12 Oracle PKIとWindowsとの統合

この章では、Windowsオペレーティング・システムにおける、Oracle Public Key Infrastructure（PKI）とWindows 2000 Public Key Infrastructure（Windows PKI）との統合について説明します。

Oracle Public Key Infrastructure

Oracle Public Key Infrastructure（PKI）は、Oracle Enterprise Security Manager、LDAP対応のOracle Enterprise Manager、OracleのSecure Sockets Layer（SSL）認証、Oracle DatabaseおよびOracle Application Serverで使用されます。

注意: Oracle Security Managerは、Oracle Database Clientでのみインストールされます。

Oracle PKIには次のコンポーネントが含まれます。

• Oracle Wallet

• Oracle Wallet Manager（OWM）

Oracle Walletでは、暗号化、復号化、デジタル署名および検証のために公開鍵アプリケーションで使用されるデジタル証明、トラスト・ポイントおよび秘密鍵が格納されます。

Windows Public Key Infrastructure

この項では、Windows PKIについて説明します。

次の項目について説明します。

• Microsoft証明書ストア

• Microsoft証明書サービス

• Oracle PKIアプリケーションでのMicrosoft証明書ストアの使用

  
  

  注意: Microsoft証明書ストアとの統合は、Microsoft Enhanced Cryptographic Providerを使用するデジタル証明がある場合にのみ機能します。このような証明書を作成するには、Windows High Encryption Packをインストールし、Microsoft Enhanced Cryptographic Providerを選択する必要があります。また、同じ鍵の使用（署名および鍵交換）のために使用可能な証明書が複数ある場合、取得された最初の証明書はOracle SSLに使用されます。

  
  

Microsoft証明書ストア

Microsoft証明書ストアは、デジタル証明およびそれに関連するプロパティを格納するリポジトリです。Windows 2000では、デジタル証明および証明書失効リストが、論理ストアおよび物理ストアに格納されます。論理ストアには、物理ストアにある公開鍵オブジェクトへのポインタが含まれます。論理ストアにより、各ユーザー、コンピュータまたはサービス間で、それらのオブジェクトの複製を格納する必要なく、公開鍵オブジェクトを共有できます。公開鍵オブジェクトは、物理的にローカル・コンピュータのレジストリに格納されますが、一部のユーザー証明書についてはActive Directoryに格納されます。Microsoftにより定義される標準システム証明書ストアは、次のとおりです。

• MYまたはPersonal

• CA

• ROOT

MYまたはPersonalは、関連する秘密鍵が使用可能なユーザー証明書を保持します。MY証明書ストアは、秘密鍵に関連するCryptographic Service Provider（CSP）を示す証明書プロパティを管理します。アプリケーションは、この情報を使用して、関連する証明書のCSPから秘密鍵を取得します。CAは、発行元または中間認証局（CA）証明書を保持します。ROOTは、信頼できるルートCAの自己署名CA証明書のみを保持します。

Microsoft証明書サービス

Microsoft証明書サービス（MCS）は、次のモジュールで構成されます。

• Server Engine

• Intermediary

• Policy

Server Engineは、すべての証明書要求を処理します。各処理段階においてその他のモジュールと対話し、要求の状態に基づいて適切なアクションが取られていることを確認します。Intermediaryモジュールは、クライアントから新規の証明書の要求を受け取り、それをServer Engineに送信します。Policyモジュールには、証明書の発行を制御する一連の規則が含まれます。このモジュールは、必要に応じてアップグレードまたはカスタマイズされる場合があります。

Oracle PKIアプリケーションでのMicrosoft証明書ストアの使用

ウォレット・リソース・ロケータ（WRL）により、ファイルsqlnet.oraのパラメータWALLET_LOCATIONが、特定のPKIを識別するよう指定されます。sqlnet.oraのパラメータWALLET_LOCATIONを設定することにより、Oracle Walletを使用するか、またはMicrosoft証明書ストアを使用するかを選択できます。Microsoft証明書ストアからの資格証明を使用するには、sqlnet.oraのパラメータWALLET_LOCATIONを次のように設定します。

WALLET_LOCATION = (SOURCE = (METHOD=MCS))

Oracleアプリケーションでは、OracleのSSL付きTCP/IPプロトコル（TCPS）を使用し、Oracleサーバーに接続します。SSLプロトコルでは、SSL認証のためにユーザーのMicrosoft証明書ストアからのX.509証明書およびトラスト・ポイントが使用されます。