ヘッダーをスキップ
Oracle Application Server Certificate Authority 管理者ガイド
10
g
(10.1.4.0.1)
B31506-01
索引
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
Oracle Identity Management
関連ドキュメント
表記規則
サポートおよびサービス
1 公開鍵インフラストラクチャとOracleAS
PKIとは
鍵のペア
認証局(CA)およびデジタル証明書
CA署名
信頼のレベル
デジタル証明書の内容および使用方法
PKI資格証明のコンテナ
登録局(RA)
PKIの利点
OracleAS PKIの概要
以前のコストおよび問題
OracleAS PKIの利点
OracleAS PKIのコンポーネント
コンテナ、Oracle WalletおよびOracle Wallet Manager(OWM)
Secure Sockets Layer(SSL)
Oracle Internet DirectoryおよびSingle Sign-On(SSO)
Oracle Application Server Certificate Authority
2 ID管理およびOracleAS Certificate Authorityの機能
ID管理のコンポーネントとアーキテクチャ
Oracle Identity Management
企業でのOracle Identity Managementの使用
Oracleセキュリティ・アーキテクチャでのOracle Identity Managementの役割
Oracle Identity ManagementでのOracleAS Certificate Authorityの役割
SSO統合を介した簡易プロビジョニング
Oracle Identity Managementでのサード・パーティのPKIのサポート
Oracle Application Server Certificate Authorityの主要機能
オープン規格に対するサポート
柔軟なポリシー
管理者およびエンド・ユーザーにとっての使いやすさ
OCA画面でのグローバリゼーション・サポート
スケーラビリティ、パフォーマンスおよび高可用性
S/MIMEデジタル暗号化および署名を介する電子メールの保護
証明書の自動または手動プロビジョニング
OracleAS Single Sign-On認証
Secure Sockets Layer(SSL)を使用した証明書ベースの認証
手動による承認
階層的な認証局のサポート
3 OracleAS Certificate Authority配置ガイドライン
認証局設定のロードマップ
証明書の要件およびポリシー
証明書の要件およびプロパティの定義
証明書のプロビジョニング
証明書タイプ
証明書のプロパティ
証明書の名前付け
証明書鍵サイズ
証明書の有効期間
サポートされる拡張機能
スマートカードのサポート
証明書の更新および失効
CA証明書の配布
証明書のポリシーおよび手順の定義
CRLポリシーの定義
アラートおよび通知の定義
OracleAS Certificate Authorityアーキテクチャの計画
CA信頼階層
オンラインCAとオフラインCA
CAの保護
配置に際しての考慮事項および基本シナリオ
OracleAS Certificate Authorityに必要なコンポーネント
デフォルトの配置
本番配置
DMZ配置
高可用性配置オプション
コールド・フェイルオーバー・クラスタ
障害時リカバリ
コールド・フェイルオーバー・クラスタおよび障害時リカバリ
OracleAS Certificate Authority実装およびユースケース
実装チェックリスト
ユースケース: MyPKIsite.com
シナリオ
管理者の役割
MyPKIsite.comのCA階層
Oracle Internet Directoryのユーザー・エントリ
各コンポーネント・インスタンス
MyPKIsite.comの証明書要件
セキュリティ関連の考慮事項
高可用性関連の考慮事項
MyPKIsite.comの詳細な実装チェックリスト
4 OracleAS Certificate Authority Administrationおよび証明書の管理の概要
Oracle Application Server Certificate Authorityの起動および停止
管理者の証明書のリクエスト
管理者の証明書の置換
OracleAS Certificate Authority管理インタフェースの概要
「認証管理」タブ
証明書の管理
証明書リクエストの承認または拒否
証明書リクエストの承認方法
証明書リクエストの拒否方法
証明書の詳細の表示
証明書の失効
失効理由
証明書の更新
単一の証明書リクエストまたは発行済証明書の表示
拡張検索の使用方法
リクエスト・ステータスを使用した証明書リクエストの検索
識別名(DN)を使用した検索
拡張識別名を使用した検索
シリアル番号/リクエストIDの範囲を使用した検索
証明書のステータスを使用した検索
証明書失効リスト(CRL)の更新
Oracle Internet Directory Integration
証明書失効リストの取得
Single Sign-OnおよびOracleAS Certificate Authority
SSO認証済ユーザーへのOracleAS Certificate Authority証明書リクエストURLのブロードキャスト
OracleAS Certificate Authority証明書リクエストURLへのSSO認証済ユーザーのアクセス
ユーザー証明書とSSOの使用
OracleAS Certificate Authorityのインストールのデフォルト値
SSOおよびOracleAS Certificate Authorityを使用したPKI認証の有効化
ルーチン管理タスク
5 Oracle Application Server Certificate Authorityの構成
管理インタフェースの構成
「構成管理」タブ
構成タスクの概要
「通知」サブタブ
メール詳細
アラート
スケジュールされたジョブ
電子メールのテンプレート
トークンの値
「一般」サブタブ
証明書の公開
SSL認証およびSSO認証
クライアント証明書のデフォルト使用方法
サブジェクト代替名拡張機能
拡張機能コンテンツの選択
必須
ロギングおよびトレース
デフォルト・ベースDNコンポーネント
データベースの設定
ディレクトリの設定
「ログの表示」タブ
6 Oracle Application Server Certificate Authorityでのポリシー管理
定義
ポリシー管理の概要
Oracle Application Server Certificate Authorityのポリシー
RSAKeyConstraints
ValidityRule
UniqueCertificateConstraint
RevocationConstraints
RenewalRequestConstraint
Oracle Application Server Certificate Authorityの「ポリシー」サブタブ
デフォルトの証明書リクエスト・ポリシー
デフォルトの証明書失効ポリシー
製品に付属の証明書更新ポリシー
製品に付属のTrustPointDNCustomRule
ポリシー操作
編集
有効化または無効化
削除
ポリシーの並替え
ポリシーの追加
ポリシー・ルールの条件
複数の条件による評価
複数の条件による評価の例
複数の条件による評価の例2
条件の並替え
条件の追加
カスタム・ポリシー・プラグインの開発
ポリシーにより実行される処理について
新しいポリシー・プラグインを作成する手順
カスタム・ポリシーのルール
カスタム・ポリシー・プラグインの例
汎用エラー・メッセージ
7 OracleAS Certificate Authority管理: 高度なトピック
OracleAS Certificate AuthorityのWallet操作
CA署名Walletの再生成
CA SSL WalletおよびCA S/MIME Walletの再生成
CA SSL Wallet
CA S/MIME Wallet
重要なWalletの更新
パスワードの変更
OracleAS Certificate Authorityの構成操作
第三者のSSL Walletを使用するためのOracle HTTP Serverの構成
認証局の証明書の失効
OracleAS Certificate Authority Web管理者証明書の失効
画面でのグローバリゼーション・サポートの構成
OracleAS Certificate Authorityのパフォーマンス・チューニング
データベース接続のチューニング
OracleAS Single Sign-Onとの相互作用のチューニング
最大メモリーのチューニング
Oracle Internet Directory接続のチューニング
その他のコンポーネントのチューニング
カスタマイズのサポート
OracleAS Certificate Authorityアクションのログまたはトレース
OracleAS Certificate Authorityのログ情報またはトレース情報の消去
インフラストラクチャ・サービスの変更
ID管理(IM)サービスの変更
Metadata Repository(MR)サービスの変更
接続情報の格納場所および表示場所
OracleAS Certificate Authority および高可用性機能
OracleAS Certificate Authority コールド・フェイルオーバーを使用した配置
Real Application Clustersを使用したOracleAS Certificate Authorityの配置
OracleAS Certificate Authority のバックアップおよびリカバリでの考慮事項
証明書公開レルムの制限
CAの置換およびOracleAS Certificate Authorityの削除
ディレクトリ統合タスク
8 Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェース
ユーザー・インタフェースへのアクセス
エンド・ユーザー用のタブおよび処理
「ユーザー証明書」タブ
Single Sign-On(SSO)認証
OracleAS Certificate Authorityが信頼されるブラウザの構成
Internet Explorerでの証明書発行元への信頼
Netscapeでの証明書発行元への信頼
Mozilla Firefoxでの証明書発行元への信頼
Secure Sockets Layer(SSL)認証
手動認証
証明書の検索、更新および失効
証明書の取得
証明書の更新
証明書の失効
「サーバー/下位CA証明書」タブ
下位CA証明書
CA証明書のインストール
証明書失効リスト(CRL)の使用
ブラウザへのCRLのインストール
Netscape 7.xおよびMozilla FirefoxへのCRLのインストール
Internet Explorer(IE)へのCRLのインストール
ディスクへのバイナリCRLまたはBASE64 CRLの保存
ブラウザへの新規発行の証明書のインポート
ブラウザからのWalletのエクスポート(バックアップ)
ファイル・システムからの証明書のインポート
A コマンドライン管理
コマンドライン・ツール
CA SSLサーバーWalletのSSO形式への変換
Oracle Certificate Authority Serverの起動
Oracle Application Server Certificate Authority Serverの停止
Oracle Certificate Authorityサービスの状態の検索
権限付きパスワードの変更
ルート認証局の証明書の再生成
認証局のSSL証明書およびWalletの再生成
ルートCA証明書の失効
OracleAS Certificate Authorityからの下位CA署名Walletの生成
下位CA署名Walletのインストール/インポート
下位CA用のCA SSL Walletの生成
ログまたはトレース記憶域の消去
OracleAS Certificate Authorityリポジトリ接続情報の更新
SSO認証の設定(linkssoおよびunlinkssoコマンド)
ログ/トレース・オプションの設定
B CAの階層の設定
下位CA署名Walletの生成
新しい下位CA署名Walletのインストールおよび使用
別のCAの下位CAにするためのOracleAS Certificate Authorityインスタンスの構成
下位CA用のCA SSL WalletおよびCA SMIME Walletの生成
C OracleAS Certificate Authorityのトラブルシューティング
問題と解決策
基礎的な問題および警告
証明書リクエストで鍵のペアが生成されない(Windows)。
通常のユーザーでログインした後、管理者でログインできない。
パスワードの変更には、OracleAS Certificate Authorityのコマンドライン・ツールocactlを使用する必要がある。
Metadata Repositoryのパスワードの記憶とリストア
ocactlを使用すると、「エラー: パスワード・ストアが存在しません。」というメッセージが表示される。
ブラウザの問題
CA SSLサーバーのCNがマシン名と一致しない場合に、ブラウザが警告を表示する。
証明書リストですべてのユーザーが「USERS」として表示される。
Netscape/Mozillaの場合
証明書の期限が切れているという警告が表示される。
下位CAとCAの両方のSSLクライアント証明書が表示される。
Internet Explorer(IE)の場合
ブラウザにCRLをインポートできない。
セキュアな情報とセキュアでない情報の両方がページに含まれているというメッセージが表示される。
オンライン・ヘルプを開くと、セキュリティ・アラートが生成される。
証明書リクエストの生成数が超過しているというメッセージが表示される。
証明書のインポート時にVBスクリプトのエラーが発生する。
ネットワークの問題
SSOユーザー名/パスワードを使用してOracleAS Certificate Authorityにログインすると、エラー・メッセージが表示される。
ネットワーク・エラーのメッセージが表示される。
OracleAS Certificate Authorityが動作しなくなる。あるいはネットワークまたはサーバーのメッセージが表示される。
証明書の問題
ユーザー証明書をインストールしてもCA証明書がインストールされない(Netscape/Mozilla)。
「認証管理」タブへのアクセスまたは使用ができない。
管理者が別のマシンから作業する必要がある。
証明書リクエストの属性エラー
シングル・サインオンの問題
SSOの証明書に表示される名前が「USER」になる。
鍵の生成中にVBスクリプトのエラー・メッセージが表示される。
「ページを表示できません」というメッセージが表示される(Internet Explorer)。
IEでSSOログイン・ページに進むと、セキュリティ警告ダイアログが表示される。
Single Sign-Onを介して取得した証明書がSSL認証用に表示されない。
バックアップの保護の問題
OracleAS Certificate Authorityの内部リポジトリのリカバリ可能性を保証する。
リカバリの問題
OracleAS Certificate Authority管理ページの「認証管理」タブをクリックすると、ブラウザの404エラーが返される。
一般的な問題
ページのロードに時間がかかりすぎる、またはページがハングアップする。
Outlook ExpressにS/MIME署名証明書が表示されない。
CA SSLサーバーのCNについて、警告が表示される。
その他の問題
D 拡張領域
証明書の使用方法
証明書へのポリシー適用
E SSOでのSSLおよびPKIの有効化
SSOでのSSLの有効化
SSOでのPKIの有効化
SSLを有効化したSSOへの仮想ホストの再登録
再登録の例
F 保護されたOracleAS Certificate Authorityへの外部アクセス
OracleAS Certificate Authorityでのプロキシ・サーバーのサポートの有効化
OracleAS Certificate Authorityでのプロキシ・サーバーのサポートの無効化
G OracleAS Certificate AuthorityでのS/MIME
S/MIME操作
設定
証明書の取得
S/MIMEパラメータの設定
Outlookメール・クライアント
Mozilla/Netscapeメール・クライアント
OCAの構成
メッセージの送信
Outlookメール・クライアント
Mozilla/Netscapeメール・クライアント
メッセージの受信
Outlookメール・クライアント
Mozilla/Netscapeメール・クライアント
他のユーザーの暗号証明書の取得
H OracleAS Certificate Authorityで使用するためのOracleAS WebCacheの構成
OracleAS WebCacheのインストール
OracleAS Certificate Authorityで使用するためのOracleAS WebCacheの構成
OracleAS WebCacheで使用するためのOracleAS Certificate Authority仮想ホストの構成
OracleAS Certificate Authorityで使用するためのOracleAS WebCacheの有効化
I Oracle Application Server Certificate AuthorityのWebインタフェース
管理インタフェースのウィンドウとフィールド
Web管理者登録--拡張DN
「拡張」画面
証明書詳細
証明書リクエストの却下
証明書リクエストの認可 - 手動
「リクエスト」ページ
カスタム・ポリシーの追加
関連項目
RenewalRequestConstraintの編集
パラメータ詳細
述語詳細
関連項目
RevocationConstraintRuleの編集
パラメータ詳細
述語詳細
関連項目
RSAKeyConstraintsの編集
パラメータ詳細
述語詳細
関連項目
TrustPointDNCustomRuleの編集
UniqueCertificateConstraintsの編集
ValidityRuleの編集
構成管理 -- 一般
構成管理 -- 通知
構成管理 -- ポリシー
証明書失効リストの更新
OracleAS Certificate Authority 管理ページへようこそ
Web管理者登録
ログの表示
エンド・ユーザー・インタフェースの各ウィンドウや各フィールド
「拡張検索」画面
「認証」ページ
CA証明書詳細
CA証明書の保存
証明書の認可 -- Single Sign-On (SSL)
証明書詳細
「証明書リクエスト」フォーム
証明書失効リスト
失効理由
「証明書リクエスト」フォーム -- 拡張
サーバー/下位CA証明書
サーバー/下位CA証明書リクエスト・フォーム
証明書リクエスト・フォーム - SSL認証
SSO証明書リクエスト・フォーム
ユーザー証明書 - 手動認証
ユーザー証明書 - SSL認証
ユーザー証明書 - SSO認証
OracleAS Certificate Authorityホームページへようこそ。
用語集
索引
Copyright © 2006 Oracle Corporation.
All Rights Reserved.
索引
