B SSLキーストアの生成

makebootconfigまたはsecurityconfigによって自動生成されるキーストア(store.keysおよびstore.trust)は、次のkeytool (Javaの組込みキーであり証明書管理ツール)コマンドを使用して手動作成することもできます。

キー・ペアを生成するには、keytool -genkeypairコマンドを使用します。

keytool -genkeypair \
-keystore store.keys \
-storepass <passwd> \
-keypass <passwd> \
-alias shared \
-dname "CN=NoSQL" \
-keyAlg RSA \
-keysize 1024 \
-validity 365 

キー・ペアをエクスポートするには、keytool -exportコマンドを使用します。

keytool -export \
-file <temp file> \
-keystore store.keys \
-storepass <passwd> \
-alias shared 

キー・ペアをインポートするには、keytool -importコマンドを使用します。

keytool -import \
-file <temp file> \
-keystore store.keys \
-storepass <passwd>
-noprompt 

また、次のルールに従うことで、前述したkeytoolコマンドを使用して他のキーストアおよびトラストストアのキーを手動生成し、Oracle NoSQL Databaseが生成するキーの代用にできます。

• store.keysファイルには、別名"shared"を持つキー・ペアが必要です。

• store.keysストア・パスワード(-storepass)は、キー・パスワード(-keypass)と一致する必要があります。

• 自己署名証明書についてCN=NoSQL以外のサブジェクト識別名が選択された場合、makebootconfigまたはsecurityconfigコマンドに次のオプションを指定する必要があります。

  -param "ha:serverIdentityAllowed=dnmatch(SOMEDN)"
  -param "ha:clientIdentityAllowed=dnmatch(SOMEDN)"
  -param "internal:serverIdentityAllowed=dnmatch(SOMEDN)"
  -param "internal:clientIdentityAllowed=dnmatch(SOMEDN)"
  -param "client:serverIdentityAllowed=dnmatch(SOMEDN)" 

  ここで、SOMEDNは選択した識別名(-dname)です。

• store.trustのストア・パスワードは、store.keysのストア・パスワードと一致する必要があります。