16 証明書の管理

Oracle Key Vaultで生成された証明書に加えて、サード・パーティの証明書を管理できます。

• 証明書のローテーション
  Oracle Key Vaultで生成された証明書とサード・パーティの証明書はいずれもローテーションできます。
• コンソール証明書の管理
  Oracle Key Vault管理コンソールを使用して、コンソール証明書を管理できます。

16.1 証明書のローテーション

Oracle Key Vaultで生成された証明書とサード・パーティの証明書はいずれもローテーションできます。

• 証明書のローテーションについて
  証明書ローテーション・プロセスでは、Oracle Key Vaultサーバー内のすべての証明書を取得します。この操作では、コンソール証明書はローテーションされません。
• 証明書のローテーションの管理に関するアドバイス
  Oracle Key Vaultでは、証明書をローテーションする最適な方法に関するアドバイスが提供されます。
• 証明書のローテーション・プロセスに影響を及ぼす可能性のある要因
  
• すべての証明書のローテーション
  Oracle Key Vault管理コンソールを使用して、証明書をローテーションできます。
• 証明書のローテーション・ステータスの確認
  Oracle Key Vault管理コンソールを使用して、証明書のローテーションのステータスをチェックできます。

16.1.1 証明書のローテーションについて

証明書ローテーション・プロセスは、Oracle Key Vaultサーバー内のすべての証明書を取得します。この操作では、コンソール証明書はローテーションされません。

Oracle Key Vault内の証明書は730日間続きます。証明書(サーバー証明書とエンドポイント証明書の両方)をローテーションしない場合、証明書を使用するエンドポイントはOracle Key Vaultサーバーに接続できません。この場合、エンドポイントを再エンロールする必要があります。このシナリオを回避するには、730日の制限が切れる前に証明書をローテーションするよう警告するアラートを構成できます。ローテーション・プロセスは、1回の操作ですべての証明書のローテーションを処理します。Oracle Key Vaultサーバー証明書の有効期限が切れるまでの時間は、Oracle Key Vault管理コンソールの「Configure Alerts」ページで「OKV Server Certificate Expiration」設定を選択して確認できます。エンドポイントの証明書の有効期限を確認するには、「Endpoints」ページに移動して、「Certificate Expires」フィールドを確認する必要があります。

スタンドアロン環境に加えて、プライマリ/スタンバイ環境およびマルチマスター・クラスタ環境でも証明書をローテーションできます。いずれの場合も、Oracle Key Vaultにより、プライマリ/スタンバイ構成でも、マルチマスター・クラスタ構成のすべてのノードでも、両方のシステムの証明書が自動的に同期されます。追加の構成を実行する必要はありません。

16.1.2 証明書のローテーションの管理に関するアドバイス

Oracle Key Vaultでは、証明書をローテーションする最適な方法に関するアドバイスが提供されます。

• ノードの追加中に証明書のローテーションを開始しないでください。
• 証明書のローテーション中にノード操作(ノードの追加や無効化など)を試行しないでください。
• クラスタ内のすべてのノードがアクティブでないかぎり、証明書のローテーションは開始できません。「Cluster Monitoring」ページをチェックして、ノードがアクティブかどうかを確認できます。(「Cluster」タブをクリックし、左側のナビゲーション・バーから「Monitoring」を選択します。)
• プライマリ/スタンバイ構成では、プライマリ・データベースが読取り専用制限モードになっている場合、証明書のローテーションは実行しないでください。構成内の両方のサーバーがアクティブで、互いに同期されている場合にのみ、証明書のローテーションを開始します。
• 以前のリリースからアップグレードされたシステムで証明書のローテーションを実行している場合は、エンドポイントも必ずアップグレードします。ソフトウェアがアップグレードされていないエンドポイントは、更新された資格証明を受信しません。
• バックアップ操作またはリストア操作の進行中は、証明書のローテーションを実行できません。
• 証明書のローテーションを実行する前に、Oracle Key Vaultシステムをバックアップします。
• 証明書のローテーション・プロセスをすべて完了するには、エンロール済状態以外のすべてのエンドポイントを削除して再エンロールする必要があります。エンドポイントが不要な場合は単に削除してください。

16.1.3 証明書のローテーション・プロセスに影響を及ぼす可能性のある要因

• 各クラスタ・ノードは、エンドポイントの小さなグループの証明書のみを生成します。これらのエンドポイントは、作成者ノード(証明書が生成されるノード)のエンドポイントです。(エンドポイントの作成者ノードは、Oracle Key Vault管理コンソールの「Endpoints」ページに移動して、各エンドポイントの作成者ノードを探せば見つかります。)Oracle Key Vaultリリース12.2からアップグレードする前にすべてのエンドポイントを作成した場合は、すべてのエンドポイントが1つの単一クラスタ・ノードに関連付けられている可能性があります。その場合、様々なクラスタ・ノードにエンドポイントが作成された場合よりも、ローテーション・プロセスが遅くなる場合があります。
• ローテーション・プロセス中、Oracle Key Vaultでは、クラスタの各ノードのエンドポイントが、同時にローテーション状態にできるエンドポイントの最大数が設定されたバッチでローテーションされます。サーバーが別のエンドポイントの処理に移る前に、ローテーションされたエンドポイントの少なくとも1つが新しい証明書を受け取り、受信の確認応答をする必要があります(サーバーとの通信が少なくとも2回必要です)。すべてのエンドポイントが単一のOracle Key Vaultクラスタ・ノード上に作成されているとみなされる場合、クラスタ全体で一度に数件のエンドポイントをローテーションするようにローテーション・プロセスが機能低下する場合があります。
• 新しい証明書を受信するには、エンドポイントの証明書が生成されたノード(作成者ノード)にエンドポイントがアクセスできる必要があります。マルチマスター・クラスタ構成では、エンドポイントがOracle Key Vaultに接続しようとするたびに、次の処理が実行されます。
  • 最初に、サーバーIPのリストを構成ファイル(okvclient.ora)から取得します。
  • 次に、エンドポイントの作成者ノードが属するクラスタ・サブグループ内からランダムに1つを取得します。

    エンドポイントはランダムにOracle Key Vaultクラスタ・ノードにアクセスするので、自分の作成者ノードにアクセスできるとはかぎりません。つまり、エンドポイントに証明書がローテーションされたとOracle Key Vault管理コンソールに表示されて、エンドポイントがOracle Key Vaultクラスタにアクセスを繰り返し試行しても、かなりの期間、新しい証明書をエンドポイントが受信しない場合があります。エンドポイントは、少なくとも1つのオブジェクトがOracle Key Vaultサーバーにアップロードされている場合にのみ更新を正常に受信できます。エンドポイントにオブジェクトがあるかどうかは、okvutil listコマンドを実行することで確認できます。

• ネットワークやその他の問題が原因で、特定のエンドポイントがローテーションされた証明書を受信しないか、一時停止状態になる場合、エンドポイントを再エンロールするか、エンドポイントを削除することをお薦めします。そうすれば、証明書のローテーション・プロセスを続行して完了できます。現在の証明書ローテーションのステータスを確認するには、「Endpoints」ページに移動して、「Common Name of Certificate Issuer」を参照してください。

16.1.4 すべての証明書のローテーション

Oracle Key Vault管理コンソールを使用して、証明書をローテーションできます。

証明書のローテーションを開始する前に、すべてのマルチマスター・クラスタ・ノードのリカバリ・パスフレーズが同じであることを確認してください。

1. Oracle Key Vaultをバックアップします。
2. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。一度に1つのノードからローテーションを開始することをお薦めします。一度に異なるノードで複数のローテーションを実行しないでください。
3. 「System」タブを選択します。
4. 「Manage Server Certificate」を選択します。
5. 「Manage Server Certificate」ページで、「Generate System Certificate」をクリックします。
6. 確認ダイアログ・ボックスで、「OK」を選択します。
   これにより、新しいCA証明書が作成されますが、有効にはなりません。この段階で、エンドポイントはまだ、古い資格証明を使用して以前の証明書を使用して接続できます。「Old Certificate」領域には、現在アクティブなCAの詳細が表示されます。「New Certificate」領域には、証明書がローテーションされたことが示され、共通名が表示されます。ローテーション・プロセスを取り消す場合は、「Abort」をクリックしてプロセスを取り消し、生成された新しいCAディレクトリをクリーン・アップします。
   マルチマスター・クラスタ環境では、次のようにします。

   • 証明書のローテーション・プロセスが開始されると、ローテーションを開始したノードに、生成された新しい証明書の詳細が表示されます。数分後、他のすべてのノードで「Manage Server Certificate」ページをリフレッシュすると、このページには、新しい証明書がそのノードに伝播されているというメッセージが表示されます。
   • 証明書は、すべてのノードに伝播されますが、アクティブになっていません。クラスタ内のノード数によっては、伝播プロセスの完了に時間がかかる場合があります。
   • 証明書のローテーションは、1) クラスタ内のすべてのノードが証明書を受信し、2) 各ノードが証明書を受信したことを他のノードに通知した時点までにかぎり、取り消すことができます。この時点で、「Abort」ボタンは表示されなくなり、「Activate Certificate」のみが表示されたままになります。証明書アクティブ化プロセスは、クラスタ内のすべてのノードで「Abort」ボタンが表示されなくなった場合にのみ実行できます。
   • ステータスに変更があった場合に備えて、Manage Server Certificateページを定期的にリフレッシュします。たとえば、「Abort」ボタンが表示されなくなり、「Activate Certificate」ボタンが表示されていることを確認する場合に、このページをリフレッシュします。このページにアクセスするには、Systemタブを選択し、左側のメニューからManage Server Certificateを選択します。
7. 「Activate Certificate」ボタンが表示されて使用可能になったら、クリックします。
   「Activate Certificate」をクリックすると、新しいOracle Key Vault CAの使用が始まります。完了すると、エンドポイントは新旧いずれかのOracle Key Vault CAを使用してOracle Key Vaultサーバーに接続できます。このプロセスの完了には数分かかる場合があります。「Activate Certificate」をクリックした後、ローテーション・プロセスを取り消すことはできません。
   マルチマスター・クラスタ環境では、「Activate Certificate」によってクラスタ内のすべてのノードに証明書が適用されます。証明書アクティブ化プロセスは、クラスタ内のすべてのノードで「Abort」ボタンが表示されなくなった場合にのみ実行できます。残りのノードが更新されるまでに数分かかります。必ず、あるノードのみで「Activate Certificate」をクリックしてから、その他のノードで「Manage Server Certificates」ページをリフレッシュします。画面がリフレッシュされるまで数分間待機します。(1つのノードで「Activate Certificate」をクリックすれば十分で、複数のノードでする必要はありません。)「Activate Certificate」をクリックしたノード以外のすべてのノードで、「Manage Server Certificates」ページでは、プロセスがそれらのノードで有効になり始めるまで数分間ステータスが変化しないことがあります。
8. 確認のダイアログ・ボックスで、「OK」をクリックします。
   エンドポイントの自動証明書更新が進行中であることを示すメッセージが表示されます。バックグラウンドで、Oracle Key Vaultはエンドポイントの証明書の再生成を一度に2、3個のエンドポイントに対して開始します(すべてのエンドポイントが一度に更新されることはありません)。エンドポイントの資格証明が更新されたかどうかを確認するには、「Check Endpoint Progress」ボタンをクリックします。「Endpoints」ページが表示されます。指定されたエンドポイントの「Common Name of Certificate Issuer」フィールドに古いCAの共通名が表示されている場合、新しい資格証明はまだ生成されていません。ただし、既存のエンドポイントに対して、フィールドに「Updating to Current Certificate Issuer」と表示されている場合、プロセスは開始しています。エンドポイントは、このステータスが変更されてから数分後に、更新された資格証明を取得できます。
   特定のエンドポイントに対して新しい資格証明が生成された後、エンドポイントが次にOracle Key Vaultサーバーに接続したときに、証明書の新しい資格証明がエンドポイントに送信されます。エンドポイントは、更新された資格証明をOracle Key Vaultサーバーから受け取った後、Oracle Key Vaultサーバーへの接続を試行して、サーバーが資格証明を正常に受信したことを通知する必要があります。「Cluster Monitoring」ページまたは「Cluster Management」ページを表示して、クラスタ間のレプリケーションのステータスを定期的に確認してください。(これらのページのいずれかにアクセスするには、「Cluster」タブをクリックし、左側のナビゲーション・バーで「Management」または「Monitoring」を選択します。)エンドポイントが資格証明を正常に受信すると、「Endpoints」ページのそのエンドポイントの「Common Name of Certificate Issuer」フィールドの値に、新しいOracle Key Vault CA証明書の共通名が反映されます。
9. 以前にOracle Key Vault RESTfulサービス・ソフトウェア・ユーティリティ(okvrestservices.jar)をダウンロードした場合は、RESTfulサービス・ユーティリティを引き続き使用できるように、再度ダウンロードします。

   KMIP RESTを使用している場合は、okvclient.oraを含むokvutilエンドポイントが更新を受信しているため、このステップを実行する必要はありません。

すべてのエンドポイントが新しいCAを使用するように更新された後、Oracle Key Vaultサーバーは、自身のサーバー証明書をバックグラウンドで完全にローテーションするプロセスを開始します。このプロセスは、「Manage Server Certificate」ページに2つの証明書が表示されなくなり、新しいCA証明書を反映する証明書が1つのみ表示されたときに完了したとみなされます。「System Settings」ページの「OKV Server Expiration Date」フィールドには、新しいCA証明書の有効期限も反映されます。マルチマスター・クラスタ環境では、すべてのノードで証明書のローテーション・プロセスが完了した後にのみ、別の証明書のローテーションを開始できます。

ローテーションが完了したら、次に新しい証明書をローテーションする必要があるときのためにアラートを構成する必要があります。アラートを構成するには、「Configure Alerts」ページで、「OKV Server Certificate Expiration」の後にあるチェック・ボックスを選択します。

16.1.5 証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、証明書のローテーションのステータスをチェックできます。

「Manage Server Certificates」ページを確認する必要もあります。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。
3. 「Endpoints」を選択します。
   「Endpoints」ページで、証明書のローテーション・プロセスのステータス(「Endpoints」ページの「Updating to current certificate issuer」)を確認できます。完了すると、新しいOracle Key Vault CAの共通名が表示されます。
   エンドポイントの証明書のローテーションにエラーがある場合は、エンドポイントを再エンロールすることをお薦めします。

16.2 コンソール証明書の管理

Oracle Key Vault管理コンソールを使用して、コンソールの証明書を管理できます。

• コンソール証明書の管理について
  Oracle Key Vaultでは、よりセキュアな接続を確保するために認証局(CA)によって署名された証明書をインストールできます。
• ステップ1: 証明書リクエストのダウンロード
  コンソール証明書をリクエストするときに、警告メッセージを抑止できます。
• ステップ2: 証明書の署名
  Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。
• ステップ3: 署名付き証明書のOracle Key Vaultへのアップロード
  署名付き証明書のアップロードに加えて、必要に応じて証明書の非アクティブ化と再アクティブ化を選択できます。
• 特別なユースケース・シナリオでのコンソール証明書
  状況によっては、コンソール証明書を使用する際に追加のステップを実行する必要があります。

16.2.1 コンソール証明書の管理について

Oracle Key Vaultでは、よりセキュアな接続を確保するために認証局(CA)によって署名された証明書をインストールできます。

ユーザーのアイデンティティの証明、通信チャネルの暗号化、およびOracle Key Vaultシステム全体の交換対象データの保護を目的として、サード・パーティのCAが署名した証明書をOracle Key Vaultにアップロードできます。

コンソール証明書をインストールするには、証明書リクエストを生成し、CAによる署名を取得して、署名付き証明書をOracle Key Vaultにアップロードしなおす必要があります。

16.2.2 ステップ1: 証明書リクエストのダウンロード

コンソール証明書をリクエストするときに、警告メッセージを抑止できます。

これらの警告メッセージは、ブラウザで、サーバー証明書の属性とOracle Key Vault管理コンソールへのログイン・セッションの属性の間に不一致が検出された場合に表示されます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックし、「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを表示します。
3. 右上にある「Generate Certificate Request」をクリックして、「Generate Certificate Request」ページを表示します。

   
   図screenshot-14.4.1-step-2.pngの説明

4. 「Common Name」の横に表示されるOracle Key Vaultサーバーのホスト名を変更する必要がある場合は、「Change」をクリックします。
   「System Settings」ページが表示されます。「Network」ページでホスト名を変更します。
5. サーバーIPアドレスの変更に関するブラウザ警告の表示を抑止する場合は、「Suppress warnings for IP based URL access」というテキストの左側にあるチェック・ボックスを選択します。
6. アスタリスクが付いた必須フィールド(「Organization Name」および「Country/Region」)に値を入力します。
   エラーなく続行するには、これらのフィールドには値を入力する必要があります。必要に応じて、残りのオプション・フィールドに値を入力します。
7. 右上にある「Submit and Download」をクリックします。
   ディレクトリ・ウィンドウが表示され、certificate.csrファイルを保存できます。ディレクトリを選択し、セキュアな場所にファイルを保存します。

16.2.3 ステップ2: 証明書の署名

Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。

証明書に署名を受けるには、バンド外の方式を使用して、選択したCAの署名を取得できます。

その後、管理コンソールを使用して、署名付き証明書をOracle Key Vaultにアップロードしなおすことができます。

16.2.4 ステップ3: Oracle Key Vaultへの署名付き証明書のアップロード

署名付き証明書のアップロードに加えて、オプションで証明書の非アクティブ化および再アクティブ化を選択できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックし、左側の「System」メニュー内の「Console Certificate」をクリックして、「Console Certificate」ページを表示します。
3. 右上にある「Upload Certificate」をクリックして、「Upload Certificate」ページを表示します。
4. 「Choose File」をクリックして、ローカル・システム上のディレクトリ・ウィンドウを表示します。
5. 署名付き証明書が格納されているディレクトリにナビゲートし、それを選択します。終了したら、「Choose File」というテキストの右側にファイル名が表示されます。
   証明書を選択すると、「Choose File」の右側にファイル名が表示されます。
6. 「Upload」をクリックします。
   証明書がエラーなくインストールされると、その詳細が「Console Certificate」のすぐ下の新しい「Uploaded Certificate Details」パネルに表示されます。

この段階では、必要に応じて、「Uploaded Certificate Details」セクションの右上にある「Deactivate」をクリックして、証明書を非アクティブ化できます。証明書を非アクティブ化すると、「Deactivate」ボタンが「Apply Certificate」ボタンに置き換わります。このボタンをクリックすると、証明書を再アクティブ化できます。

16.2.5 特殊なユース・ケース・シナリオのコンソール証明書

状況によっては、コンソール証明書を使用する際に追加のステップを実行する必要があります。

• プライマリ・スタンバイ環境: プライマリ・スタンバイ構成でコンソール証明書を使用する場合は、最初にプライマリ・サーバーおよびスタンバイ・サーバーに証明書をインストールし、次に、それらをペアにする必要があります。

• RESTfulサービス: コンソール証明書をインストールする場合は、新しい証明書を使用する前に、RESTfulソフトウェア・ユーティリティを再度ダウンロードする必要があります。

• バックアップからリストアされたデータ: コンソール証明書をインストールしてバックアップを実行し、その後、そのバックアップから別のOracle Key Vaultアプライアンスをリストアした場合は、コンソール証明書を使用する前に、新しいサーバーにコンソール証明書を再インストールする必要があります。リストア・プロセスではコンソール証明書はコピーされません。