必要があります。
$ORACLE_HOME/opmn/bin/opmnctl stopall $ORACLE_HOME/opmn/bin/opmnctl startall
『Oracle Application Server Certificate Authority管理者ガイド』の表6-9に記載されているように、証明書の使用方法を指定するポリシー述語のusage属性には、1〜9の値を割り当てることができます。しかし、現行のOracleAS Certificate Authorityでは、述語の作成時にusageに使用できる値は1、2、4、8、9のみです。usageの値3、5、6、7は、有効値であっても受け入れられません。
