B SSLキーストアの生成

makebootconfigまたはsecurityconfigによって自動的に生成されるキーストア(store.keysおよびstore.trust)は、サイズが2048のRSA秘密鍵と、365日の有効期間を持つ関連証明書を使用しています。また、次のkeytool (Java組込みキーおよび証明書管理ツール)コマンドを使用して、様々なキー・アルゴリズム、サイズ、妥当性またはその他の特性を持つように手動で作成することもできます。

キー・ペアを生成するには、keytool -genkeypairコマンドを使用します。

keytool -genkeypair \
-keystore store.keys \
-storepass <passwd> \
-keypass <passwd> \
-alias shared \
-dname "CN=NoSQL" \
-keyAlg RSA \
-keysize 1024 \
-validity 365 

キー・ペアをエクスポートするには、keytool -exportコマンドを使用します。

keytool -export \
-file <temp file> \
-keystore store.keys \
-storepass <passwd> \
-alias shared 

キー・ペアをインポートするには、keytool -importコマンドを使用します。

keytool -import \
-file <temp file> \
-keystore store.keys \
-storepass <passwd>
-noprompt 

また、次のルールに従うことで、前述したkeytoolコマンドを使用して他のキーストアおよびトラストストアのキーを手動生成し、Oracle NoSQL Databaseが生成するキーの代用にできます。

• store.keysファイルには、別名"shared"を持つキー・ペアが必要です。

• store.keysストア・パスワード(-storepass)はキー・パスワード(-keypass)と一致する必要があり、セキュリティ構成ディレクトリがmakebootconfigまたはsecurityconfigを使用して作成されるときに、(-kspwd)で指定されたパスワードと同じである必要があります。

• 自己署名証明書についてCN=NoSQL以外のサブジェクト識別名が選択された場合、makebootconfigまたはsecurityconfigコマンドに次のオプションを指定する必要があります。

  -param "ha:serverIdentityAllowed=dnmatch(SOMEDN)"
  -param "ha:clientIdentityAllowed=dnmatch(SOMEDN)"
  -param "internal:serverIdentityAllowed=dnmatch(SOMEDN)"
  -param "internal:clientIdentityAllowed=dnmatch(SOMEDN)"
  -param "client:serverIdentityAllowed=dnmatch(SOMEDN)" 

  ここで、SOMEDNは選択した識別名(-dname)です。

• store.trustのストア・パスワードは、store.keysのストア・パスワードと一致する必要があります。

前述のコマンドでキーストア(store.keysおよびstore.trust)を作成した後、makebootconfigまたはsecurityconfigユーティリティによって作成されたセキュリティ構成ディレクトリ内の古いキーストアを置き換えます。