10g(10.1.4.0.1)
B31506-01
 目次 |
 索引 |
| Oracle Application Server Certificate Authority 管理者ガイド 10g(10.1.4.0.1) B31506-01 |
|
Oracle Application Server Certificate AuthorityのWebベースの管理インタフェースは、次に示す3つの大きな事項を対象としています。各事項は、ホームページのタブからアクセスできます。
この章では、前述の1つ目の事項(証明書の管理)について説明します。他の2つの事項は、第5章「Oracle Application Server Certificate Authorityの構成」を参照してください。
管理操作には、付録A「コマンドライン管理」で説明するコマンドライン・インタフェースが必要な場合があります。これらの操作のうち2つは、OracleAS Certificate Authorityの起動および停止です。詳細は、後の項を参照してください。管理者の証明書のリクエストまたは置換とともに説明します。
エンド・ユーザーがOracleAS Certificate Authorityと対話する際には、Webベースの独立したインタフェースを使用できます。このインタフェースにより、個人的な証明書関連の操作を実行可能なフォームが提供されます。詳細は、第8章「Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェース」を参照してください。
この章の内容は、次のとおりです。
セキュリティ上の理由から、OracleAS Certificate Authorityの起動および停止の操作は、コマンドライン・ツールocactlを使用しないと実行できません。このツールには管理者のパスワードが必要です。これらの操作の使用例は、「管理者の証明書の置換」を参照してください。このツールの詳細は、付録A「コマンドライン管理」を参照してください。
OracleAS Certificate Authorityを起動するには、次の5つのコンポーネントが動作中または使用可能である必要があります。
OracleAS Certificate Authorityが、他のインフラストラクチャ・コンポーネントとは異なる$ORACLE_HOMEにインストールされている場合は、リポジトリの後に、OHSおよびOracleAS Certificate Authority用のOC4Jを別々に起動する必要があります。このコマンドは次のように、OracleAS Certificate Authorityの$ORACLE_HOMEで使用します。
$ORACLE_HOME/opmn/bin/opmnctl startall
OracleAS Certificate Authorityを含むすべてのインフラストラクチャ・コンポーネントが1つの$ORACLE_HOMEにインストールされている場合は、前述の第4.3項に記述したように、OHSおよびOC4Jはすでに起動されています。
OracleAS Certificate Authorityを起動、停止または再起動するには、対応するコマンドを次のコマンド行に入力します。
$ORACLE_HOME/oca/bin/ocactl stop
$ORACLE_HOME/oca/bin/ocactl start
$ORACLE_HOME/oca/bin/ocactl status
WebベースのインタフェースでOracle Application Server Certificate Authorityの管理オプションおよび制御を使用するには、管理者の証明書が必要です。インストール中に管理者のパスワードを作成しておくと、この証明書は簡単に取得できます。他のタスクを実行する前に、最初にこの証明書を取得する必要があります。
他のシステムでは、管理者のPKI証明書のリクエスト、取得およびインストールに、コマンドライン、フロッピー・ディスクおよびカット・アンド・ペースト操作が必要です。
ただし、OracleAS Certificate Authorityを使用すると、この処理は単純で簡単になります。
ユーザー認証用に管理者の証明書をリクエストするには、OracleAS Certificate Authorityを初めて起動した後に表示されるフォームに、必要事項を入力して送信するだけです。管理者として使用するコンピュータからOracleAS Certificate Authorityにアクセスしている必要があります。「認証管理」タブをクリックすると、「ようこそ」ページが表示された後、識別情報データの入力を求めるフォームが表示されます。
このフォームには、一般名、組織およびインストール中に作成したOracleAS Certificate Authority管理者のパスワードを入力する必要があります。電子メール・アドレス、組織単位、地域、州および国など、他のDN情報も指定できます。
証明書の鍵のサイズ(デフォルトは2048)および有効期間(デフォルトは1年)を選択できます。
管理者の証明書が発行されたら、それをブラウザにインストールします。ブラウザでこの証明書を使用すると、管理および構成インタフェースでOracleAS Certificate Authorityの機能にアクセスして、証明書のリクエスト、証明書の失効または更新、およびポリシーの管理ができます。
この簡単な処理(簡単なリクエスト・フォームに必要事項を記入して実行する簡単なインストール)は、PKI証明書の取得や使用のために(OracleAS Certificate Authorityより前で)実行する必要のあったすべての操作のかわりに実行できます。
証明書をリクエストするには、次の手順を実行します。
Webブラウザを起動して、インストールの最後に表示されたとおりにURLおよび管理サーバーのポート番号を入力します。たとえば、次のように入力します。
https://Oracle_HTTP_host:ssl_port/oca/admin
Oracle_HTTP_hostは、OracleAS Certificate Authorityのインストール先ホストです。ssl_portは、$ORACLE_HOME/install/portlist.iniのOracle Certificate Authority SSL Server Authentication portに記載されています。Windowsの場合、このパスは%ORACLE_HOME¥install¥portlist.iniです。
画面に、「ようこそ」ページが表示されます。このページに表示されたリンクをクリックすると、管理者の証明書をリクエストするためのフォームが表示されます。
| フィールド名 | 入力情報 |
|---|---|
|
一般名 |
証明書に記載する名前 |
|
電子メール・アドレス |
管理者の電子メール・アドレス |
|
組織単位 |
管理者が属する組織単位または部門の名前 |
|
組織 |
管理者が属する企業または組織の名前 |
|
場所 |
管理者の所在地 |
|
都道府県 |
管理者が所在する都道府県 |
|
国 |
管理者の国を表す2文字のコード |
パスワードには、次の制限が適用されます。
したがって、インストール時に選択するOracleAS Certificate Authority管理者のパスワードは、これらの制限に従う必要があります。
パスワードの複雑さを検証するOracleのルーチン(PL/SQLスクリプトUTLPWDMG.SQLによって指定)をデータベースで使用する場合は、パスワードは次の要件(またはそのスクリプトに追加する要件)も満たす必要があります。
フォームのこのセクションは、次のように表示されます。
OracleAS Certificate Authorityでは、管理者の証明書に対してMicrosoft Strong Cryptographic Providerを使用することをお薦めします。ただし、GemplusやSchlumbergerなどのスマートカード・リーダーが使用可能な場合は、それらを使用してください。リーダーがインストールされていない場合に、スマートカード・サプライヤを選択するとエラーになります。
指定した一般名にクライアント認証の証明書が格納されます。
これで、OracleAS Certificate AuthorityのWebベースのインタフェースを介して実行可能なタスクを、すべて実行できるようになりました(第5章「Oracle Application Server Certificate Authorityの構成」を参照)。
管理者の証明書を置換する必要が発生する場合があります。その原因には、秘密鍵のパスワードの紛失、秘密鍵の危殆化または盗難、新しい人間への管理者ロールの付与などがあります。
管理者の証明書を置換するには、サーバーを停止し、現行の管理者証明書を失効させて、サーバーを再起動する必要があります。これらのタスクは、コマンドライン・ツールocactlを使用して実行します。このツールにはOracleAS Certificate Authority管理者のパスワードが必要です。セキュリティ上の理由から、これらのコマンドはコマンドラインでのみ使用可能です。グラフィカル・ユーザー・インタフェース(GUI)では使用できません。
次に、管理者は、Oracle Application Server Certificate AuthorityのWebページにナビゲートし、「Web管理者登録」に表示されるフォームに必要事項を入力します(「管理者の証明書のリクエスト」のここまでの記述を参照)。
次に、3つの関連コマンドライン・タスクを示します。
$ORACLE_HOME/oca/bin/ocactl stop
$ORACLE_HOME/oca/bin/ocactl revokecert -type WEBADMIN -reason REASON_CODE
注意: 次の(|で区切られた)いずれかの理由コードを選択できます。
{KEY_COMPROMISE | CA_COMPROMISE | AFFILIATION_CHANGE | SUPERSEDED | CESSATION_OF_OPERATION | CERTIFICATE_HOLD | REMOVE_FROM_CRL | UNSPECIFIED}
UNIXの場合: $ORACLE_HOME/oca/bin/ocactl start
Windowsの場合: %ORACLE_HOME%¥oca¥bin¥ocactl start
この時点で、「管理者の証明書のリクエスト」の手順に従って、管理者の証明書を取得し、すべての管理機能を使用可能にします。
管理タスクを実行するには、有効な管理者の証明書を所有している必要があります。最初のサインインを、管理者としてではなく一般ユーザーとして行うと、付録C「OracleAS Certificate Authorityのトラブルシューティング」の「基礎的な問題および警告」の項目、「証明書リクエストで鍵のペアが生成されない(Windows)。」で説明されているエラー・メッセージが表示される場合があります。
OracleAS Certificate Authority管理インタフェースにアクセスするには、Webブラウザを起動します。インストールの最後に表示されたとおりに、URLおよび管理サーバーのポート番号を入力します。
https://Oracle_HTTP_host:ssl_port/oca/admin
URLのホストおよびポート番号の詳細は、「管理者の証明書のリクエスト」の手順1を参照してください。
OracleAS Certificate Authorityの起動コマンドを発行すると、次の図に示すように、3つのサブタブが追加されたOracleAS Certificate Authorityのホームページが表示されます。
これらの3つのサブタブを使用して、証明書または認証局の構成を管理する特定のタスクを実行できます。
「認証管理」タブには、証明書の保留リクエストがすべて表示されます。表示されるページは次のようになります。
管理者は、このページを使用して、この後の各項で説明するタスクを選択できます。
Oracle Application Server Certificate Authorityでは、すべての証明書リクエストおよびそれらの現行ステータス(保留、拒否済または認証済)のマスター・リストが保持されます。「認証管理」タブをクリックすると、アクションの必要な証明書リクエスト(保留)がすべて表示されます。管理者には、このようなリクエストの承認または拒否、必要に応じて証明書の失効または更新、および証明書失効リスト(CRL)生成の管理を実行する役割があります。
これらのタスクを管理者として実行する場合は、証明書または証明書リクエストのマスター・リストを名前または番号で検索した後、特定の証明書または所定のリクエストを検証できます。
その後、次のタスクを実行できます。
この更新期間の時間枠を指定できます。詳細は第6章「Oracle Application Server Certificate Authorityでのポリシー管理」の、次の項を参照してください。
関連項目
次の項で、これらのすべての証明書管理タスクについて説明します。
「認証管理」タブの開始画面には、証明書の保留リクエストすべてのリストが表示されます。証明書を認可または却下するには、それぞれの処理に対応する手順に従います。
「認証管理」タブで、証明書を選択して詳細を表示できます。
単一の証明書を選択する方法は、「単一の証明書リクエストまたは発行済証明書の表示」を参照してください。
証明書のリストを表示する方法は、「拡張検索の使用方法」を参照してください。
検索結果から、表示する証明書を選択して「詳細表示」をクリックします。「証明書」ページが表示され、証明書の詳細が示されます。(このページを使用して、選択した証明書の失効、更新またはインストールも実行できます。)
管理者は、証明書を指定期間前に失効させることができます。次のいずれかの場合は、失効させる必要があります。
失効コードの完全なリストについては、「失効理由」を参照してください。
ターゲットの証明書を検索する方法は、「単一の証明書リクエストまたは発行済証明書の表示」または「拡張検索の使用方法」に記載された手順を参照してください。正しい証明書を選択した後、「詳細表示」をクリックして詳細を表示するか、次の手順で証明書を失効させます。
OracleAS Single Sign-OnまたはSSLの認証を使用しているエンド・ユーザーは、自分自身の証明書を失効させることもできます。詳細は、第8章「Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェース」の「証明書の失効」を参照してください。
関連項目
注意
ocactlコマンドライン・ツール以外ではできません。
管理者は、次のいずれかの理由を指定して証明書を失効できます。
管理者は、ユーザーの証明書を中断することなく継続して使用できるように、期限切れ前後の10日間(デフォルトのポリシー)に更新できます。(管理者は、期限切れ前後の許容日数を変更できます。)期限切れの証明書は、満了日の前後に設定した許容日数中に更新できます。証明書が期限切れになり、この許容日数中に更新しなかった場合、その証明書は使用できなくなります。このため、新しい証明書リクエストを送信して承認を得ることによって置換する必要があります。
証明書を更新する場合、管理者は、証明書を選択し(表示および検索に関する項を参照)、「詳細表示」をクリックして「証明書」ページを表示した後、「更新」をクリックします。日付が、証明書の満了日の前後に設定された時間枠(デフォルトでは前後10日間)内の場合は、証明書を更新できます。時間枠外の場合は、設定した時間枠に関するエラー・メッセージが表示されます。
OracleAS Single Sign-OnまたはSSLの認証済更新リクエストの場合は、ユーザーの証明書更新を制御するポリシーと同じポリシー(RenewalCertificateRequestConstraints)が自動的に適用されます。Oracle Application Server Certificate Authorityで、エンド・エンティティからの更新リクエストが処理されると、このポリシーによって、更新された証明書に対して新しい有効期間が設定されます。
Webベースのユーザー・インタフェースの最初のページで、Oracle Application Server Certificate Authority管理インタフェースを使用して、特定の証明書または証明書リクエストを表示できます。(指定した条件を満たす証明書またはリクエストのリストを生成する方法は、「拡張検索の使用方法」を参照。)
特定の証明書または証明書リクエストを検索するには、次の手順を実行します。
「拡張検索」機能を使用すると、次のように、より複雑な検索条件を指定して複数の証明書または証明書リクエストを検索および表示できます。
管理者は、検索結果から次のことを実行できます。
各タイプの検索で、検索パラメータを指定した後、「実行」ボタンをクリックします。OracleAS Certificate Authorityでは、一度に25件のレコードが表示されます。
証明書リクエストまたは発行済証明書に対して拡張検索を実行するには、次の手順を実行します。
結果ページは、次のセクションで構成されています。これらのセクションから特定の検索タイプを選択できます。
すべての検索結果に対して、OracleAS Certificate Authorityでは、一度に25件のレコードが表示されます。残りのレコードを表示するには、「前へ」および「次へ」ボタンを使用してナビゲートします。
「拡張検索」ページのこのセクションを使用して、ステータス別に証明書リクエストを表示します。ドロップダウン・メニューから、「保留」、「拒否済」または「認証済」を選択して「実行」をクリックします。選択したステータスと一致する証明書リクエストのリストに、レコードが25件ずつ表示されます。
「拡張検索」ページのこのセクションを使用して、特定の所有者別の証明書を表示します。所有者にはサーバーまたはエンド・ユーザーを指定できます。発行済証明書別またはリクエストされた証明書別に検索できます。
| 検索要素 | 範囲指定要素の意味/内容 |
|---|---|
|
一般名 |
検索する証明書上の名前 |
|
電子メール・アドレス |
DNの一部である電子メール・アドレス |
|
組織単位 |
所有者が属する企業または組織内部の単位名 |
|
組織 |
所有者が属する企業または組織の名前 |
|
市/地域 |
所有者の所在地 |
|
都道府県 |
所有者が所在する都道府県 |
|
国 |
所有者の国を表す2文字のコード |
「拡張検索」ページのこのセクションを使用して、所有者の識別名別に、発行済証明書(「証明書」)またはリクエストされた証明書(「証明書リクエスト」)を検索します。各RDN文字列に対する値を入力するかわりに、完全なDN文字列を入力できます。
「拡張検索」ページのこのセクションを使用して、発行済証明書またはリクエストされた証明書をすべて、シリアル番号の範囲内で検索します。発行済証明書別またはリクエストされた証明書別に検索できます。いずれかを選択し、対象となる最小および最大のシリアル番号を指定して「実行」をクリックします。
| 範囲指定要素 | 範囲指定要素の意味/内容 |
|---|---|
|
最小シリアル番号 |
範囲内の最小シリアル番号を入力します。 |
|
最大シリアル番号 |
範囲内の最大シリアル番号を入力します。 |
「拡張検索」ページのこのセクションを使用して、有効、失効済または満了の証明書をすべて検索します。これら3つのいずれかを選択して「実行」をクリックします。
証明書を失効にすると、ユーザーの環境で使用できなくなります。失効したことを公開して、失効済証明書が誤って使用されないようにします。証明書失効リスト(CRL)と呼ばれる、失効済証明書のリストを公開すると、認証を行うエンティティは、最初にこのリストを確認できるため、誤使用を防止できます。たとえば、信頼できる環境のすべてのアプリケーションで、CRLを使用して失効済証明書の認証を防止できます。
OracleAS Certificate Authorityをインストールするとき、デフォルトで自動CRL生成が有効になります。必要な電子メール情報を入力した後は、CRL生成が失敗した場合、自動的に電子メールがユーザーに送信されます。
最初のCRLは、1日の有効期間(再生成間隔)で午前0時に生成されます。これらの値(および自動生成)は、管理者のWebインタフェースの「構成管理」タブの中にある「通知」サブタブの「スケジュールされたジョブ」セクションで構成可能です。
更新済のCRLを手動で生成するには、次の手順を実行します。
フォームに必要事項を入力した後、「送信」ボタンをクリックします。これによってCRLが生成されます。
このCRLを表示または保存用に取得するには、「CRLの保存」を選択した後、「ブラウザへのインストール」または「ディスクへの保存」を選択します。
Oracle HTTP Serverは、このリストを使用して、受信したSSL証明書の妥当性を確認し、証明書がCRLにあるエンド・エンティティとのSSL接続を拒否します。システムでこのようなサーバーが複数使用されている場合は、それらのサーバーが使用する適切なパスまたはファイル名に、サーバーのCRLとしてそのCRLをコピーする必要があります。各サーバーのCRLを設定するには、サーバーごとに決められた手順を実行します。
同様に、ブラウザおよび電子メールのクライアントは、これらのCRLを使用して受信したS/MIME電子メールを検証し、接続しているサーバーを検証できます。
OracleAS Certificate Authorityは、次をOracle Internet Directoryに公開します。
注意
このセクションでは、ディレクトリ統合に関連する次のトピックについて説明します。
OracleAS Certificate Authorityは、失効済証明書のリストを含む証明書失効リスト(CRL)をOracle Internet Directoryに公開します。他のアプリケーションまたは別のユーザーは、必要に応じてCRLを使用して作業する必要があります。
CRLはOracleAS Certificate Authorityユーザーのホームページから直接取得できます。詳細は、第8章の「証明書失効リスト(CRL)の使用」を参照してください。
または、プログラムで規定されたアクセスについては、ディレクトリの特定のエントリを検索するldapsearchコマンドを使用してOracleAS Certificate AuthorityのCRLを取得できます。
ldapsearch -p port -h ldaphost -b
"cn=oca1,cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext"-s scope -L "objectclass=*" certificaterevocationlist
次のようになります。
たとえば、次のように入力します。
ldapsearch -p 3060 -h rjackson-sol -b
"cn=oca1,cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext"
-s base -L "objectclass=*" certificaterevocationlist
次のCRL出力を生成します。
dn: cn=oca1,cn=CRLValidation,cn=Validation,cn=PKI,cn=Products,cn=OracleContext
certificaterevocationlist:: MIICADCB6QIBATANBgkqhkiG9w0BAQUFADA8MQswCQYDVQQGE
wJVUzEPMA0GA1UEChMGb3JhY2xlMRwwGgYDVQQDExNDQS1sa2V0aGFuYS1zdW4tOTA0Fw0wNTAxM
DQyMjA2MjZaFw0wNTAxMDkyMjA2MjZaMCIwIAIBBRcNMDUwMTA0MjIwNTQzWjAMMAoGA1UdFQQDC
gEBoFUwUzBRBgNVHSMBAf8ERzBFoUCkPjA8MQswCQYDVQQGEwJVUzEPMA0GA1UEChMGb3JhY2xlM
RwwGgYDVQQDExNDQS1sa2V0aGFuYS1zdW4tOTA0ggEBMA0GCSqGSIb3DQEBBQUAA4IBAQAwBRgih
GOB08sWRg2sIaelqLFlUYNvnbtOe4QjdyTPaAy6k31+15jGi1vA7UBw7c0HqLv9r9iHLn7x9MtBj
Ei8GKj+OJ5GGvrVVnj7ngoSAfpMMhg805m+sgZu0UoBbBkuh9tyAGFzUbxqMCadwakUgEwi7OVsn
2jaDJilPD/1Lcp975hhlO0JH5hAwpERttSzaZcLqNEPGc9GMiAEUkTVCEa9rPwaw+C42msTZg38N
7hChaqVf6gj/NpwTOZw98tVyOfU/Iy5tndh5ghbx4PMQ8HoxjXuw0xh6VHTvjmV6q51eTfiAFD3e
M+IWjxO7fdgL8zUTZ/6HA8fNxZgaJen
この出力をアプリケーションに適したフォーマットに解析できます。アプリケーションがCRLへのアクセスを定期的に必要とする場合、自動化スクリプトを設定して定期的にCRLをファイル・システムにコピーできます。
OracleAS Certificate AuthorityとOracleAS Single Sign-Onは相互補完の関係にあり、ユーザー証明書のプロビジョニングを簡単にし、OracleAS Single Sign-Onを使用するすべてのアプリケーションに対するPKI認証を、それらの証明書を使用して有効にします。この項で説明する2つの構成オプションを選択すると、この連携がより容易になります。
最初の構成オプションであるブロードキャストを使用すると、OracleAS Single Sign-Onユーザーは、デフォルトのOracleAS Certificate Authority構成を使用するよりも簡単に、証明書リクエストを配信できるようになります。OracleAS Certificate Authorityのデフォルトでは、OracleAS Single Sign-On認証済ユーザーが証明書リクエストを配信すると証明書を提供するように構成されていますが、それにはいくつかの手順が必要になります。このプロセスは、
第8章「Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェース」の「Single Sign-On(SSO)認証」で説明します。
ブロードキャスト・オプションでは、送信可能なリンクがすべてのユーザーに提供され、ユーザーはOracleAS Single Sign-On/OracleAS Certificate Authority証明書を直接リクエストできるようになるため、リクエストはさらに容易になります。
2番目の構成オプションは、最初のオプションの説明に続いて、「OracleAS Certificate Authority証明書リクエストURLへのSSO認証済ユーザーのアクセス」で説明します。そこでは、OracleAS Single Sign-On構成を簡略化することで、構成プロセスを大幅に短縮するOracleAS Certificate Authority構成コマンドについて説明します。OracleAS Single Sign-Onのデフォルト配置では、PKI認証に必要なSSLが自動的に使用されるわけではありません。このため、OracleAS Certificate Authority提供のユーザー証明書を実行時にOracleAS Single Sign-Onで使用するには、SSLおよび証明書を使用できるようにOracleAS Single Sign-On Serverを構成する必要があります。この2番目の構成オプションを説明する「ユーザー証明書とSSOの使用」では、通常のデフォルト構成を活用して、このプロセスをさらに簡略化する方法について説明します。
2番目の構成オプションの説明には、次の2つの項があります。
ここでは、OracleAS Certificate AuthorityおよびOracleAS Single Sign-On Serverを使用するPKI認証に必要なすべての手順と、Single Sign-Onの認証プロセスについて説明します。
OracleAS Single Sign-OnユーザーがOracleAS Certificate Authority証明書の取得に使用するURLは、埋込みのHTMLリンクとして電子メールで送信できます。または、エンタープライズ・ポータルのリンクとして公開できます。これらの方法を使用することで、証明書を必要とするユーザーに対して、より柔軟にこの機能を公開できます。
SSO証明書リクエストのURLは、次のとおりです。
https://<Oracle_HTTP_host>:<oca_ssl_port>/oca/sso_oca_link
電子メールを送る際には、<Oracle_HTTP_host>をホストのWebまたはIPアドレスに、<oca_ssl_port>をOracle認証局SSLサーバーの認証ポート番号に置換する必要があります。
URLのホストおよびポート番号の詳細は、「管理者の証明書のリクエスト」の手順1を参照してください。
これでユーザーは、このリンクをクリックし、次の項の「OracleAS Certificate Authority証明書リクエストURLへのSSO認証済ユーザーのアクセス」で説明する手順と同様の手順を実行できます。
Oracle Application Server Certificate Authorityは、OracleAS Single Sign-On認証を実行するようにデフォルトで構成されますが、いくつかの手順があります。ユーザーは、OracleAS Certificate Authorityユーザー・インタフェースにアクセスし、SSO認証を選択した後、証明書をリクエストする必要があります。(詳細は、第8章「Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェース」の「Single Sign-On(SSO)認証」を参照。)一部のユーザーには、この処理の実行が難しい場合があります。
そのため、OracleAS Certificate Authorityには、OracleAS Single Sign-On Serverによる認証後、OracleAS Certificate Authority証明書リクエストURLにユーザーを直接送ってユーザー・インタフェースを簡単にするメカニズムがあります。
このURLをOracleAS Single Sign-Onに提供し、OracleAS Single Sign-Onが証明書を使用しないでユーザーを認証するときはいつでもこのURLを表示するようにOracle Application Server Certificate Authorityを構成できます。OracleAS Single Sign-Onは、証明書を使用しないでユーザーを認証すると、そのユーザーが証明書をリクエストできるOracleAS Certificate Authority画面を表示します。証明書を作成し、ユーザーのブラウザにインストールすると、その後の認証では、その証明書が自動的に使用されるだけです。(ただし、このポップアップ画面は、ユーザーの興味の有無に関係なくすべてのユーザーに対して表示されるため、無関係のユーザーには不便な場合もあります。)
この方法でOracleAS Certificate Authorityを構成する場合、管理者は(管理者用パスワードで)、ocactlコマンドライン・ツールを使用して、次のコマンドを発行します。
ocactl linksso
また、管理者は(管理者用パスワードで)、ocactlコマンドライン・ツールを使用して、OracleAS Single Sign-On経由でこのURLの使用を取り消すことができます。この処理には、次のコマンドを発行します。
ocactl unlinksso
これらのコマンドを使用する場合、OracleAS Certificate Authorityサービスを停止する必要はありません。ただし、OracleAS Single Sign-On ServerのORACLE_HOMEで次のコマンドを使用し、OracleAS Single Sign-On Serverを再起動して有効にする必要があります。
$ORACLE_HOME/opmn/bin/opmnctl stopproc type=oc4j instancename=oca $ORACLE_HOME/opmn/bin/opmnctl startproc type=oc4j instancename=oca
ocactl linkssoコマンドを実行し、OracleAS Single Sign-On serverを再起動すると、OracleAS Single Sign-Onが証明書を使用しないでユーザーを認証している場合は、常に、OracleAS Certificate Authorityの初期ページが表示されます。次のようなページが表示されます。
OracleAS Single Sign-Onユーザーが「ここ」リンクをクリックすると、次に示すOracleAS Certificate Authority証明書リクエストのページが表示されます。
この合成図では、SSOユーザーが鍵のサイズを選択し、その選択したサイズが指定どおり設定された後、「送信」をクリックする必要があることを示しています。(「回復」をクリックすると、選択内容がデフォルトに戻ります。)リクエストの送信後、この証明書の鍵が自動的に生成されます(この処理には数分かかる場合があります)。その後、この証明書は、Oracle Internet Directoryにインポートされ、ユーザーに表示されます。ユーザーが証明書の情報を確認し、「ブラウザへのインストール」をクリックすると、証明書はユーザーのブラウザにインストールされ、自動使用できるようになります。
Single Sign-On ServerへのOracleAS Certificate Authorityの再登録が完了したら、Single Sign-Onを使用してOracleAS Certificate Authorityへの認証を行っていたユーザーは、以前と同様に証明書を使用できます。
新規ユーザーは、前述の項の説明に従い、OracleAS Single Sign-On用のOracleAS Certificate Authority証明書リクエストURLを使用して証明書をプロビジョニングできます。
OracleAS Single Sign-Onがユーザーを証明書で認識できるようになると、ユーザーは、ユーザー名/パスワード・ログインまたは証明書のいずれかを使用して、OracleAS Certificate Authorityなどのアプリケーションにアクセスできます。
つまり、ユーザーは、ユーザー名/パスワードを使用してログインし、手順に従って証明書を作成してブラウザにインストールした後、PKIを介してOracleAS Single Sign-On Serverに対して自己認証を実行できます。
ユーザーのブラウザに、一部のアプリケーションの使用に認証を求める、OracleAS Single Sign-Onに対する証明書が表示されると、OracleAS Single Sign-Onは、ディレクトリを参照してその証明書を確認します。ユーザーのニックネーム(場合によってはサブスクライバ名も)で格納されている証明書とブラウザに表示されている証明書が一致している場合、認証は正常に実行されています。
Single Sign-On Serverは、リクエストされたURLにユーザーをリダイレクトできるように、ユーザー情報を含むURLCトークンをアプリケーションに提供します。この後、リクエストされた内容を配信できます。
表4-4に、インストールのデフォルト値と、一部の重要なWalletのデフォルト・ロケーションや有効期間などの情報を示します。
下位CAの深度、つまりパス長を変更する場合は、コマンドラインを使用してCA署名Walletを再生成する必要があります。付録A「コマンドライン管理」の「OracleAS Certificate Authorityからの下位CA署名Walletの生成」の説明に従い、ocactlを使用してください。
ただし、CAを再生成すると、以前に発行された証明書はすべて無効になります。そのため、パス長の値を変更する場合は、インストール後にCA署名Walletをただちに再生成する必要があります。SSL Walletなど、依存するWalletもすべて同様です。
表4-4の注記:
ocactl generatewallet -type CAを実行してCA署名Walletを再生成することで、インストール後にすべての要素を変更できます。また、デフォルトの有効期間は、新しい有効期間で証明書を更新することで変更できます。
ocactl generatewallet -type CASSLを実行することで変更できます。CA SSL Walletは、コマンドライン・オプションを使用して、いつでも再生成できます(期限切れの後も含む)。また、VeriSignなどの異なるCAのSSL Walletと置換することもできます。この置換を実行すると、最初にOracleAS Certificate Authorityに接続したときに、CA証明書が信頼できないという警告を回避できます。選択可能な鍵のサイズは、512、768、1024および2048であり、1024がデフォルトです。
$ORACLE_HOMEを意味します。したがって、完全なロケーションは$ORACLE_HOME/oca/wallet/sslです。
$ORACLE_HOMEを意味します。したがって、完全なロケーションは$ORACLE_HOME/Apache/conf/ocm_apache.confです。証明書を使用するようにOracleAS Single Sign-Onを構成するには、いくつかの手順を実行する必要があります。付録Eにこれらの手順のすべてを示していますが、詳細なコンテキストと説明については、『Oracle Application Server Single Sign-On管理者ガイド』に記載しているため、そちらのガイドも参照してください。
一般的な実行手順の概要を次に示します。
PKIを有効にすると、OracleAS Single Sign-On Serverは、ユーザー名およびパスワードをリクエストするかわりに、証明書を使用してアプリケーションのユーザーを認証できます。OracleAS Single Sign-Onのパートナ・アプリケーションのユーザーがOracleAS Single Sign-On認証を選択すると、そのアプリケーションへのログインに使用する証明書を選択するよう、ブラウザから指示されます。使用する証明書は、以前にブラウザにインストールした証明書です。目的の証明書を選択すると、OracleAS Single Sign-On Serverはその証明書を使用してユーザーを認証し、ユーザーがリクエストしたパートナ・アプリケーションにユーザーをリダイレクトします。
この処理では、次のことが問題になります。
この問題は、OracleAS Single Sign-On Serverで複数の認証レベルを使用することによって解決されます。PKIが有効化されると、どのパートナ・アプリケーションでも、中-高レベルのセキュリティ(証明書による認証)が使用されますが、OracleAS Certificate Authorityでは、ユーザー名/パスワードまたはWindowsのネイティブ認証による中レベルのセキュリティを使用できます。それによって、OracleAS Certificate Authorityは証明書を発行する前にパスワードを使用してユーザーを認証できるようになり、その一方で、それ以外のOracleAS Single Sign-On Server対応アプリケーションには、証明書を使用した認証が強制されます。
ユーザー名/パスワードによる中レベルのセキュリティをOracleAS Certificate Authorityで使用するための構成手順など、すべての手順は、付録Eを参照してください。セキュリティ・レベル固有の手順は、付録Eの「SSOでのPKIの有効化」に記載しています。
同様に、Windowsのネイティブ認証など、他の認証メカニズムを使用するようにOracleAS Certificate Authorityを構成することもできます。目的の認証メカニズムを実装するプラグインにセキュリティ・レベルを割り当て、(「SSOでのPKIの有効化」の)手順3で説明しているように、そのセキュリティ・レベルを使用するようにOracleAS Certificate Authority URLを割り当てます。
表4-5に、一般的な管理タスクを示します。これらはOracleAS Certificate Authority管理者にとって非常に重要なタスクです。その手間に応じて、大規模、中規模および小規模に分類されます。
| タスク | 情報 |
|---|---|
|
大規模なタスク |
- |
|
証明書のプロビジョニング |
|
|
Web管理者の証明書の失効 |
表A-2「OracleAS Certificate Authority(OCA)ocactlツールの操作およびパラメータ」の |
|
(鍵危殆化からリカバリするための)CA署名鍵の失効 |
|
|
カスタム・ポリシー・プラグインの作成 |
|
|
バックアップおよびリカバリ |
|
|
中規模のタスク |
- |
|
証明書リクエストの承認 |
|
|
下位CA証明書の認可 |
|
|
再関連付け(関連付けられたOracle Internet Directory、OracleAS Single Sign-Onおよびデータベース・インスタンスの調整) |
|
|
CA署名、CA S/MIMEおよびCA SSL Walletの更新 |
|
|
ポリシー・パラメータおよび条件の調整 |
|
|
DNの作成 |
表6-9「条件の属性」のDNのエントリおよびその説明 |
|
認証局運用規定の制定および保守 |
|
|
小規模のタスク |
- |
|
パスワードの変更 |
|
|
ユーザー証明書の更新および失効 |
|
|
証明書失効リストの管理 |
|
 Copyright © 2006 Oracle Corporation. All Rights Reserved. |
|