17 サービス証明書の管理

この章では、Oracle Key Vaultで生成された証明書について説明しており、自己署名証明書およびサード・パーティの証明書を管理する方法を学習できます。

• Oracle Key Vault証明書の概要
  Oracle Key Vaultは、エンドポイント認証、サーバー認証、TLSプロトコルを使用した通信チャネルの保護など、様々な目的で証明書を使用します。
• 証明書の有効期間
  セキュリティ、コンプライアンスおよび運用上の要件を満たすように、Oracle Key Vault証明書の有効期間を設定できます。
• 証明書の有効期限の監視
  アラートを事前に設定し、Oracle Key Vault証明書の失効日を監視して、期限切れになる前にローテーションします。
• CA証明書のローテーションの管理
  Oracle Key Vault管理コンソールを使用して、CA証明書をローテーションできます。新しいCA証明書は、自己署名ルートCA証明書または中間CA証明書になります。
• サーバー証明書およびノード証明書のローテーションの管理
  Oracle Key Vault管理コンソールを使用して、サーバー証明書またはノード証明書をローテーションします。

17.1 Oracle Key Vault証明書の概要

Oracle Key Vaultは、エンドポイント認証、サーバー認証、TLSプロトコルを使用した通信チャネルの保護など、様々な目的で証明書を使用します。

TLSプロトコルは、Oracle Key Vaultサーバーまたはノードとエンドポイントの間の通信を保護します。TLSプロトコルでは、クラスタ・デプロイメントのOracle Key Vaultノード間またはプライマリ/スタンバイ・デプロイメントのOracle Key Vaultサーバー間のバック・チャネル通信も保護されます。エンドポイントおよびOracle Key Vaultサーバーまたはクラスタ・ノードによって使用されるTLS証明書は、そのCA証明書を使用してOracle Key Vault自体によって発行されます。Oracle Key VaultのCA証明書は、自己署名ルートCAまたは中間CAになります。

Oracle Key Vaultは、TLS証明書を生成しますが、中間CA証明書は例外です。

CA証明書

CA証明書は、Oracle Key Vaultがエンドポイント証明書およびサーバー証明書またはノード証明書の発行に使用する、自己署名ルートCAまたは中間CA証明書です。自己署名ルートCA証明書は、Oracle Key Vaultのインストール時に生成されます。ユーザーは、これをインストール後またはアップグレード後の組織独自の内部CAまたはサードパーティCAのによって署名された中間CA証明書に置き換えることができます。CA証明書は、マルチマスター・クラスタ・デプロイメントのすべてのノードと、プライマリ/スタンバイ・デプロイメントのプライマリ・サーバーとスタンバイ・サーバーの両方で同じです。CA証明書はコンソール証明書とは異なります。

期限切れになる前にCA証明書をローテーションしないと、どのエンドポイントもOracle Key VaultサーバーやOracle Key Vaultクラスタのノードと通信できず、すべてのエンドポイントで停止時間が発生します。クラスタ・デプロイメントでは、どのOracle Key Vaultノードも相互に通信できず、プライマリ/スタンバイの場合は、プライマリ・サーバーとスタンバイ・サーバー間の通信で障害が発生します。

ノート:

エンドポイントの停止を防ぐために、期限切れになる前にCA証明書をローテーションする必要があります。CA証明書の有効期限の数週間前にCA証明書のローテーションを開始して、Oracle Key Vaultデプロイメントおよびエンドポイントの停止を防止します。

CA証明書をローテーションすると、サーバー証明書またはノード証明書およびエンドポイント証明書もローテーションされます。

サーバーおよびノードの証明書

サーバー証明書またはノード証明書は、Oracle Key Vaultサーバーまたはクラスタ・ノードのTLS証明書です。スタンドアロンまたはプライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultはサーバー証明書を使用してエンドポイントと通信します。Oracle Key Vaultのマルチマスター・デプロイメントでは、各クラスタ・ノードに独自のノード証明書があります。Oracle Key Vaultクラスタ・ノードは、ノード証明書を使用して相互に、およびエンドポイントと通信します。

これらの証明書は、スタンドアロンおよびプライマリ/スタンバイ・システムではサーバー証明書と呼ばれ、マルチマスター・クラスタ構成ではノード証明書と呼ばれます。Oracle Key Vault CA証明書は、これらの証明書の発行に使用されます。

サーバー証明書およびノード証明書のローテーションの管理の項の説明に従って、期限切れになる前にサーバー証明書またはノード証明書をローテーションします。CA証明書およびエンドポイント証明書は、サーバー証明書またはノード証明書のローテーション時にローテーションされません。

ノート:

マルチマスター・クラスタ・デプロイメントでのノード証明書のローテーションは、ノードごとの操作です。

サーバー証明書が期限切れになる前にスタンドアロン・デプロイメントでローテーションされない場合、どのエンドポイントもOracle Key Vaultサーバーと通信できず、すべてのエンドポイントで停止時間が発生します。期限切れになる前にプライマリ/スタンバイ・デプロイメントでサーバー証明書をローテーションしないと、どのエンドポイントもプライマリ・サーバーと通信できず、すべてのエンドポイントで停止時間が発生します。

期限切れになる前にクラスタ・デプロイメントでノード証明書をローテーションしない場合、エンドポイントは、キーの取得などのエンドポイント操作に他のノードを使用します。ただし、ノード間通信は影響を受け、新しいエンドポイントの作成や新しいウォレットの作成などの操作に影響します。

ノート:

クラスタ・デプロイメント内のすべてのノード証明書が期限切れの場合、エンドポイントはマルチマスター・クラスタ内のどのノードとも通信できません。

エンドポイント証明書

各エンドポイントには、Oracle Key Vaultでエンドポイントを認証するために使用される一意のエンドポイントTLS証明書が発行されます。Oracle Key Vault認証局(CA)証明書は、エンドポイント証明書の発行に使用されます。エンドポイント証明書をローテーションするために、エンドポイントを再エンロールできます。CA証明書、サーバー証明書またはノード証明書は、エンドポイント証明書のローテーション時にローテーションされません。

期限切れ前にエンドポイント証明書がローテーションされていない場合、エンドポイント証明書を使用するエンドポイントで停止時間が発生します。

エンドポイント証明書をローテーションするには、エンドポイントを再エンロールします。

17.2 証明書の有効期間

セキュリティ、コンプライアンスおよび運用上の要件を満たすように、Oracle Key Vault証明書の有効期間を設定できます。

• 証明書の有効期間について
  コンプライアンスおよびセキュリティのベスト・プラクティスでは、証明書の目的と使用に応じて、証明書の有効性の要件が異なります。
• 自己署名ルートCA証明書の有効期間の設定
  Oracle Key Vault管理コンソールから、自己署名ルート認証局(CA)証明書の有効期間を構成できます。
• サーバー証明書およびノード証明書の証明書有効期間の構成
  サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。
• エンドポイント証明書の証明書有効期間の構成について
  エンドポイント証明書の有効期間は、グローバル・エンドポイント構成パラメータで設定できます。

17.2.1 証明書の有効期間について

コンプライアンスおよびセキュリティのベスト・プラクティスでは、証明書の目的と使用に応じて、証明書の有効性の要件が異なります。

簡潔にするために、自己署名ルートCA証明書を含む3つの証明書はすべて、Oracle Key Vaultリリース・バージョン21.3までまとめてローテーションされます。ただし、サーバー証明書またはノード証明書、エンドポイント証明書、およびCA証明書の有効期間は異なる場合があります。一般に、エンドポイント証明書およびサーバー証明書またはノード証明書の有効期間の要件は、CA証明書の有効期間の要件とは異なります。自己署名付きルートCA、サーバー証明書またはノード証明書、およびエンドポイント証明書の有効期間は、それぞれ異なる値で構成できます。CA証明書のローテーションとは関係なく、サーバー証明書またはノード証明書をローテーションできます。

Oracle Key VaultのTLS証明書の有効期間のデフォルトと範囲を次に示します。

表17-1

証明書	デフォルトの有効性(製品提供時)	最小の有効性	最大の有効性
自己署名ルートCA	1095日(3年)	365日(1年)	3650日(10年)
中間CA	署名CAにより定義	署名CAにより定義	署名CAにより定義
サーバー/ノード証明書	365日(1年)	365日(1年)	1095日(3年)
エンドポイント証明書	365日(1年)	365日(1年)	1095日(3年)

証明書の有効期限によって、証明書の有効期限が自動的に決定されます。期限切れになる前に証明書をローテーションします。

要件を満たすように、証明書のタイプごとに異なる有効期間を設定できます。

証明書の有効期間を設定しても、既存の証明書の有効期間には影響しません。構成された有効期間は、証明書のローテーション中、あるいは新しいエンドポイントまたはクラスタ・ノードの設定時に、新しい証明書が生成されると有効になります。

CA署名機関は、中間CA証明書の有効期間を設定します。

ノート:

簡素化するために、Oracle Key Vaultリリース21.3まで、自己署名ルートCA証明書、サーバーまたはノード証明書およびエンドポイント証明書の3つのタイプの証明書はすべて、証明書の有効期間が同じです。サーバーまたはノード証明書は、CA証明書のローテーションと関係なくローテーションすることはできません。

17.2.2 自己署名ルートCA証明書の有効期間の設定

Oracle Key Vault管理コンソールから、自己署名ルート認証局(CA)証明書の有効期間を構成できます。

CA証明書の有効期間によって、CA証明書の終了日が制御されます。CA証明書の終了日は、発行時のサーバー証明書、ノード証明書およびエンドポイント証明書の有効期間の上限として機能します。

自己署名ルートCA証明書の有効性を設定しても有効になりません。つまり、使用に切り替えてください。CA証明書のローテーションで説明されているように、設定された有効期間を使用して新しい自己署名ルートCAを生成して有効にするには、CA証明書をローテーションする必要があります。

自己署名ルートCAの有効期間を設定する手順:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションを選択します。「Self-Signed Root CA」オプションがデフォルトで選択されます。
6. 「Self-Signed Root CA Certificate Validity (in days)」フィールドに有効性の値を設定します。デフォルトは1095日(3年)です。有効期間は最大で3650日(10年)、最小で365日(1年)に設定できます。
7. 「Save」をクリックします。
   
   図214_setting_validity_ca_certificate_details.pngの説明

17.2.3 サーバー証明書およびノード証明書の証明書有効期間の構成

サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。

証明書有効期間は、次にサーバー証明書およびノード証明書をローテーションしたときに有効になります。これは、CA証明書のローテーションの一部としてサーバー証明書またはノード証明書を生成するか、クラスタに新しいノードを追加しても、新規ノードのノード証明書に対して考慮されます。サーバーまたはノードの証明書の有効性の設定値に関係なく、証明書が最終的に生成されると、その失効日は必ずCA証明書の失効日よりも前になります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. 環境に応じて、次を実行します。
   • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
   • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
5. 「Server Certificate Validity (in days)」フィールドまたは「Node Certificate Validity (in days)」フィールドで、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
6. 「Save」をクリックします。

17.2.4 エンドポイント証明書の証明書有効期間の構成について

エンドポイント証明書の有効期間は、グローバル・エンドポイント構成パラメータで設定できます。

デフォルト値は365日(1年)です。有効期間は最大で1095日(3年)、最小で365日(1年)に設定できます。

証明書の有効期間は、次回エンドポイントを再エンロールするとき、または新しいエンドポイントが追加されたときに有効になります。エンドポイント証明書の有効性の設定値に関係なく、エンドポイントが最終的にローテーションされると、エンドポイント証明書の失効日は必ずCA証明書の失効日よりも前になります。

17.3 証明書の有効期限の監視

アラートを事前に設定し、Oracle Key Vault証明書の失効日を監視して、期限切れになる前にローテーションします。

• 証明書の有効期限アラートを使用した証明書の有効期限の監視
  有効期限アラートをリマインダとして設定し、有効期限より前に証明書をローテーションします。
• ステータス・ページのサーバー証明書の有効期限
  「Status」ページから、「Server Certificate Expiration Date」(最初に有効期限が切れるCA証明書、ノード証明書またはサーバー証明書の有効期限)を確認できます。
• CA証明書の有効期限の確認
  「Service Certificates」ページにナビゲートして、Oracle Key Vault CA証明書の有効期限が切れるまでの時間を確認できます。
• サーバー証明書およびノード証明書の有効期限の確認
  サーバー証明書およびノード証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。
• エンドポイント証明書の有効期限の確認
  エンドポイント証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

17.3.1 証明書の有効期限アラートを使用した証明書の有効期限の監視

有効期限アラートをリマインダとして設定し、有効期限より前に証明書をローテーションします。

証明書(特にCA証明書)の有効期限によって、エンドポイントおよびOracle Key Vaultの通信が切断され、エンドポイント操作が完全に停止する程度まで、1つ以上のエンドポイントの操作に影響が及ぼされます。さらに、Oracle Key Vaultマルチマスター・クラスタ・ノード間のアップグレードおよび通信が失敗することがあります。有効期限前に、十分余裕を持って証明書を適切にローテーションしてください。

このシナリオを回避するために、証明書有効期間が終了する前に証明書をローテーションするリマインダとしてアラートを構成することをお薦めします。エンドポイント証明書用のアラートと、CA証明書およびサーバー証明書またはノード証明書用の別のアラートがあります。

Oracle Key Vault管理コンソールを使用して、CA証明書、サーバー証明書またはノード証明書およびエンドポイント証明書の証明書有効期限を確認できます。

ノート:

アラートで示された証明書をローテーションして、証明書の有効期限アラートに迅速に対処する必要があります。デプロイメントによっては(特にOracle Key Vault CA証明書のローテーションでは)、非常に長い時間がかかる場合があります(数日間ほど)。CA証明書の有効期限が切れる前にCA証明書ローテーション・プロセスを開始し、停止を回避します。

17.3.2 ステータス・ページのサーバー証明書の有効期限

「Status」ページから、「Server Certificate Expiration Date」(最初に有効期限が切れるCA証明書、ノード証明書またはサーバー証明書の有効期限)を確認できます。

「System Status」ページの「Server Certificate Expiration Date」フィールドには、CA証明書の有効期限、またはサーバー/ノード証明書の有効期限のうち、最も早いものが反映されます。「System Status」ページの「Server Certificate Expiring In」には、最初に有効期限が切れるCA証明書、サーバー証明書、ノード証明書のいずれかの、失効までの日数が表示されます。

「System Status」ページにナビゲートするには、「System」タブを選択します。

1. システム管理者としてOracle Key Vault管理コンソールにログインします。

   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。

2. 「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
3. 「Server Certificate Expiration Date」フィールドを確認します。
4. 「Server Certificate Expiring in」フィールドを確認します。

図214_ca_certificate_details_status_page.pngの説明

CA証明書、ノード証明書またはサーバー証明書のいずれかがアラートのしきい値の期間内である場合、サーバー証明書の有効期限のアラートが生成されます。SNMPを介してサーバー証明書の有効期限を監視することもできます。

17.3.3 CA証明書の有効期限の確認

「Service Certificates」ページにナビゲートして、Oracle Key Vault CA証明書の有効期限が切れるまでの時間を確認できます。

1. システム管理者としてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. 「Current CA Certificate」領域で、「End Date」設定をチェックして、CA証明書が失効する時期を確認します。
   「Expiring In」設定では、CA証明書の有効期限が切れるまでの日数も表示されます。

   
   
   図214_ca_certificate_and_node_certificate.pngの説明
   

17.3.4 サーバー証明書およびノード証明書の有効期限の確認

サーバー証明書およびノード証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

次のステップを実行して、クラスタ内のすべてのノード証明書の有効期限の終了日時を確認します。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. スタンドアロンまたはプライマリ/スタンバイ環境:
   • 「Current Server Certificate」で、「End Date」設定を確認して、サーバー証明書の有効期限が切れるタイミングを決定します。「Expiring In」設定では、サーバー証明書が失効するまでの日数も表示されます。
5. マルチマスター・クラスタ環境では、次のようにします。
   • 「Current Node Certificate」領域で、「Manage Node Certificate」を選択します。「Current Node Certificate」で、「End Date」設定を確認します。「Expiring In」設定では、ノード証明書が失効するまでの日数も表示されます。

   • 「Cluster Node Certificate Details」領域で、クラスタ内のすべてのノード証明書の終了日および失効時間を表示できます。

   
   図214_node_certificate_details.pngの説明

サーバー証明書またはノード証明書がまもなく期限切れになる場合は、できるだけ早く証明書をローテーションすることをお薦めします。

17.3.5 エンドポイント証明書の有効期限の確認

エンドポイント証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

エンドポイント証明書の有効期限を確認するには、「Endpoints」ページにナビゲートし、「Endpoint Certification Expiration」フィールドを確認します。

1. Oracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「Endpoints」タブを選択します。
3. 「Endpoints」表で、「Endpoint Certification Expiration」を確認します。

17.4 CA証明書のローテーションの管理

Oracle Key Vault管理コンソールを使用して、CA証明書をローテーションできます。新しいCA証明書は、自己署名ルートCA証明書または中間CA証明書になります。

• CA証明書のローテーションを管理するためのステップ
  システム管理者ロールを持つユーザーは、CA証明書ローテーションを実行できます。ユーザーは、新しい自己署名ルートCAまたは中間証明書を設定し、新しい証明書を使用できます。サーバー証明書またはノード証明書、およびエンドポイント証明書もこのプロセスの一部としてローテーションされます。
• 自己署名ルートCAまたは中間CA証明書の確認
  Oracle Key Vaultでは、自己署名ルートCA証明書と中間CA証明書のいずれかが使用されます。
• 自己署名ルートCA証明書の有効性の設定
  自己署名ルート認証局(CA)証明書の有効性の日数を設定できます。
• 中間CA証明書の設定
  Oracle Key Vault管理コンソールを使用して、中間CA証明書の証明書署名リクエストを生成し、信頼できるサード・パーティによって署名された中間CA証明書をアップロードします。
• CA証明書のローテーション
  Oracle Key Vault管理コンソールを使用して、CA証明書をローテーションし、自己署名ルートCA証明書または中間CA証明書のいずれかを有効にします。
• エンドポイント証明書のローテーションのバッチ・サイズの設定
  エンドポイント証明書のローテーションのバッチ・サイズの値は、CA証明書のローテーション・プロセス中に特定のOracle Key VaultサーバーまたはノードのROTATED状態に指定できるエンドポイントの数を表します。
• エンドポイント証明書のローテーション順序の設定
  マルチマスター・クラスタ環境では、認証局(CA)証明書をローテーションするときに、クラスタ・サブグループの順序付けによってエンドポイントをローテーションできる順序を幅広く設定します。
• 全体的な証明書のローテーション・ステータスの確認
  Oracle Key Vault管理コンソールを使用して、証明書のローテーションの全体的なステータスを確認します。
• エンドポイントの証明書のローテーション・ステータスの確認
  Oracle Key Vault管理コンソールを使用して、エンドポイントの証明書ローテーションのステータスを確認します。
• CA証明書のローテーション後のタスク
  CA証明書のローテーションが完了したら、ローテーション後のタスクを実行します。
• CA証明書のローテーション・プロセスに影響する要因
  クラスタ環境の認証局(CA)証明書のローテーション・プロセスに影響するこれらの要因を考慮してください。
• CA証明書のローテーションを管理するためのガイドライン
  認証局(CA)証明書を管理するための、これらのOracle Key Vaultガイドラインを考慮してください。

17.4.1 CA証明書のローテーションを管理するためのステップ

システム管理者ロールを持つユーザーは、CA証明書のローテーションを実行できます。ユーザーは、新しい自己署名ルートCAまたは中間証明書を設定し、新しい証明書を使用できます。サーバー証明書またはノード証明書、およびエンドポイント証明書もこのプロセスの一部としてローテーションされます。

システム管理者ロールを持つユーザーは、CA証明書のローテーションを実行できます。CA証明書のローテーション・プロセスには、次のステップが含まれます。

1. 自己署名ルートCA証明書の有効性を設定するか、中間CA証明書を設定します。
2. エンドポイント証明書のローテーションの制御を選択します。
3. CA証明書のローテーションを開始します。
   • Oracle Key Vaultで、新しい自己署名ルートCA証明書が生成されます。
   • 中間CA証明書の場合、前のステップで新しい中間CA証明書がアップロードされています。変更は行われません。
4. 新しいCA証明書をアクティブ化します。
5. 新しいCA証明書で発行されたエンドポイント証明書のローテーションの進行状況を監視します。
6. すべてのエンドポイント証明書をローテーションしたら、新しいCA証明書でサーバー証明書またはノード証明書が発行されます。
7. CA証明書のローテーション後のタスクを完了します。

CA証明書のローテーション・プロセスは、スタンドアロン環境、プライマリ/スタンバイ環境およびクラスタ環境で同じです。マルチマスター環境では、クラスタ・ノードの1つを選択して、CA証明書のローテーションを実行することをお薦めします。Oracle Key Vaultにより、プライマリ/スタンバイ構成でも、マルチマスター・クラスタ構成のすべてのノードでも、両方のシステムの証明書が自動的に同期されます。追加の構成を実行する必要はありません。

17.4.2 自己署名ルートCAまたは中間CA証明書の確認

Oracle Key Vaultでは、自己署名ルートCA証明書と中間CA証明書のいずれかが使用されます。

現在のOracle Key Vault CA証明書が自己署名ルートCAか中間CAかを確認するには、「Service Certificates」ページの「Common Name」フィールドおよび「Certificate Issuer」フィールドを確認します。これらが似ている場合(両方ともCAである場合や、OKV_CA_で始まる場合など)、現在のCA証明書は自己署名ルートCAです。そうでない場合、現在のCA証明書は中間CAです。また、中間CA証明書では、「Certificate Issuer」フィールドに、信頼できるサード・パーティの共通名が表示されます。

Oracle Key Vault管理コンソールで、現在のCA証明書の共通名および証明書発行者を確認します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. 「Current CA Certificate」領域で、「Common Name」および「Certificate Issuer」のフィールドを確認して比較します。

17.4.3 自己署名ルートCA証明書の有効性の設定

自己署名ルート認証局(CA)証明書の有効性の日数を設定できます。

CA証明書の有効期間は、サーバー証明書、ノード証明書およびエンドポイント証明書の有効期間の上限として機能します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションを選択します(デフォルトではこれが選択されています)。
6. 「Self-Signed Root CA Certificate Validity (in days)」フィールドに有効性の値を設定します。
   デフォルトは1095日(3年)です。最大で3650日(10年)を設定できます。
7. 「Save」をクリックします。

   CA証明書のローテーションの項に移動して、自己署名ルートCA証明書を生成して有効にします。

17.4.4 中間CA証明書の設定

Oracle Key Vault管理コンソールを使用して、中間CA証明書の証明書署名リクエストを生成し、信頼できるサード・パーティによって署名された中間CA証明書をアップロードします。

中間CA証明書をアップロードしても有効になりません。つまり、使用に切り替えてください。次のステップを実行して、CA証明書をローテーションし、アップロードした中間CA証明書を有効にします。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 「CA Certificate Details」で、「Intermediate CA」オプションを選択します。
6. 次のフィールドに、組織に関する情報を入力します。
   • Organization Name
   • Country/Region
   • Organization Unit
   • City
   • State/Province

   ノート:

   これらのフィールドでは空白は使用できません。
   
   図214_ca_intermediate_certificate.pngの説明
7. 「Generate Certificate Request」を選択します。
8. 生成に数分かかることを知らせるダイアログ・ボックスで、「OK」をクリックします。
9. Oracle Key Vaultによって証明書リクエストが生成されたら、「CA Certificate Details」領域で「Download Certificate Request」を選択して証明書リクエスト・ファイルをダウンロードします。

   証明書署名リクエスト・ファイルの名前は、次のとおりです。

   OKV_Intermediate_CA_Certificate.csr

   「Intermediate CA Certificate Signing Request Details」領域には、証明書署名リクエストの詳細が表示されます。

   この段階では、現在のCA証明書はOracle Key Vaultで依然として有効になっています。「Current Certificate」領域には、現在アクティブなCAの詳細が表示されます。中間CA証明書の設定を取り消す場合は、「Abort」をクリックします。

   
   図214_ca_download_certificate_request.pngの説明
10. ダウンロードした証明書署名リクエストを使用して、信頼できるサード・パーティが中間CA証明書を発行するようにします。
11. 中間CA証明書をアップロードします。「CA Certificate Details」領域で、「Intermediate CA Certificate」 の「Choose File」を選択して、中間CA証明書ファイルを探して選択し、「Upload」をクリックします。マルチマスター・クラスタ環境では、証明書署名リクエストがダウンロードされたのと同じノードで中間CA証明書をアップロードする必要があります。
    
    図214_upload_ca_intermediate_certificate.pngの説明
12. 中間CA証明書の信頼チェーンをアップロードします。「CA Certificate Details」領域で、「Certificate Chain of Trust」の「Choose File」を選択して、信頼チェーン・ファイルを探して選択し、「Upload」をクリックします。
    
    図214_upload_ca_intermediate_and_trust_chain_certificate.pngの説明

    信頼チェーン・ファイルは、中間証明書署名リクエスト、OKV_Intermediate_CA_Certificate.csrファイル、およびそのCAの信頼チェーン内のすべての証明書を逆順で署名するために外部署名機関によって使用されるCA証明書で構成されるPEMバンドルです。

    たとえば、OKV_Intermediate_CA_certificate.csrの署名に使用するCA証明書はCACertAです。CACertAは、CACertBによって発行されました。CACertBは、CACertCによって発行されました。アップロードする必要がある証明書信頼チェーン・ファイルは、PEMバンドル形式で、CACertA、CACertB、CACertCがこの順序で構成されている必要があります。

    マルチマスター・クラスタ環境では、中間CA証明書をアップロードしたのと同じノードで証明書信頼チェーンをアップロードする必要があります。

    アップロードの一部として、Oracle Key Vaultによって次の検証が実行されます。

    1. アップロードされた中間CAは、アップロードされた証明書信頼チェーンを使用して検証されます。
    2. 証明書信頼チェーンの深さは8以下です。

    アップロードが正常に完了すると、「Rotate CA Certificate」ボタンが表示されます。

    CA証明書のローテーションの項に移動して、自己署名ルートCA証明書を有効にします。

17.4.5 CA証明書のローテーション

Oracle Key Vault管理コンソールを使用して、CA証明書をローテーションし、自己署名ルートCA証明書または中間CA証明書のいずれかを有効にします。

証明書のローテーション・プロセスを開始する前に、Oracle Key Vaultをバックアップします。

CA証明書のローテーションによって、Oracle Key Vaultサーバー、ノードおよびエンドポイントの新しい証明書が発行されます。

これらのステップを実行して、Oracle Key Vault環境全体でCA証明書のローテーション・プロセスを完了します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。

   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

   マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。中間CA証明書を有効にする場合は、中間証明書がアップロードされたのと同じノードからCA証明書のローテーションを開始してください。

2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 自己署名ルートCA証明書を有効にする場合は、「CA Certificate Details」領域で「Self-Signed Root CA」オプションを選択します。
   必要に応じて、自己署名ルートCA証明書の有効性の設定の説明に従って、自己署名ルートCAの証明書の有効性の値を設定します
6. 中間CA証明書を有効にする場合は、中間CA証明書および証明書信頼チェーンを正常にアップロードします。「Rotate CA Certificate」ボタンが表示されるようになりました。

   「Rotate CA Certification」ボタンが表示されない場合は、中間CA証明書の設定の項の説明に従って中間CA証明書を設定します。

7. 「Rotate CA certificate」をクリックします。
8. 「Manage CA Certificate」ページで、エンドポイント証明書のローテーションの制御(バッチ・サイズおよびマルチマスター・クラスタ・デプロイメントでの順序)を設定できます。

   マルチマスター・クラスタ環境では、必要に応じて、エンドポイント証明書のローテーション順序の設定の説明に従って、エンドポイント証明書をローテーションする順序を選択します

   
   図214_endpoint_certiface_rotation_and_ca_certificate_controls.pngの説明

9. 「Manage CA Certificate」ページの「Current CA Certificate」領域で、「Start CA Certificate Rotation」を選択します。
10. 確認のダイアログ・ボックスで、「OK」をクリックします。

    自己署名ルートCA証明書を有効にすると、新しい自己署名ルートCA証明書が作成されます。マルチマスター・クラスタ環境では、Oracle Key Vaultによって、新しく作成された自己署名ルートCA証明書またはアップロードされた中間CA証明書が、クラスタのすべてのノードに配布されてインストールされます。プライマリ/スタンバイ環境では、Oracle Key Vaultによって、これらの証明書がスタンバイに配布されてインストールされます。スタンドアロン環境の場合、Oracle Key Vaultによって、単純に、有効にする証明書がインストールされます。

    この段階では、エンドポイントは、以前のCA証明書を使用して発行された証明書を引き続き使用します。「Old CA Certificate」領域には、現在アクティブなCAの詳細が表示されます。「New CA Certificate」領域には、ローテーションした証明書とその共通名が表示されます。

    ローテーション・プロセスを取り消す場合は、「Abort Rotation」をクリックします。

    
    図214_ca_certificate_rotation_started_waiting_activation_button.pngの説明

    マルチマスター・クラスタ環境では、次の点に注意してください。

    • 証明書のローテーション・プロセスの開始後に、CAのローテーションを開始したノードで、生成された新しい証明書の詳細が表示されます。他のすべてのノードで「Manage CA Certificate」ページをリフレッシュすると、新しい証明書がそのノードに伝播されたというメッセージがこのページに表示されます。
    • このページにアクセスするには、「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択し、「Service Certificates」を選択して、「Certificates」領域で「Manage CA Certificate」を選択します。
    • 証明書がすべてのノードに配布されました。伝播プロセスが完了するまでに数分かかります。
    • 証明書のローテーションは、次の時点の前に中断できます。
      • クラスタ内のすべてのノードが新しいCA証明書を受信しました。
      • 各ノードが、証明書を受信したことを他のノードに通知しました。

        「Abort」ボタンが表示されなくなり、「Activate Certificate」のみが表示されます。

    ローテーション・ステータスに変更があった場合に備えて、「Manage CA Certificate」ページを定期的にリフレッシュします。たとえば、ページをリフレッシュして、「Abort」ボタンが表示されなくなり、「Activate Certificate」ボタンが表示されるかどうかを確認します。

11. 「Manage CA Certificate」ウィンドウで、「Activate Certificate」ボタンが表示されて有効になったらクリックします。
12. 確認のダイアログ・ボックスで、「OK」をクリックします。

    「Activate Certificate」ボタンをクリックして確定し、新しいOracle Key Vault CA証明書を有効にするプロセスを開始します。このプロセスの完了には数分かかる可能性があり、完了すると次のメッセージが表示されます。

    Automatic certificate update of the endpoints is in progress.

    「Activate Certificate」をクリックした後、ローテーション・プロセスを取り消すことはできません。

    マルチマスター・クラスタ環境では、「Activate Certificate」によって、クラスタ内のすべてのノードで証明書が有効になります。ステップ11に示すように、「Activate Certificate」ボタンは、クラスタ内のすべてのノードで新しいCA証明書がインストールされて、すべてのノードの「Manage CA Certificate」ページに「Abort」ボタンが表示されない場合にのみ表示されます。

    必ず、1つのみのノードで「Activate Certificate」をクリックします。

    
    

    
    図214_ready_to_activate_ca_certificate.pngの説明

    
    

    「Activate Certificate」がすべてのノードに伝播するまでに数分かかるため、他のノードの「Manage Server Certificate」ページでステータスの変更が表示されないことがあります。次のメッセージが表示されるまで、他のノードの「Manage CA Certificate」ページをリフレッシュします。

    Automatic certificate update of the endpoints is in progress.

    これで新しいCA証明書がアクティブ化され、Oracle Key Vaultサーバーまたはノードが、新しいCA証明書によって署名された新しいエンドポイント証明書の発行を開始します。これで、新規または古いOracle Key Vault CAによって発行されたエンドポイント証明書を使用して、エンドポイントをOracle Key Vaultサーバーまたはノードに接続できるようになりました。バックグラウンドで、Oracle Key Vaultはエンドポイントの証明書の発行を一度に2、3個のエンドポイントに対して開始します。

    Oracle Key Vaultによって特定のエンドポイントの新しいエンドポイント証明書が生成されると、エンドポイントは、新しい証明書を生成したOracle Key Vaultサーバーまたはノードに次回接続したときに証明書を受信します。エンドポイントは、更新された証明書をOracle Key Vaultサーバーから受信した後で、エンドポイント証明書を正常に受信したことをサーバーに通知するために、再度Oracle Key Vaultサーバーに接続する必要があります。新しいCAによって発行された証明書がエンドポイントで使用される場合、「Endpoints」ページのそのエンドポイントの「Common Name of Certificate Issuer」フィールドの値に、新しいOracle Key Vault CA証明書の共通名が反映されます。

    ノート:

    「Cluster Monitoring」ページまたは「Cluster Management」ページを表示して、クラスタ間のレプリケーションのステータスを定期的に確認します。これらのページのいずれかにアクセスするには、「Cluster」タブをクリックし、左側のナビゲーション・バーで「Management」または「Monitoring」を選択します。
13. エンドポイントの資格証明が更新されたかどうかを確認するには、「Check Endpoint Progress」ボタンをクリックします。

    「Check Endpoint Progress」ボタンをクリックして、「Endpoints」ページを表示します。

    詳細は、エンドポイントの証明書のローテーション・ステータスの確認を参照してください

    
    

    
    図21.4_endpoint_certificate_issue_using_new_ca_certificate.pngの説明

    
    
14. CA証明書のローテーションを完了します。

    Oracle Key Vaultが新しいCA証明書を使用してすべてのエンドポイントに証明書を発行すると、Oracle Key Vaultサーバーは、スタンドアロンおよびプライマリ/スタンバイ環境のサーバー証明書とクラスタ環境のノード証明書をローテーションします。

    「Manage CA Certificate」ページに複数の証明書がリストされずに、新しいCA証明書のみがリストされる場合は、CA証明書のローテーション・プロセスが完了しています。マルチマスター・クラスタ環境では、ローテーションが完了しているかどうかを確認するには、各ノードに移動し、そのノードの「Manage CA Certificate」ページを確認します。「Current CA Certificate」および「Current Server Certificate」とともに「Manage CA Certificate」ページで「Start CA Certificate Rotation」ボタンが使用可能になっている場合は、CA証明書のローテーション・プロセスが完了しています。

    「Service Certificates」ページの「Manage CA certificate」ボタンをクリックすると、「CA Certificate Details」ページに移動し、自己署名ルートCAと中間CAのいずれかを選択できる場合は、CA証明書のローテーション・プロセスが完了しています。マルチマスター・クラスタ環境では、証明書のローテーションがクラスタのすべてのノードで完了したときに、CA証明書のローテーション・プロセスが完了します。

    すべてのサーバーまたはノードで証明書のローテーション・プロセスが完了した後にのみ、別の証明書のローテーションを開始できます。ローテーションが完了したら、次に新しい証明書をローテーションする必要があるときのためにアラートを構成します。

    ノート:

    CA証明書のローテーション・プロセスは完了までに数日かかる場合があります。Oracle Key Vaultおよびエンドポイントの停止時間を回避するために、CA証明書の有効期限より前にプロセスを開始することをお薦めします。

17.4.6 エンドポイント証明書のローテーションのバッチ・サイズの設定

エンドポイント証明書のローテーションのバッチ・サイズの値は、CA証明書のローテーション・プロセス中に特定のOracle Key VaultサーバーまたはノードのROTATED状態に指定できるエンドポイントの数を表します。

CA証明書のローテーション・プロセス中に、Oracle Key Vaultサーバーまたはノードが新しいCA証明書を使用してエンドポイント証明書を発行したが、新しいエンドポイント証明書がまだエンドポイントによって受信も確認応答もされていない場合、エンドポイントはROTATED状態であるとみなされます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

   マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーションを開始するために選択したノードにログインします。

2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションまたは「Intermediate CA」オプション(デフォルトではこれが選択されています)を選択します。「Rotate CA Certificate」をクリックします。「Intermediate CA」オプションの場合、「Rotate CA Certificate」ボタンは、中間CAとその信頼チェーンがアップロードされた後にのみ表示されます。
6. 「Endpoint Certificate Rotation Controls」領域までスクロールします。
7. 「Endpoint Certificate Rotation Batch Size」フィールドに値を入力します。
   5から50までの値を入力します。デフォルトは15です。
8. 「Save」をクリックします。

17.4.7 エンドポイント証明書のローテーション順序の設定

マルチマスター・クラスタ環境では、認証局(CA)証明書をローテーションするときに、クラスタ・サブグループの順序付けによってエンドポイントをローテーションできる順序を幅広く設定します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

   マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーションを開始するために選択したノードにログインします。

2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」をクリックします。
4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
5. 「CA Certificate Details」 ページで、「Self-Signed Root CA」オプションまたは中間CAオプション(デフォルトではこれが選択されています)を選択します。次に、「Rotate CA Certificate」をクリックします。「Intermediate CA」オプションの場合、「Rotate CA Certificate」ボタンは、中間CAとその信頼チェーンがアップロードされた後にのみ表示されます。
6. 「Endpoint Certificate Rotation Sequence」領域までスクロールします。
7. 「Select Cluster Subgroup」をクリックします。
8. 「Select Cluster Subgroup Order」ダイアログ・ボックスで、ローテーションするエンドポイントを含むクラスタ・サブグループを右に移動してから、矢印キーを使用して順序を設定します。
   たとえば、次の優先度リストの場合を考えてみます。

   1. ClusterSubgroupA (EP1、EP4)
   2. ClusterSubgroupB (EP2、EP3、EP5)
   3. ClusterSubgroupC (EP6、EP7)

   ClusterSubgroupAに属するエンドポイントEP1およびEP4が最初にローテーションされます。EP1およびEP4が、更新されたエンドポイント証明書を受信して確認応答すると、ローテーション・プロセスは、次のエンドポイントのセットであるClusterSubgroupB (EP2、EP3、EP5)に移動します。

   「Endpoints」ページに移動して、エンドポイントが新しい証明書を受信して確認応答したかどうかを確認できます。エンドポイントの「Certificate Issuer」フィールドが「Updating to Current Certificate Issuer」から「DN_of_new_OKV_CA」に変わります。

   ノート:

   クラスタ・サブグループの優先順位を指定する場合、一度に処理されるエンドポイントの数は、「Endpoint Certificate Rotation Batch Size」パラメータより少なくなる可能性があります。たとえば、特定のクラスタ・サブグループに関連付けられたエンドポイントが「Endpoint Certificate Rotation Batch Size」パラメータよりもはるかに少ない場合、選択したクラスタ・サブグループのエンドポイントのみが処理されます。Oracle Key Vaultサーバーまたはノードは、現在のクラスタ・サブグループのすべてのエンドポイントで証明書のローテーションが完了するまで、優先順位が低い他のクラスタ・サブグループのエンドポイントの処理を開始しません。

9. 「Apply」をクリックします。

クラスタ・サブグループは通常、リージョンまたはデータ・センター内のエンドポイントをグループ化するために使用されます。CA証明書のローテーション中のエンドポイント証明書の再発行は、時間がかかるプロセスになる可能性があるため、操作の簡素化のために、クラスタ・サブグループごとにエンドポイントを処理すると便利です。

17.4.8 全体的な証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、証明書のローテーションの全体的なステータスを確認します。

すべてのエンドポイントが新しい証明書を使用するように更新された後、Oracle Key Vaultサーバーは、自身のサーバー証明書をバックグラウンドで完全にローテーションするプロセスを開始します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificate」を選択します。
   デフォルトでは、「Service Certificate」が選択されています。
4. 「Manage CA Certificate」ページを確認します。
5. 証明書のローテーション・ステータスを確認します。

   「Manage CA Certificate」をクリックした後で、「CA Certificate Details」ページに移動したときに、「Self-Signed Root CA」と「Intermediate CA」のいずれかを選択できる場合は、証明書のローテーションが完了しています。そうでない場合は、まだ進行中です。

   「Service Certificates」ページの「End Date」フィールドには、新しいCA証明書の有効期限が反映されます。

   マルチマスター・クラスタ環境では、証明書のローテーションがクラスタのすべてのノードで完了したときに、CA証明書のローテーション・プロセスが完了します。

   すべてのノードで証明書のローテーション・プロセスが完了した後にのみ、別の証明書のローテーションを開始できます。

17.4.9 エンドポイントの証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、エンドポイントの証明書ローテーションのステータスを確認します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。
3. 「Endpoints」を選択します。

   「Endpoints」ページの「Common Name of Certificate Issuer」フィールドで、新しいCA証明書を使用して証明書が発行されたエンドポイント数の進行状況が追跡されます。

   「Common Name of Certificate Issuer」フィールドには、エンドポイント証明書が古いCAまたは新しいCAによって発行されたか、エンドポイントがエンドポイント証明書の更新の処理中であるかが表示されます。

   エンドポイントのエンドポイント証明書については、次のとおりです。

   • 新しいCA証明書を使用して発行された: 「Common Name of Certificate Issuer」フィールドには、新しいCAの共通名が表示されます。
   • 新しいCA証明書を使用した発行の処理中: 「Common Name of Certificate Issuer」フィールドには「Updating to Current Certificate Issuer」と表示されます。
   • 新しいCA証明書を使用して発行されていない: 「Common Name of Certificate Issuer」フィールドには、古いCAの共通名が表示されます。

   ノート:

   エンドポイントの証明書のローテーションにエラーがある場合は、エンドポイントを再エンロールすることをお薦めします。

17.4.10 CA証明書のローテーション後のタスク

CA証明書のローテーションが完了したら、ローテーション後のタスクを実行します。

• 以前にOracle Key Vault RESTfulサービス・ソフトウェア・ユーティリティ(okvrestclipackage.zip)をダウンロードした場合は、RESTfulサービス・ユーティリティを引き続き使用できるように、再度ダウンロードします。

  okvrestclipackage.zipをダウンロードする前に、マルチマスター・クラスタ環境のすべてのノードとプライマリ/スタンバイ環境のサーバーで証明書が完全にローテーションされていることを確認します。

  これを行うには、Oracle Key Vault管理コンソールのログイン・ページで「Endpoint Enrollment and Software Download」リンクを選択します。「Download RESTful Service Utility」タブを選択し、「Download」をクリックして、okvrestclipackage.zipファイルを安全な場所にダウンロードします。

• バックアップ先を更新します

  CA証明書のローテーション後に、各サーバーまたはノードに新しい証明書が発行されます。Oracle Key Vaultノードまたはサーバーの公開キーも変更されます。「Backup Destination Details」ページの「Public Key」フィールドに表示される公開キーをコピーし、バックアップ先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付ける必要があります。

  そのためには、「System」タブ、左側のナビゲーション・バーの「Settings」の順にナビゲートします。「System Configuration」領域で、「Backup and Restore」を選択します。「Manage Backup Destination」をクリックして、すべてのバックアップ先を表示します。「Create」ボタンをクリックします。「Public Key」フィールドに新しい公開キーが表示されます。

• すべてのOracle Key Vaultノードおよびサーバーをバックアップします。

  証明書のローテーションが完了したら、このバックアップ操作を実行することが重要です。後でバックアップをリストアする必要がある場合は、CA証明書のローテーション後に、リストアするバックアップが開始されている必要があります。CA証明書のローテーションの前にバックアップをリストアすると、Oracle Key Vaultサーバーが使用可能になりますが、エンドポイントはリストアされたOracle Key Vaultサーバーに接続できなくなります。リストアされたシステムのCA証明書の有効期限が切れている可能性があり、エンドポイントは、CA証明書のローテーション前に行われたバックアップに存在しない新しいCAによって発行されたエンドポイント証明書を使用します。

17.4.11 CA証明書のローテーション・プロセスに影響する要因

クラスタ環境の認証局(CA)証明書のローテーション・プロセスに影響するこれらの要因を考慮してください。

CA証明書のローテーションの期間は、CA、ノードおよびエンドポイントの証明書がローテーションされる速度によって決まります。エンドポイント証明書のローテーションは最も時間がかかります。

CA証明書のローテーション・プロセス中、Oracle Key Vaultでは、クラスタの各ノードのエンドポイントの証明書が、同時にROTATED状態にできるエンドポイント数の上限が設定されたバッチでローテーションされます。Oracle Key Vaultノードで任意の時点でROTATED状態になるエンドポイントの数は、エンドポイント証明書のローテーションのバッチ・サイズで定義されます。エンドポイントは、発行ノードから新しい証明書を受信し、発行ノードに証明書の受信の確認応答をする必要があります。証明書を受信するには、エンドポイントが少なくとも1つのオブジェクトを作成している必要があります。

ノート:

一般に、エンドポイントの証明書を発行するノードは、エンドポイントの関連クラスタ・サブグループのノードの1つです。

次の要因は、エンドポイント証明書のローテーション・プロセスに影響します。

• 新しい証明書を受信するには、エンドポイントの証明書が生成された発行ノードにエンドポイントがアクセスできる必要があります。エンドポイントはエンドポイント・ノード・スキャン・リスト内の任意のノードと通信できるため、エンドポイントは作成者ノードにアクセスして証明書を受信する前に多くの操作を実行できます。エンドポイントは、クラスタ内のノードにアクセスすることによって、新しい証明書の受信の確認応答をする必要もあります。
• エンドポイント証明書のローテーション時間は、クラスタ内のノード数によって増加します。エンドポイントによって、ローカル・サブグループ内のノードに優先順位が付けられるため、CA証明書のローテーション中にノードごとに異なるサブグループを設定することを検討してください。
• エンドポイント証明書のローテーションのバッチ・サイズは、クラスタの各ノードに適用されます。そのため、各ノードにエンドポイントが均等に作成されている場合、各ノードは、バッチ・サイズと等しい数のエンドポイントを同時にローテーションします。ただし、すべてのエンドポイントが単一のノード上に作成されている場合、すべてのエンドポイントの証明書のローテーションの負荷は、他のノード間で分散されるのではなく、その1つのノードにかかります。
• クラスタでのエンドポイント証明書のローテーションおよび一般的なロード・バランシングを高速にするために、クラスタのすべてのノードでエンドポイント作成を分散することを検討してください。
• Oracle Key Vaultリリース12.2からアップグレードする前にエンドポイントを作成した場合は、すべてのエンドポイントが1つの単一ノードに関連付けられている可能性があります。その場合、様々なクラスタ・ノードにエンドポイントが作成された場合よりも、ローテーション・プロセスが遅くなる場合があります。
• エンドポイントは、少なくとも1つのオブジェクトがOracle Key Vaultサーバーにアップロードされている場合にのみ更新を正常に受信できます。エンドポイントにオブジェクトがあるかどうかは、okvutil listコマンドを実行することで確認できます。

  エンドポイント証明書のローテーションが妨げられるエンドポイントについては、エンドポイントの再エンロールまたはokvutil listコマンドの実行を検討してください。

17.4.12 CA証明書のローテーションを管理するためのガイドライン

認証局(CA)証明書を管理するための、これらのOracle Key Vaultガイドラインを考慮してください。

エンドポイント・ソフトウェア・バージョンのガイドライン

• 自己署名ルートCA証明書のローテーションでは、すべてのエンドポイント・ソフトウェアがバージョン18.2.0.0.0以降になるようにします。
• 中間CA証明書のローテーションでは、すべてのエンドポイント・ソフトウェアがバージョン21.4.0.0.0以降になるようにします。
• CA証明書のローテーションを開始する前に、エンドポイント・ソフトウェアをOracle Key Vaultと同じバージョンにアップグレードして、証明書のローテーションに対する最新の修正がエンドポイント・ソフトウェアでも使用可能になるようにします。

CA証明書のローテーションの推奨事項

• マルチマスター・クラスタ環境では、1つのノードからのみローテーションを開始することをお薦めします。このノードを使用して、CA証明書のローテーション・プロセスを完了します。証明書のローテーション中にノードが使用不可になる場合、別のノードを選択し、そのノードを使用して残りのCA証明書のローテーション・プロセスを完了します。証明書のローテーションの実行中はノードを切り替えないでください。
• CA証明書のローテーションを実行する前に、Oracle Key Vaultシステムをバックアップします。
• ネットワークまたはその他の問題が原因で、特定のエンドポイントが、再発行されたエンドポイント証明書を受信しないか、SUSPENDED状態になる場合、エンドポイント証明書のローテーション中にエンドポイントを再エンロールするか、エンドポイントを削除することをお薦めします。エンドポイントで永続マスター暗号化キー・キャッシュを使用する場合は、CA証明書のローテーション・プロセスを開始する前に、「PKCS11 Persistent Cache Refresh Window」パラメータを大きな値に設定することをお薦めします。そうすれば、証明書のローテーション・プロセスを続行して完了できます。現在の証明書ローテーションのステータスを確認するには、「Endpoints」ページに移動して、「Common Name of Certificate Issuer」を参照してください。

CA証明書のローテーションを開始する前の確認

• 証明書のローテーションを開始する前に、すべてのマルチマスター・クラスタ・ノードのリカバリ・パスフレーズが同じであることを確認してください。
• バックアップ操作またはリストア操作が進行中の場合は、CA証明書のローテーションを実行できません。
• デプロイメントによっては、CA証明書のローテーション・プロセスが完了するまでに数日かかる場合があり、CA証明書の有効期限前にCA証明書のローテーションを適切に開始します。
• CA証明書のローテーション・プロセスを完了するには、Enrolled状態でないすべてのエンドポイントを削除または再エンロールする必要があります。エンドポイントが必要なくなった場合は削除します。
• ノードの追加が進行中でないことを確認します。ノードの追加中にCA証明書のローテーションを開始しないでください。
• ノード操作が進行中でないことを確認します。CA証明書のローテーション中にノード操作(ノードの追加や無効化など)を試行しないでください。
• マルチマスター・クラスタ環境では、すべてのノードがアクティブであることを確認します。クラスタ内のすべてのノードがアクティブになるまで、CA証明書のローテーションを開始しないでください。「Cluster Monitoring」ページをチェックして、ノードがアクティブかどうかを確認できます。「Cluster」タブをクリックし、左側のナビゲーション・バーから「Monitoring」を選択します。
• プライマリ/スタンバイ環境では、プライマリ・サーバーがアクティブであることを確認します。プライマリ・サーバーが読取り専用制限モードになっている場合、CA証明書のローテーションは実行しないでください。構成内の両方のサーバーがアクティブで、互いに同期されている場合にのみ、CA証明書のローテーションを開始します。

期限切れのCA証明書

• CA証明書の期限が切れている場合は、CA証明書のローテーション・プロセスを開始しないでください。Oracleサポートに問い合せてください。
• CA証明書がすでに期限切れになっている場合は、システムのアップグレードを試行しないでください。そうすると、アップグレードが失敗します。

ノート:

CA証明書がすでに期限切れになっている場合は、CA証明書のローテーションを開始したり、Oracle Key Vaultのアップグレードを試行せずに、Oracleサポートに問い合せてください。

17.5 サーバー証明書およびノード証明書のローテーションの管理

Oracle Key Vault管理コンソールを使用して、サーバー証明書またはノード証明書をローテーションします。

• サーバー証明書およびノード証明書のローテーションについて
  Oracle Key Vaultはサーバー証明書を使用してエンドポイントと通信します。Oracle Key Vaultクラスタ・ノードは、ノード証明書を使用して相互に、およびエンドポイントと通信します。
• サーバー証明書およびノード証明書の証明書有効期間の構成
  サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。
• サーバー証明書およびノード証明書のローテーション
  Oracle Key Vault管理コンソールで、サーバー証明書およびノード証明書をローテーションできます。
• サーバー証明書およびノード証明書をローテーションするためのガイドライン
  サーバー証明書またはノード証明書のローテーションを実行する前に、これらのガイドラインを確認してください。

17.5.1 サーバー証明書およびノード証明書のローテーションについて

Oracle Key Vaultはサーバー証明書を使用してエンドポイントと通信します。Oracle Key Vaultクラスタ・ノードは、ノード証明書を使用して相互に、およびエンドポイントと通信します。

これらの証明書は、スタンドアロンおよびプライマリ/スタンバイ構成ではサーバー証明書と呼ばれ、マルチマスター・クラスタ構成ではノード証明書と呼ばれます。Oracle Key Vault認証局(CA)証明書によって、これらの証明書が発行されます。

CA証明書のローテーション・プロセスとは関係なく、これらの証明書のみをローテーションできます。これを実行しても、Oracle Key Vault CAの証明書の失効日やエンドポイントには影響しません。

Oracle Key Vault CAがまだ長期間有効で、サーバー・ノード証明書がまもなく期限切れになる状況では、サーバー証明書およびノード証明書のみをローテーションすると便利です。通常、CAの有効性は、サーバー証明書またはノード証明書の有効性よりも長いため、このことが発生する可能性があります。

サーバーまたはノードの証明書のローテーション・プロセスを次に示します。

• サーバー証明書またはノード証明書の有効性の設定
• サーバー証明書またはノード証明書のローテーション

17.5.2 サーバー証明書およびノード証明書の証明書有効期間の構成

サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。

証明書有効期間は、次にサーバー証明書およびノード証明書をローテーションしたときに有効になります。これは、CA証明書のローテーションの一部としてサーバー証明書またはノード証明書を生成するか、クラスタに新しいノードを追加しても、新規ノードのノード証明書に対して考慮されます。サーバーまたはノードの証明書の有効性の設定値に関係なく、証明書が最終的に生成されると、その失効日は必ずCA証明書の失効日よりも前になります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. 環境に応じて、次を実行します。
   • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
   • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
5. 「Server Certificate Validity (in days)」フィールドまたは「Node Certificate Validity (in days)」フィールドで、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
6. 「Save」をクリックします。

17.5.3 サーバー証明書およびノード証明書のローテーション

Oracle Key Vault管理コンソールで、サーバー証明書およびノード証明書をローテーションできます。

ローテーションを実行する前に、サーバー証明書およびノード証明書をローテーションするためのガイドラインを必ずお読みください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Service Certificates」を選択します。
4. 環境に応じて、次を実行します。
   • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
   • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
5. 必要に応じて、「Server Certificate Validity (in days)」フィールド(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)または「Node Certificate Validity (in days)」フィールド(マルチマスター・クラスタ環境の場合)で、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
   数分待って、この設定が有効になることを確認します(特にマルチマスター・クラスタ環境で)。変更がすべてのクラスタ・ノードにわたって表示されている場合(各ノードの同じページにナビゲートして確認します)、サーバー証明書またはノード証明書のローテーションを開始できます。
6. 環境に応じて、次を実行します。
   • スタンドアロンまたはプライマリ/スタンバイ環境: 「Generate Server Certificate」を選択します。
   • マルチマスター・クラスタ環境: 「Generate Node Certificate」を選択します。
7. 確認のウィンドウで、「OK」をクリックします。
   このプロセスは、完了までに数分かかることがあります。また、エンドポイント・サービスが一時的に中断されることもあります。

プロセスが正常に完了すると、「Current Server Certificate」(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)セクションおよび「Current Node Certificate」(マルチマスター・クラスタ環境の場合)セクションで、「End Date」および「Expiring in」の設定に新しい値が表示されます。マルチマスター・クラスタ環境では、「Cluster Node Certificate Details」領域で、クラスタ内のすべてのノード証明書の失効日を表示できます。

17.5.4 サーバー証明書およびノード証明書をローテーションするためのガイドライン

サーバー証明書またはノード証明書のローテーションを実行する前に、これらのガイドラインを確認してください。

• サーバー証明書またはノード証明書のローテーションが進行中の間は、認証局(CA)証明書のローテーションを実行しないでください。
• CA証明書のローテーションが進行中の間は、サーバー証明書またはノード証明書のローテーションを実行しないでください。
• あるノードでノード証明書のローテーションが進行中の間は、別のノードで別のノード証明書のローテーションを実行しないでください。
• CA証明書のローテーションが進行中の間は、CA証明書の有効期間を変更しないでください。
• CA証明書がすでに期限切れになっている場合は、サーバー証明書をローテーションしようとしないでください。
• CA証明書のローテーション、サーバー証明書のローテーションまたはノード証明書のローテーションが進行中の間は、「Server Certificate Validity (in days)」フィールド(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)や「Node Certificate Validity (in days)」フィールドを変更しないでください。