B Oracle Databaseウォレットと証明書の管理
orapki
コマンドライン・ユーティリティとsqlnet.oraのパラメータを使用して、公開キー・インフラストラクチャ(PKI)要素を管理できます。
- Oracle Databaseのウォレットと証明書の概要
Oracle Databaseには、いくつかのタイプの公開キー・インフラストラクチャ(PKI)要素(ウォレットと証明書)に加えて、それらを管理するためのツールも用意されています。 - orapkiユーティリティを使用したOracle Databaseウォレットと証明書の管理
orapki
コマンドライン・ユーティリティは、デフォルトでOracle Databaseサーバーとともにインストールされます。 - Oracle Databaseウォレットの管理
orapki
コマンドライン・ユーティリティを使用すると、証明書の追加前にウォレットを作成および管理できます。 - Oracle Database証明書の管理
ウォレットの作成後、ウォレットに関連付けられているエンティティのアイデンティティを検証するために、証明書を関連付けることができます。 - orapkiを使用したウォレットと証明書の作成例
orapki
コマンドの例には、自己署名証明書を使用したウォレット、ユーザー証明書およびウォレットの作成、証明書のエクスポートがあります。 - orapkiユーティリティ・コマンドのサマリー
orapki
コマンドは、ウォレット、証明書失効リスト(CRL)および証明書の様々な管理タスクを実行します。 - mkstoreユーティリティ・コマンドのサマリー
Oracle Databaseクライアントとサーバーのインストール時に利用できるmkstore
コマンドライン・ユーティリティを使用すると、ウォレットの作成と、ユーザー名やパスワードなどの資格証明シークレットの追加ができます。Oracle Databaseリリース23c以降、mkstore
は非推奨です。かわりにorapki
を使用します。
親トピック: 付録
B.1 Oracle Databaseウォレットと証明書の概要
Oracle Databaseには、いくつかのタイプの公開キー・インフラストラクチャ(PKI)要素(ウォレットと証明書)に加えて、それらを管理するためのツールも用意されています。
- Oracle Databaseウォレットについて
Oracle Databaseウォレットは、Oracle Databaseネットワーク間でデータベース・クライアントが通信できるようにする秘密キーや証明書など、認証と署名資格証明を格納するためのパスワードで保護されたコンテナです。 - Oracle Database証明書について
Oracle Database証明書(公開キー・インフラストラクチャ(PKI)デジタル証明書)は、ウォレットを使用する公開キーまたは秘密キーの交換でエンド・エンティティのアイデンティティを検証するウォレット・コンポーネントです。 - 認証局(CA)について
認証局(CA)は、他のエンティティ(ユーザー、データベース、管理者、クライアント、サーバー)が本人であることを証明する、信頼できるサード・パーティです。 - Oracle Databaseウォレットと証明書の管理に使用するツール
Oracle Databaseには、ウォレットの使用方法に応じて、ウォレットと証明書を管理するための様々なツールが用意されています。 - Oracle Databaseウォレットと証明書の管理の一般的なプロセス
透過的データ暗号化(TDE)を除いて、orapki
ユーティリティはOracle Databaseウォレットと証明書の作成と管理に使用できます。 - Oracle Databaseウォレットの検索順序
Oracle Databaseがウォレットの検索に使用する検索順序は、透過的データ暗号化(TDE)などのウォレットが作成された目的の機能によって異なります。
親トピック: Oracle Databaseウォレットと証明書の管理
B.1.1 Oracle Databaseウォレットについて
Oracle Databaseウォレットは、Oracle Databaseネットワーク間でデータベース・クライアントが通信できるようにする秘密キーや証明書など、認証と署名資格証明を格納するためのパスワードで保護されたコンテナです。
ウォレット内の認証と署名資格証明は暗号化されます。Oracle Databaseクライアントは、クライアントがデータベース・サーバーに接続するときにウォレットを読み取って使用できます。また、データベース・サーバーはディレクトリ・サービスなどの他のサービスに接続するときに、ウォレットを読み取って使用できます。ウォレットの使用前に、ウォレットを「オープン状態」にする必要があります。つまり、ウォレットを読み取って使用する必要があるデータベース・サーバーからアクセスできるようにする必要があります。ウォレットの作成方法に応じて、ウォレットはデータベース管理者が手動でオープンするか、自動的にオープンできるようにするかのどちらかになります。
Oracle Databaseには、ウォレットの使用に関して次のユースケースが用意されています。
- アウトバウンド・ウォレット。これは、外部サービスと接続するためにデータベース・サーバーによって使用されます。たとえば、Microsoft Active Directoryおよび
UTL_HTTP
とのOracle Database接続に使用されるOracleウォレットなどです。作成と管理には、orapki
ユーティリティを使用します。 - セキュアな外部パスワード・ストア(SEPS)ウォレット。クライアントにのみ使用され、現在のユーザーの読取り/書込み権限のみで作成されます。これにより、このウォレットを別のユーザーが読み取れないようにします。
- Transport Layer Security (TLS)ウォレット。サーバーとクライアントの両方に対応します。これは、強力な認証に使用されます。
- 透過的データ暗号化(TDE)ウォレット。サーバーとクライアントに使用されるものであり、キーストアと呼ばれます。『Oracle Database Advanced Securityガイド』を参照してください。
その他にも、ウォレットの主なタイプ(またはモード)には、標準のパスワードで保護されたウォレット(ファイル拡張子.p12
が付いたPKCS#12)と、3つのタイプの自動ログイン・ウォレットがあります。
- パスワードで保護されたウォレット: このタイプのウォレットの作成時には、パスワードを割り当てる必要があります。その後、このウォレットの変更などの様々なタスクを実行するときには、そのパスワードを指定する必要があります。このタイプのウォレットは、データベース管理者が使用前に明示的にオープンしておく必要があります。パスワードで保護されたウォレットは、PKCS#12標準に準拠していて、
ewallet.p12
というファイル名が付けられます。 - シングル・サインオン(SSO)自動ログイン・ウォレット: 自動ログイン・ウォレットを作成する場合、パスワードを指定する必要があります。自動ログイン・ウォレットでは、パスワードなどのシークレットは暗号化して保存できるため、それらがクリア・テキスト・ファイルに保存されることはありません。Oracle Databaseは、ユーザーに毎回のパスワード入力を求めることなく、ウォレット内のシークレットを読み取ることができます。このタイプは、アクセスするデータベース・サーバーによって自動的にオープンされます。自動ログイン・ウォレットは、
ewallet.p12
というPKCS #12ファイルとcwallet.sso
というシングル・サインオン(SSO)ファイルの両方で構成される読取り/書込みウォレットです。どちらのファイルも内容は同じですが、ewallet.p12
はユーザー・パスワードで保護されていて、cwallet.sso
は不明瞭化されたランダムなパスワードで保護されている点が異なります。Oracleウォレットのユーティリティ(orapki
とmkstore
(非推奨))を使用して自動ログイン・ウォレットを変更する場合は、ewallet.p12
ウォレット・ファイルの作成に使用したパスワードを指定する必要があります。(どのような変更もewallet.p12
ファイルでのみ実施され、その変更内容は対応するcwallet.sso
ファイルに内部的に適用されます。cwallet.sso
は単独では変更できません)。自動ログイン・ウォレットは、異なるシステム間で使用できます。使用の際に明示的にオープンする必要のあるウォレットで提供される特別なセキュリティが不要な環境の場合は、自動ログイン・ウォレットを使用できます。自動ログイン・ウォレットは、無人シナリオ(Oracle Data Guardスタンバイ・データベースなど)に最適です。
- ローカル・シングル・サインオン(LSSO)自動ログイン・ウォレット: このタイプは、そのウォレットが作成されたコンピュータにのみローカルで使用される自動ログイン・ウォレットです。それが作成されたコンピュータ以外のコンピュータではオープンできません。これは、ユーザー・パスワードが不要な読取り/書込みウォレットです。作成時に有効であったホスト名とユーザー名にロックされます。これは、
cwallet.SSO
というSSOファイルのみで構成されます。ローカル自動ログイン・ウォレットは、無人操作をサポートしながら、追加のセキュリティが必要なシナリオ(つまり、そのコンピュータに対する自動ログインの使用を制限する)に使用されます。ローカル自動オープン・ウォレットは、Oracle Real Application Clusters (Oracle RAC)対応データベースでは使用できません。そうしたシステムでは、共有ウォレット(ACFS内またはASM内)のみがサポートされているためです。
- 自動ログイン専用(ALOまたはESSO)ウォレット: このウォレット・タイプは、ユーザー・パスワードが不要な読取り/書込みウォレットです。
cwallet.SSO
というSSOファイルで構成されます。
このリリースのOracle Databaseで作成するウォレットは、すべてPKCS#12形式です。ウォレットには、次のセキュリティ・オブジェクトを含めることができます。
- 証明書。ユーザー・アイデンティティを認証および検証し、通信チャネルのデータを暗号化します。信頼できる証明書、ルート証明書、ユーザー証明書、サーバー証明書、プライベート証明書、公開証明書、および自己署名証明書のタイプを含めることができます。
- 証明書リクエスト。SSL証明書を取得するために、応募者がCAに送信するリクエストです。
- 発行元認証局(CA)によって取り消されたデジタル証明書のリストである証明書失効リスト(CRL)。
- シークレット(パスワードなど)。
- PKCS#11ウォレットの場合は、特定のPKCS#11情報。たとえば、PKCS#11ライブラリへのパス、トークン、スマートカード、トークン・パスワード、トークンの証明書ラベルなど。現在の標準はPKCS#12です。デフォルトでは、
orapki
ユーティリティは、この標準を使用してウォレットを作成します。 - TDEキーストアの場合は、マスター暗号化キー。これは、表の列、表領域、データベースなどに関連付けられているデータの暗号化を担当します。ウォレットのキーを設定するときには、AES256などの暗号化アルゴリズムを指定できます。TDEキーストアには、ユーザー名やパスワードなどのシークレットも格納できます。
ノート:
ウォレットの削除には注意が必要です。そのようにすると、ウォレットを使用中のOracle Database環境で問題が発生する可能性があります。ウォレットを削除する場合は、事前にバックアップしておいてください。B.1.2 Oracle Database証明書について
Oracle Database証明書(公開キー・インフラストラクチャ(PKI)デジタル証明書)は、ウォレットを使用する公開キーまたは秘密キーの交換でエンド・エンティティのアイデンティティを検証するウォレット・コンポーネントです。
証明書は、IDを公開キーに安全にバインドする国際電気通信連合(ITU) x.509 v3標準データ構造です。これは、エンティティの公開キーが、信頼できるID、認証局(CA)によって署名されているときに作成されます。この証明書は、エンティティの情報が正しいことと、公開キーがそのエンティティに属していることを保証します。証明書には、エンティティの名前、識別情報および公開キーが含まれています。シリアル番号、有効期限、および証明書に付随する権利、使用および権限も含まれることがあります。最後に、その証明書を発行したCAに関する情報が含まれます。
Oracle Databaseでは、次のタイプの証明書を構成および操作できます。
- 証明書チェーン: これはエンド・ユーザーまたはサブスクライバの証明書とその認証局証明書を含む順序付きの証明書リストです。
- 信頼できるルート証明書: このタイプは必須であり、サーバーまたはユーザー証明書を発行した認証局(CA)を識別します。サーバーがその証明書をクライアントに提示する場合、サーバー証明書を発行したCAからの信頼できるルート証明書がないかぎり、その証明書をクライアントは受け入れません。その逆も同様です。サーバーがクライアント証明書を発行した信頼できるルート証明書を保持している場合のみ、サーバーはクライアント証明書を信頼します。信頼できるルート証明書は、証明書チェーン内で最上位の証明書であり、サーバー証明書またはユーザー証明書、信頼できる証明書、公開証明書または秘密証明書で構成される証明書コンポーネントの順序付きリストです。これが信頼されているため、顧客情報の秘密と安全を確保できます。
- 秘密証明書: このタイプは、ウォレットが作成された秘密キーを識別します。秘密証明書は、ユーザーまたはサーバーによってのみ使用され、別のユーザーまたはサーバーに送信されることはありません。信頼証明書は、署名付きの秘密証明書または公開証明書を検証します。
- 公開証明書: このタイプは、ウォレットが作成される公開キーを識別するもので、非公開証明書に似ています。送信者の名前と認可を検証するデジタル署名付きドキュメントです。
- サーバー証明書: このタイプは必須であり、ウォレットが使用するデータベース・サーバーを識別します。特定のサーバーがアクセスできるリソースを指定します。複数のサーバーが共有するデバイスで使用されることもあります。通常、サーバー証明書はホストまたはドメインに発行されます。証明書が自己署名されたものであっても、サーバー証明書は常に存在します。
- ユーザー証明書: このタイプはオプションであり、ウォレットが使用するクライアントを識別します。特定のユーザーがアクセスできるリソースを指定します。複数のユーザーが共有するデバイスで使用されることもあります。異なるユーザーがログインすると、プロファイルと証明書が自動的にロードされ、そのユーザーが必要とする情報へのアクセス権が付与されます。ユーザー証明書は、次の場合に使用されます。
- 相互のTransport Layer Security (TLS)の場合。通信チャネルの両端が自分自身を識別する必要があります。
- PKI証明書認証の場合。ユーザー証明書はクライアンを識別するだけでなく、サーバーを認証します
- 自己署名証明書: このタイプは、CAが発行したものではない公開キー証明書です。自己署名証明書は、その証明書を他者が信頼する必要がない場合、つまり暗号化のみが目的の場合に構成します。自己署名証明書を使用していても、接続するためのクライアントが必要です。そのため、自己署名証明書は信頼できる証明書としてクライアントに追加されます。
証明書に関連するPKI要素の一部を次に示します。
- 証明書リクエスト: リクエストには、認証リクエスト情報、署名アルゴリズム識別子、認証リクエスト情報のデジタル署名の3つの部分があります。認証リクエスト情報は、対象の識別名、公開キーおよびオプションの属性セットから構成される。属性では、対象の識別情報に関する郵便の宛先などの追加情報、または対象エンティティが後で証明書失効を要求するためのチャレンジ・パスワードを提供できる。ウォレットの証明書リクエストの作成は必須ではありません。信頼できる証明書をウォレットに直接追加することも、信頼できる証明書がすでに追加されている場合はユーザー証明書にも追加することもできます。
- 証明書失効リスト(CRL): このタイプは、失効した証明書のリストが含まれている署名付きのデータ構造体です。CRLの信頼性と整合性は、CRLに付加されているデジタル署名によって提供される。通常、CRLの署名者は、発行された証明書に署名したエンティティと同じである。通常は、ユーザー証明書用のCRLを作成します。ユーザー証明書はユーザーが保持するため、紛失することや盗難されることは珍しくありません。その場合は、発行機関がそれらを取り消して、その失効を証明書失効リストで公開し、侵害された証明書を信用しないようにサービスに通知します。
関連トピック
親トピック: Oracle Databaseウォレットと証明書の概要
B.1.3 認証局(CA)について
認証局(CA)は、他のエンティティ(ユーザー、データベース、管理者、クライアント、サーバー)が本物であることを証明する、信頼できるサード・パーティです。
ユーザーを証明する場合、CAは、ユーザーが証明書失効リスト(CRL)にないことを最初に確認し、次にユーザーのアイデンティティを検証し、認証局の秘密キーで署名して証明書を付与します。CAには独自の証明書と公開キーがあり、公開されています。サーバーおよびクライアントは、これらを使用して認証局の署名を検証します。CAは、証明書サービスを提供する外部の企業、または企業管理情報システム(MIS)部門のような内部組織です。証明書リクエストは、このCAに送信する必要があります。CAは、署名付きユーザー証明書と、それに関連付けられた信頼できる証明書を送信します。
親トピック: Oracle Databaseウォレットと証明書の概要
B.1.4 Oracle Databaseウォレットと証明書の管理に使用するツール
Oracle Databaseには、ウォレットの使用方法に応じて、ウォレットと証明書を管理するための様々なツールが用意されています。
orapki
は、ウォレットの作成、そのウォレットでの証明書の追加と管理に使用できるコマンドラインのOracleユーティリティです。mkstore
は、ウォレットにシークレットを追加して管理するために使用できるコマンドラインOracleユーティリティです。Oracle Databaseクライアントで使用できます。Oracle Databaseリリース23c以降、mkstore
は非推奨になりました。mkstore
のかわりにorapki
を使用するようにお薦めします。ADMINISTER KEY MANAGEMENT
文は、透過的データ暗号化(TDE)キーストアの管理用にSQL*Plusインタフェースを提供します。TDEキーストア管理には、キーストアに関する情報検索のためのデータ・ディクショナリと動的ビューも用意されています。- Oracle Key Vaultを使用すると、エンタープライズ内の既存のキーとセキュリティ・オブジェクトを一元的に管理できます。
ノート:
Oracle Database 23c以降、Oracle Wallet Manager (OWM)はサポート対象外です。orapki
コマンドライン・ツールを使用してOWMを置き換えることをお薦めします。
B.1.5 Oracle Databaseウォレットと証明書の管理の一般的なプロセス
透過的データ暗号化(TDE)を除いて、orapki
ユーティリティはOracle Databaseウォレットと証明書の作成と管理に使用できます。
一般プロセスは次のとおりです。
orapki wallet create
コマンドは、ウォレットを作成する場合に使用します。次に、
$ORACLE_HOME/admin/db_unique_name/wallet
ディレクトリ内にウォレットを作成する例を示します。orapki wallet create -wallet $ORACLE_HOME/admin/db_unique_name/wallet
orapki wallet add
コマンドは、ウォレットに関連付ける証明書リクエストを生成する場合に使用します。次に、
CN=server_dn,C=US
という名前のDNで、2048ビットのキー・サイズを使用する例を示します。orapki wallet add -wallet $ORACLE_HOME/admin/db_unique_name/wallet -dn 'CN=server_dn,C=US' -keySize 2048
- 証明書リクエストの生成後、使用する認証局(CA)にリクエストを送信します。
電子メール・メッセージに証明書リクエストのテキストをコピーして貼り付けるか、
orapki wallet export
コマンドを使用して、証明書リクエストをファイルにエクスポートできます。CAは、関連付けられた資格証明を削除するまでウォレットの一部になります。証明書リクエストをエクスポートすることで"署名"します。次に、
creq.txt
というリクエストをエクスポートする例を示します。orapki wallet export -wallet $ORACLE_HOME/admin/db_unique_name/wallet -dn 'CN=server_dn,C=US' -request $ORACLE_HOME/admin/db_unique_name/wallet/creq.txt
- CAは、署名済のユーザー証明書と、それに関連付けられた信頼できる証明書を生成します。この段階で、ウォレットに証明書をインポートする準備が整っています。
- まず、
orapki wallet add
コマンドを使用して、すべての信頼できる証明書をウォレットにインポートします。すべての信頼できる証明書を追加しないと、このコマンドは失敗します。
次に、信頼できる証明書
trusted_cert.txt
をウォレットに追加する例を示します。orapki wallet add -wallet $ORACLE_HOME/admin/db_unique_name/wallet -trusted_cert -cert $ORACLE_HOME/wallet/trusted_cert.txt
- 次に、
orapki wallet add
コマンドを使用して、ユーザー証明書をウォレットにインポートします。次に、
cert.txt
ファイルのユーザー証明書をインポートする例を示します。orapki wallet add -wallet $ORACLE_HOME/admin/db_unique_name/wallet/ewallet.p12 -user_cert -cert $ORACLE_HOME/wallet/cert.txt
親トピック: Oracle Databaseウォレットと証明書の概要
B.1.6 Oracle Databaseウォレットの検索順序
Oracle Databaseがウォレットの検索に使用する検索順序は、透過的データ暗号化(TDE)などのウォレットが作成された目的の機能によって異なります。
Oracle Databaseリスナーは、次のウォレットの検索パスをこの順序で使用します。
- 接続文字列の
WALLET_LOCATION
パラメータの設定 sqlnet.ora
ファイルのWALLET_LOCATION
パラメータの設定$TNS_ADMIN
環境変数設定のウォレット
デフォルトのウォレットの場所は次のとおりです。
- Linux:
/etc/ORACLE/WALLETS/user_name
- Windows:
C:\Users\user_name\\ORACLE\WALLETS
ウォレットの様々な検索順序の詳細は、次のトピックを参照してください。
- Microsoft Active Directoryによる集中管理ユーザー(CMU): 「dsi.oraファイルの使用について」
- セキュアな外部パスワード(SEP)ウォレット: TBA
- Transport Layer Security (TLS)サーバー・ウォレット: 「Oracleウォレットの検索順序」
- 透過的データ暗号化キーストア: 『Oracle Database Advanced Securityガイド』
- エンタープライズ・ユーザー・セキュリティ・ウォレット: 『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』(Oracle Database 23c以降では、エンタープライズ・ユーザー・セキュリティは非推奨です)。
親トピック: Oracle Databaseウォレットと証明書の概要
B.2 orapkiユーティリティを使用したOracleウォレットと証明書の管理
orapki
コマンドライン・ユーティリティは、デフォルトでOracle Databaseサーバーとともにインストールされます。
- orapkiユーティリティを使用したOracleウォレットと証明書の管理について
orapki
コマンドライン・ユーティリティを使用すると、コマンドラインからウォレットと証明書を作成および管理できます。 - orapkiユーティリティの構文
orapki
ユーティリティの構文には、ウォレットと証明書を作成および管理する方法が用意されています。
親トピック: Oracle Databaseウォレットと証明書の管理
B.2.1 orapkiユーティリティを使用したOracleウォレットと証明書の管理について
orapki
コマンドライン・ユーティリティを使用すると、コマンドラインからウォレットと証明書を作成および管理できます。
orapki
を使用して、次のタスクを実行できます。
-
テスト用の署名付き証明書の作成および表示
-
Oracleウォレットの管理(透過的データ暗号化キーストアを除く):
-
Oracleウォレットの作成と表示
-
証明書リクエストの追加と削除
-
証明書の追加および削除
-
信頼できる証明書の追加と削除
-
-
証明書失効リスト(CRL)の管理
-
証明書検証用ハッシュ値によるCRLの名前変更
-
Oracle Internet DirectoryでのCRLのアップロード、一覧表示、表示および削除
-
orapki
により、スクリプトを使用してこれらのタスクを自動化できます。ウォレットと証明書の管理をスクリプトに組み込む方法を提供することにより、それらを保守するためのルーチン・タスクの多くを自動化できるようになります。
orapki
ユーティリティのwallet
モジュール・コマンドをスクリプトで使用して、ウォレット作成プロセスを自動化できます。たとえば、PKCS#12ウォレット、自動ログイン・ウォレット、auto_login_onlyおよびローカル自動ログイン・ウォレットを作成できます。ウォレットが作成されたコンピュータおよびウォレット作成ユーザーに対してローカルなPKCS#12ウォレットに関連付けられている自動ログイン・ウォレットを作成できます。ウォレットを表示したり、ウォレットのパスワードを変更したり、AES256アルゴリズムを使用するようにウォレットを変換できます。
新しいウォレットを作成すると、バージョン7として作成されます。既存のバージョン6のウォレットを変更すると、orapki
によってバージョン7に変換されます。Oracle Database 23c以降、バージョン6のローカル自動ログイン・ウォレットは非推奨です。
ノート:
-wallet
パラメータは、すべてのwallet
モジュール・コマンドで必須です。
B.2.2 orapkiユーティリティの構文
orapki
ユーティリティの構文には、ウォレットと証明書を作成および管理する方法が用意されています。
orapki
コマンドライン・ユーティリティの構文を次に示します。
orapki module command -parameter value
ここで、module
をwallet
(Oracleウォレット)、crl
(証明書失効リスト)またはcert
(PKIデジタル証明書)にできます。使用可能なコマンドは、使用するmodule
によって異なります。
たとえば、wallet
を使用している場合、add
コマンドを使用して証明書またはキーをウォレットに追加できます。次の例では、/private/lhale/cert.txt
にあるユーザー証明書が、$ORACLE_HOME/admin/db_unique_name/wallet/ewallet.p12
にあるウォレットに追加されます。
orapki wallet add -wallet $ORACLE_HOME/admin/db_unique_name/wallet/ewallet.p12 -user_cert -cert /private/lhale/cert.txt
B.3 Oracle Databaseウォレットの管理
orapki
コマンドライン・ユーティリティを使用すると、証明書の追加前にウォレットを作成および管理できます。
- PKCS#12ウォレットの作成
orapki
ユーティリティを使用して、PKCS#12のOracleウォレットを作成できます。 - 自動ログイン・ウォレットの作成
orapki
ユーティリティを使用して、自動ログイン・ウォレットを作成できます。 - ローカル自動ログイン・ウォレットの作成
orapki
ユーティリティでは、ローカル自動ログイン・ウォレットを作成できます。 - PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットの作成
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットを作成できます。 - ウォレットの表示
orapki
ユーティリティを使用して、ウォレットを表示できます。 - ウォレットのパスワードの変更
orapki
ユーティリティを使用して、ウォレットのパスワードを変更できます。 - AES256アルゴリズムを使用するためのOracleウォレットの変換
デフォルトでは、ADMINISTER KEY MANAGEMENT
またはALTER SYSTEM
文で作成されたOracleウォレットはAES256で暗号化されます。 - ウォレットの削除
ウォレットは削除できますが、削除の際には注意が必要です。使用中のウォレットを削除すると、Oracle Database環境で問題が発生することがあります。
親トピック: Oracle Databaseウォレットと証明書の管理
B.3.1 PKCS#12ウォレットの作成
orapki
ユーティリティを使用して、PKCS#12のOracleウォレットを作成できます。
詳細は、次のとおりです。
wallet
はewallet.p12
ウォレット・ファイルを作成する場所を指定します。pwd
は、ウォレットに割り当てる新しいパスワードです。今後、自動ログイン・ウォレットを作成する場合は、このパスワードが必要になります。pwd
パラメータを使用してパスワードを指定していないと、新しいパスワードの入力と再入力を求めるメッセージが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。パスワードの作成時は、次の要件に従います。- 8文字以上の文字を使用します。最大長は無制限です。
- 英数字が混在したものを使用します。
親トピック: Oracle Databaseウォレットの管理
B.3.2 自動ログイン・ウォレットの作成
orapki
ユーティリティを使用して、自動ログイン・ウォレットを作成できます。
次のことに注意してください。
-
パスワードを使用しないで自動ログイン・ウォレットを変更または削除できます。ファイル・システム権限によって、このような自動ログイン・ウォレットに必要なセキュリティが提供されます。
-
このコマンドは
cwallet.sso
ファイルを作成します。
親トピック: Oracle Databaseウォレットの管理
B.3.3 ローカル自動ログイン・ウォレットの作成
orapki
ユーティリティでは、ローカル自動ログイン・ウォレットを作成できます。
-
自動ログイン・ウォレット(
cwallet.sso
)ファイルをwallet_file_directoryに作成します。 -
自動ログイン・ウォレットをPKCS#12ウォレット(
ewallet.p12
)に関連付けます。ewallet.p12
ファイルが存在しない場合は、このコマンドによって作成されます。 -
ローカルの自動ログイン・ウォレットを別のコンピュータに移動することはできません。それらは作成されたホストで使用する必要があります。
-
ローカルの自動ログイン・ウォレットを開く際にパスワードが不要な場合でも、ウォレットを変更または削除するには、関連付けられたPKCS#12ウォレットのパスワードを入力する必要があります。PKCS#12ウォレットを更新した場合、関連付けられた自動ログイン・ウォレットも更新されます。
親トピック: Oracle Databaseウォレットの管理
B.3.4 PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットの作成
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットを作成できます。
親トピック: Oracle Databaseウォレットの管理
B.3.5 ウォレットの表示
orapki
ユーティリティを使用して、ウォレットを表示できます。
.p12
のバイナリPKCS#12ファイル(ewallet.p12
)であることが必要です。
親トピック: Oracle Databaseウォレットの管理
B.3.6 ウォレットのパスワードの変更
orapki
ユーティリティを使用して、ウォレットのパスワードを変更できます。
親トピック: Oracle Databaseウォレットの管理
B.3.7 AES256アルゴリズムの使用を目的としたOracleウォレットの変換
デフォルトでは、ADMINISTER KEY MANAGEMENT
文またはALTER SYSTEM
文で作成されたOracleウォレットはAES256で暗号化されます。
orapki convert
コマンドを使用して、3DESなどのアルゴリズムよりも強力なAES256アルゴリズムを使用するようにウォレットを変換できます。orapki
で作成されるOracleウォレットは、デフォルトでAES256アルゴリズムを使用して作成されます。
親トピック: Oracle Databaseウォレットの管理
B.3.8 ウォレットの削除
ウォレットは削除できますが、削除の際には注意が必要です。使用中のウォレットを削除すると、Oracle Database環境で問題が発生することがあります。
親トピック: Oracle Databaseウォレットの管理
B.4 Oracle Database証明書の管理
ウォレットの作成後、ウォレットに関連付けられているエンティティのアイデンティティを検証するために、証明書を関連付けることができます。
- システム・ウォレットの証明書ストアの場所
システム・ウォレットは、証明書ストアの場所にあります。 - 証明書リクエストのOracleウォレットへの追加
orapki
ユーティリティを使用して、証明書および証明書リクエストをOracleウォレットに追加できます。 - 署名付き証明書の作成
orapki
ユーティリティは、中間キーまたはルート・キーでユーザー証明書リクエストに署名する方法を提供します。 - 自己署名ルートを使用した署名済証明書の作成
この証明書作成方法では、Oracleウォレットを自己署名証明書とともに使用します。 - 信頼できる証明書のOracleウォレットへの追加
orapki
ユーティリティを使用して、信頼できる証明書をOracleウォレットに追加できます。 - ルート証明書のOracleウォレットへの追加
orapki
ユーティリティを使用して、ルート証明書をOracleウォレットに追加できます。 - Microsoft Internet Explorerを使用した中間証明書を必要とするルート認証局の追加
この手順では、Microsoft Explorerバージョン5、6または7からダウンロードして、新規または置換ルート認証局(CA)をインストールする方法について説明します。 - ユーザー証明書のOracleウォレットへの追加
orapki
ユーティリティを使用して、ユーザー証明書をOracleウォレットに追加できます。 - PKCS#11ウォレットを使用したハードウェア・デバイス上の資格証明の検証
PKCS#11ウォレットを使用して、ハードウェア・デバイス上の資格証明を検証できます。 - PKCS#11情報のOracleウォレットへの追加
他のOracleウォレットと同様に、PKCS#11情報を含むウォレットを使用できます。 - 証明書の表示
証明書を作成した後は、orapki
ユーティリティを使用してその証明書を表示できます。 - MD5およびSHA-1証明書の使用の制御
sqlnet.ora
ファイルを使用して、MD5およびSHA-1署名付き証明書を受け入れるかどうかを制御できます。 - 証明書のインポートとエクスポートの操作
orapki
を使用すると、証明書をインポートおよびエクスポートできます。 - orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
証明書失効リスト(CRL)は、orapki
ユーティリティを使用して管理する必要があります。
親トピック: Oracle Databaseウォレットと証明書の管理
B.4.1 システム・ウォレットの証明書ストアの場所
システム・ウォレットは、証明書ストアの場所にあります。
デフォルトの証明書ストアの場所はプラットフォームによって異なります。Microsoft Windowsの場合は、Microsoft Certificate Store for Microsoft Windowsにあります。Linuxの場合、その場所は次のとおりです。
-
/etc/pki/tls/cert.pem
-
/etc/ssl/certs/ca-certificates.crt
-
/etc/pki/tls/certs/ca-bundle.crt
-
/etc/ssl/ca-bundle.pem
-
/etc/pki/tls/cacert.pem
-
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
-
/etc/ssl/cert.pem
認証局(CA)がこれらのいずれの場所にもない場合は、CA証明書ファイルを指すシンボリックリンク/etc/pki/tls/cert.pem
を作成できます。すべてのシステム証明書ストアの場所でサポートされているのは、PEM形式の証明書のみです。
親トピック: Oracle Database証明書の管理
B.4.2 Oracleウォレットへの証明書リクエストの追加
orapki
ユーティリティを使用して、証明書および証明書リクエストをOracleウォレットに追加できます。
親トピック: Oracle Database証明書の管理
B.4.3 署名付き証明書の作成
orapki
ユーティリティは、中間キーまたはルート・キーでユーザー証明書リクエストに署名する方法を提供します。
ほとんどの場合、このコマンドはテスト目的で署名付き証明書を作成するために使用されますが、その他の理由で使用することもあります。これにより、証明書リクエストから署名付き証明書が作成されます。(署名付き(または自己署名)証明書は、認証局(CA)が発行または署名するものではありません)。
親トピック: Oracle Database証明書の管理
B.4.4 自己署名ルートを使用した署名済証明書の作成
この証明書作成方法には、自己署名証明書を含むOracleウォレットの使用が含まれます。
公開認証局(CA)によって署名された証明書を使用すると、データベース・サーバーのルート信頼証明書がクライアントのデフォルトのトラスト・ストアですでに使用可能である可能性が高いため、TLS接続が簡略化されます。
親トピック: Oracle Database証明書の管理
B.4.5 Oracleウォレットへの信頼できる証明書の追加
orapki
ユーティリティを使用して、信頼できる証明書をOracleウォレットに追加できます。
-cert certificate_file_directory
)のウォレットに追加します。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖にあるすべての信頼できる証明書を追加する必要があります。そうしないと、ユーザー証明書を追加するコマンドは失敗します。
親トピック: Oracle Database証明書の管理
B.4.6 Oracleウォレットへのルート証明書の追加
orapki
ユーティリティを使用して、ルート証明書をOracleウォレットに追加できます。
親トピック: Oracle Database証明書の管理
B.4.7 Microsoft Internet Explorerを使用した中間証明書を必要とするルート認証局の追加
この手順では、Microsoft Explorerバージョン5、6、または7からダウンロードして、新規または置換ルート認証局(CA)をインストールする方法について説明します。
- Internet Explorerで、「ツール」、「インターネット オプション」、「コンテンツ」、「証明書」の順に選択します。
- 「信頼されたルート証明機関」タブを選択します。
- 「発行先: ...」を選択します。
- 「エクスポート」をクリックします。
- 開いたウィザードで、「次へ」、「Base-64エンコードX.509の選択(.CER)」を選択します。
- ファイル名を入力し、「終了」を選択します。
親トピック: Oracle Database証明書の管理
B.4.8 Oracleウォレットへのユーザー証明書の追加
orapki
ユーティリティを使用して、ユーザー証明書をOracleウォレットに追加できます。
親トピック: Oracle Database証明書の管理
B.4.9 PKCS#11ウォレットを使用するハードウェア・デバイスでの資格証明の検証
PKCS#11ウォレットを使用して、ハードウェア・デバイス上の資格証明を検証できます。
親トピック: Oracle Database証明書の管理
B.4.10 OracleウォレットへのPKCS#11情報の追加
他のOracleウォレットと同様に、PKCS#11情報を含むウォレットを使用できます。
親トピック: Oracle Database証明書の管理
B.4.12 MD5およびSHA-1証明書の使用の制御
sqlnet.ora
ファイルを使用して、MD5およびSHA-1署名付き証明書を受け入れるかどうかを制御できます。
sqlnet.ora
ファイルを編集して、その使用を有効または無効にします。
ノート:
MD5は、このリリースでは非推奨です。
親トピック: Oracle Database証明書の管理
B.4.13 証明書のインポートとエクスポートの操作
orapki
を使用すると、証明書をインポートおよびエクスポートできます。
- Oracleウォレットへのユーザー指定証明書または信頼できる証明書のインポート
Oracleウォレットにユーザー指定証明書または信頼できる証明書を追加できます。 - Oracleウォレットからの証明書と証明書リクエストのエクスポート
orapki
ユーティリティを使用して、Oracleウォレットから証明書および証明書リクエストをエクスポートできます。
親トピック: Oracle Database証明書の管理
B.4.13.1 ユーザー提供または信頼できる証明書のOracleウォレットへのインポート
ユーザー指定証明書または信頼できる証明書をOracleウォレットに追加できます。
親トピック: 証明書のインポートとエクスポートの操作
B.4.13.2 Oracleウォレットからの証明書および証明書リクエストのエクスポート
orapki
ユーティリティを使用して、Oracleウォレットから証明書および証明書リクエストをエクスポートできます。
- ウォレットからエクスポートする証明書のタイプに応じて、
orapki wallet export
コマンドを使用します。-cert
パラメータで指定したファイルに、証明書をサブジェクトの識別名(-dn
)でエクスポートするには:orapki wallet export -wallet wallet_file_directory -dn certificate_dn -cert certificate_filename
- 別名を使用して証明書をエクスポートするには:
orapki wallet export -wallet wallet_file_directory -alias alias_name -cert certificate_filename
-request
パラメータで指定したファイルに、証明書リクエストをサブジェクトの識別名(-dn
)でエクスポートするには:orapki wallet export -wallet wallet_file_directory -dn certificate_request_dn -request certificate_request_filename
- 秘密キーをエクスポートするには、次の構文を使用します。
orapki export_private_key -wallet wallet_file_directory -pvtkeyfile pvt_key_file -alias pvt_key_alias -pvtkeypwd pvt_key_password
親トピック: 証明書のインポートとエクスポートの操作
B.4.14 orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
証明書失効リスト(CRL)は、orapki
ユーティリティを使用して管理する必要があります。
このユーティリティは、CRL発行者名のハッシュ値を作成して、システム内でCRLの場所を特定します。orapki
を使用しないと、Oracleサーバーは、CRLを探してPKIデジタル証明書を検証することができません。
関連トピック
親トピック: Oracle Database証明書の管理
B.5 orapkiを使用したウォレットと証明書の作成例
orapki
コマンドの例には、ウォレットおよびユーザー証明書の作成、自己署名証明書を含むウォレットおよび証明書のエクスポートがあります。
- 例: 自己署名証明書を含むウォレットおよび証明書のエクスポート
orapki wallet add
コマンドで自己署名証明書を含むウォレットを作成し、orapki wallet export
で証明書をエクスポートできます。 - 例: ウォレットおよびユーザー証明書の作成
orapki
ユーティリティで、ウォレットおよびユーザー証明書を作成できます。
親トピック: Oracle Databaseウォレットと証明書の管理
B.5.1 例: 自己署名証明書を含むウォレットおよび証明書のエクスポート
orapki wallet add
コマンドで自己署名証明書を含むウォレットを作成し、orapki wallet export
で証明書をエクスポートできます。
次の例では、自己署名証明書を含むウォレットを作成し、そのウォレットを表示して証明書をファイルにエクスポートするステップを示します。
例B-1 自己署名証明書を含むウォレットの作成と証明書のエクスポート
-
ウォレットを作成します。
たとえば:
orapki wallet create -wallet /private/user/orapki_use/root Enter password: new_password Enter password again: new_password
ウォレットは、
/private/user/orapki_use/root
に作成されます。 -
自己署名証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/root -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650
この結果、3650日の有効期限を持つ自己署名された証明書が作成されます。サブジェクトの識別名は
CN=root_test,C=US
です。証明書のキー・サイズは2048ビットです。 -
ウォレットを表示して、ウォレットに証明書が含まれていることを確認します。
orapki wallet display -wallet /private/user/orapki_use/root
-
証明書をエクスポートします。
orapki wallet export -wallet /private/user/orapki_use/root -dn 'CN=root_test,C=US' -cert /private/user/orapki_use/root/b64certificate.txt
これにより、自己署名証明書がファイル
b64certificate.txt
にエクスポートされます。使用される識別名はステップ2と同じであることに注意してください。
親トピック: orapkiを使用したウォレットと証明書の作成例
B.5.2 例: ウォレットおよびユーザー証明書の作成
orapki
ユーティリティで、ウォレットおよびユーザー証明書を作成できます。
次に、ウォレットの作成、証明書リクエストの作成、証明書リクエストのエクスポート、テスト用のリクエストからの署名付き証明書の作成、証明書の表示、ウォレットへの信頼できる証明書の追加、およびウォレットへのユーザー証明書の追加のステップを示します。
例B-2 ウォレットおよびユーザー証明書の作成
-
自動ログインが有効なウォレットを作成します。
たとえば:
orapki wallet create -wallet /private/user/orapki_use/server -auto_login Enter wallet password: password
-
証明書リクエストをウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -dn 'CN=server_test,C=US' -keysize 2048
このコマンドにより、作成されたウォレット(
ewallet.p12
)に証明書リクエストが追加されます。サブジェクトの識別名はCN=server_test,C=US
です。指定されたキー・サイズは2048ビットで、そのサイズがセキュアなレベルに設定されます。 -
証明書リクエストをファイルにエクスポートします。
orapki wallet export -wallet /private/user/orapki_use/server -dn 'CN=server_test,C=US' -request /private/user/orapki_use/server/creq.txt
このコマンドにより、指定されたファイル(この場合は
creq.txt
)に証明書リクエストがエクスポートされます。 -
テスト用のリクエストからの署名付き証明書を作成します。
orapki cert create -wallet /private/user/orapki_use/root -request /private/user/orapki_use/server/creq.txt -cert /private/user/orapki_use/server/cert.txt -validity 3650
このコマンドにより、3650日の有効期限を持つ証明書
cert.txt
が作成されます。証明書は前のステップで生成された証明書リクエストから作成されます。 -
証明書を表示します。
orapki cert display -cert /private/user/orapki_use/server/cert.txt -complete
このコマンドにより、前のステップで生成された証明書が表示されます。
-complete
オプションでは、シリアル番号や公開キーなどの追加的な証明書情報を表示できます。 -
信頼できる証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -trusted_cert -cert /private/user/orapki_use/root/b64certificate.txt
このコマンドにより、信頼できる証明書
b64certificate.txt
がewallet.p12
ウォレットに追加されます。ユーザー証明書を追加する前に、ユーザー証明書の証明連鎖内のすべての信頼できる証明書を追加する必要があります。 -
ユーザー証明書をウォレットに追加します。
orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -user_cert -cert /private/user/orapki_use/server/cert.txt
このコマンドはユーザー証明書
cert.txt
をewallet.p12
ウォレットに追加します。
親トピック: orapkiを使用したウォレットと証明書の作成例
B.6 orapkiユーティリティ・コマンドのサマリー
orapki
コマンドは、ウォレット、証明書失効リスト(CRL)および証明書の様々な管理タスクを実行します。
- orapki cert create
orapki cert create
コマンドは、テスト用の署名付き証明書を作成します。 - orapki cert display
orapki cert display
コマンドは、指定された証明書の詳細を表示します。 - orapki crl delete
orapki crl delete
コマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)を削除します。 - orapki crl display
orapki crl display
コマンドは、Oracle Internet Directoryに格納されている、指定した証明書失効リスト(CRL)を表示します。 - orapki crl hash
orapki crl hash
コマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にCRLファイル・システムの場所を特定します。 - orapki crl list
orapki crl list
コマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)のリストを表示します。 - orapki crl upload
orapki crl upload
コマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードします。 - orapki wallet add
orapki wallet add
コマンドは、証明書リクエストおよび証明書をOracleウォレットに追加します。 - orapki wallet change_pwd
orapki wallet change_pwd
コマンドは、ウォレットのパスワードを変更します。 - orapki wallet convert
orapki wallet convert
コマンドは、Oracleウォレットで3DESアルゴリズムを変換してAES256アルゴリズムを使用します。 - orapki wallet create
orapki wallet create
コマンドは、Oracleウォレットの作成またはOracleウォレットの自動ログインの有効化を行います。 - orapki wallet display
orapki wallet display
コマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示します。 - orapki wallet export
orapki wallet export
コマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートします。 - orapki wallet export_private_key
orapki wallet export_private_key
コマンドは、ウォレットから秘密キーをエクスポートします。 - orapki wallet import_pkcs12
orapki wallet import_pkcs12
コマンドは、PKCS #12ファイルをウォレットにインポートします。 - orapki wallet import_private_key
orapki wallet import_private_key
コマンドは、ウォレットに秘密キーをインポートします。 - orapki wallet jks_to_pkcs12
orapki wallet jks_to_pkcs12
コマンドは、証明書情報を格納するためにJavaキーストアをPKCS #12形式に変換します。 - orapki wallet pkcs12_to_jks
orapki wallet pkcs12_to_jks
コマンドは、証明書情報を格納するためにPKCS #12キーストアをJavaキーストアに変換します。 - orapki wallet remove
orapki wallet remove
コマンドは、ウォレットを削除します。
親トピック: Oracle Databaseウォレットと証明書の管理
B.6.1 orapki cert create
orapki cert create
コマンドは、テスト用の署名付き証明書を作成します。
構文
orapki cert create [-wallet wallet_file_directory] -request certificate_request_location -cert certificate_file_directory -validity number_of_days
-
wallet
は、証明書リクエストへの署名に使用されるユーザー証明書と秘密キーを含む、ウォレットの場所を指定します。 -
request
は、作成する証明書の証明書リクエストの場所を指定します。 -
cert
は、ツールによって新しい署名付き証明書が配置されるディレクトリの場所を指定します。 -
validity
は、現在の日付から数えてこの証明書が有効である日数を指定します。
例
orapki cert create -wallet $ORACLE_HOME/admin/db_unique_name/wallet
-request $ORACLE_HOME/admin/db_unique_name/wallet/cert_reqs
-cert $ORACLE_HOME/admin/db_unique_name/wallet/certs
-validity 365 -summary
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.2 orapki cert display
orapki cert display
コマンドは、指定された証明書の詳細を表示します。
構文
orapki cert display -cert certificate_file_directory [-summary|-complete]
-
cert
は、表示する証明書の場所を指定します。 -
summary|complete
は、次の情報を表示します。-
summary
を使用すると、証明書およびその有効期限が表示されます。 -
complete
を使用すると、シリアル番号、公開キーなどの追加の証明書情報が表示されます。
-
例
orapki cert display -wallet $ORACLE_HOME/admin/db_unique_name/wallet/certs -summary
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.3 orapki crl delete
orapki crl delete
コマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)を削除します。
orapki
を使用してディレクトリからCRLを削除するユーザーは、CRLAdmins
(cn=CRLAdmins,cn=groups,%s_OracleContextDN%
)ディレクトリ・グループのメンバーである必要があります。
構文
orapki crl delete -issuer issuer_name -ldap hostname:ssl_port -user user_name [-wallet wallet_file_directory] [-summary]
-
issuer
は、CRLを発行した認証局(CA)の名前を指定します。 -
ldap
は、CRLを削除するディレクトリのホスト名とSSLポートを指定します。これは、認証なしの(Oracle Internet Directoryにアップロードされた)ディレクトリのSSLポートである必要があります。 -
user
は、ディレクトリのCRLサブツリーからCRLを削除する権限のあるディレクトリ・ユーザーのユーザー名を指定します。 -
wallet
は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリから削除する前に、ツールによってCAの証明書に対するCRLの有効性が検証されます。 -
summary
は、削除されたCRL LDAPエントリを表示します。
例
orapki crl delete -issuer psmith
-ldap hr_db:4415
-user psmith
-wallet $ORACLE_HOME/admin/db_unique_name/wallet
-summary
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.4 orapki crl display
orapki crl display
コマンドは、Oracle Internet Directoryに格納されている、指定した証明書失効リスト(CRL)を表示します。
構文
orapki crl display -crl crl_location [-wallet wallet_file_directory] [-summary|-complete]
-
crl
パラメータは、ディレクトリ内のCRLの場所を指定します。orapki crl list
コマンドを使用すると表示されるリストからCRLの位置を貼り付けると便利です。 -
wallet
(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLを表示する前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。 -
summary
およびcomplete
は、次の情報を表示します。-
summary
は、CRL発行者の名前とCRLの有効期間を含むリストを表示します。 -
complete
を選択すると、そのCRLに含まれるすべての失効した証明書のリストが表示されます。CRLのサイズによっては、このオプションの出力の表示に時間がかかる場合があります。
-
例
orapki crl display -crl $ORACLE_HOME/admin/db_unique_name/wallet/crls
-wallet $ORACLE_HOME/admin/db_unique_name/wallet
-summary
関連トピック
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.5 orapki crl hash
orapki crl hash
コマンドは、証明書失効リスト(CRL)発行者のハッシュ値を生成して、証明書検証用にCRLファイル・システムの場所を特定します。
構文
orapki crl hash -crl crl_filename|URL [-wallet wallet_file_directory] [-symlink|-copy] crl_directory [-summary]
-
crl
は、CRLまたはCRLがあるURLを含むファイル名を指定します。 -
wallet
(オプション)は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。 -
オペレーティング・システムに応じて、
-symlink
パラメータまたは-copy
パラメータのいずれかを使用します。-
(UNIX)
symlink
は、crl_directory
の場所にCRLへのシンボリック・リンクを作成します。 -
(Windows)
copy
は、crl_directory
の場所にCRLのコピーを作成します。
-
-
summary
は、CRL発行者の名前を表示します。
例
orapki crl hash -crl db_cert_rev
-wallet $ORACLE_HOME/admin/db_unique_name/wallet
-copy
-$ORACLE_HOME/admin/db_unique_name/wallet/crls
-summary
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.6 orapki crl list
orapki crl list
コマンドは、Oracle Internet Directoryに格納されている証明書失効リスト(CRL)のリストを表示します。
構文
このコマンドは、特定のCRLを検出してローカル・ファイル・システムで表示またはダウンロードする際に便利です。
orapki crl list -ldap hostname:ssl_port
ldap
は、CRLリストの作成対象のディレクトリ・サーバーのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。
例
orapki crl list -ldap hr_db:4415
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.7 orapki crl upload
orapki crl upload
コマンドは、証明書失効リスト(CRL)をOracle Internet DirectoryのCRLサブツリーにアップロードします。
CRLをディレクトリにアップロードするには、ディレクトリ管理グループCRLAdmins
(cn=CRLAdmins,cn=groups,%s_OracleContextDN%
)のメンバーである必要があることに注意してください。
構文
orapki crl upload -crl crl_location -ldap hostname:ssl_port -user username [-wallet wallet_file_directory] [-summary]
-
crl
は、ディレクトリの場所またはディレクトリにアップロードするCRLが配置されているURLを指定します。 -
ldap
は、CRLのアップロード先のディレクトリのホスト名およびSSLポートを指定します。このポートは、認証を使用しないディレクトリのSSLポートであることが必要です。 -
user
は、ディレクトリのCRLサブツリーにCRLを追加する権限のあるディレクトリ・ユーザーのユーザー名を指定します。 -
wallet
は、CRLを発行した認証局(CA)の証明書を含むウォレットの場所を指定します。これはオプションのパラメータです。これを使用すると、CRLをディレクトリにアップロードする前に、ツールによってCAの証明書に対するCRLの有効性が確認されます。 -
summary
を使用すると、CRL発行者名、およびCRLがディレクトリに格納されているLDAPエントリが表示されます。
例
orapki crl upload -crl $ORACLE_HOME/admin/db_unique_name/wallet/crls
-ldap hr_db:4415
-user psmith
-wallet $ORACLE_HOME/admin/db_unique_name/wallet
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.8 orapki wallet add
orapki wallet add
コマンドは、証明書リクエストおよび証明書をOracleウォレットに追加します。
構文
orapki add [-wallet [wallet_file_directory]] [-dn [user_dn]] -asym_alg [RSA|ECC] [-keysize [512|768|1024|2048|4096|8192|16384]] | [-eccurve [p192|p224|p256|p384|p521|k163|k233|k283|k409|k571|b163|b233|b283|b409|b571]] -self_signed [-validity [number_of_days]] | [-valid_from [mm/dd/yyyy] -valid_until [mm/dd/yyyy]] [-serial_file file_path] | [-serial_num serial_num]> -addext_ski -addext_ku digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment,keyAgreement,keyCertSign,cRLSign,encipherOnly,decipherOnly -addext_basic_cons [CA] | [-pathLen [pathlen]]] -addext_san [DNS:value] [-cert [file_name]] [-trusted_cert|-user_cert] [-pwd password] | [-auto_login_only] [-sign_alg md5|sha1|sha256|sha384|sha512|ecdsasha1|ecdsasha256|ecdsasha384|ecdsasha512] [SERVER_AUTH,CLIENT_AUTH|VALID_PEER|NULL]
-
wallet
は、証明書リクエストの追加先のウォレットの場所を指定します。 -
dn
は、追加する証明書の識別名を指定します。 -
keysize
は、証明書のキー・サイズをビット単位で指定します。入力するサイズは、証明書のセキュリティ強度を示します。値は次のとおりです。512
: 下位互換性のために含まれていて、FIPS以外のモードでサポートされます768
: FIPS以外のモードでサポートされます1024
: FIPS以外の証明書キーの現在のデフォルトであり、FIPS以外のモードでサポートされます2048
: FIPS証明書キーの現在のデフォルトです4096
: サイトの要件に従って必要に応じて指定します8192
: サイトの要件に従って必要に応じて指定します16384
: サイトの要件に従って必要に応じて指定します
asym_alg
は、自己署名証明書の場合に証明書の作成に使用するアルゴリズムを指定します(RSA
またはECC
)。self_signed
は、ルート証明書を作成および追加します。このオプションには、validity
オプションを指定するか、valid_from
オプションとvalit_until
オプションを指定します(必須)。serial_file
は、証明書のシリアル・ファイルの場所を指定します。serial_num
は、証明書のシリアル番号を指定します。addext_xyz
は、異なる制約を指定しますaddext_san
は、X509証明書の拡張機能であり、サブジェクト代替名の追加や、サブジェクトの識別に使用されます。このオプションでは、カンマで区切られたドメイン名の追加のみが可能になります。たとえば:addext_san DNS:value_1,DNS:value_2,DNS:value_3 -addext_san DNS:ns1.example.com,DNS:ns2.example.com
cert
は、追加する証明書の場所を指定します。trusted_cert | user_cert
は、追加する証明書のタイプ(信頼できる、またはユーザー)を指定します。sign_alg
は、証明書の署名に使用する署名アルゴリズムを指定します。この設定は、自己署名証明書にのみ適用されます。
リクエストに署名するには、エクスポート・オプションを使用してそのリクエストをエクスポートします。
信頼できる証明書を追加するには:
orapki wallet add -wallet wallet_file_directory -trusted_cert -cert certificate_file_directory
-
trusted_cert
は、-cert
で指定された場所にある信頼できる証明書をウォレットに追加します。
ルート証明書を追加するには:
orapki wallet add -wallet wallet_file_directory -dn certificate_dn -keySize 512|1024|2048 -self_signed -validity number_of_days
-
self_signed
は、ルート証明書を追加します。 -
validity
は必須です。これを使用して、現在の日付から数えてこのルート証明書が有効である日数を指定します。
ユーザー証明書を追加するには:
orapki wallet add -wallet wallet_file_directory -user_cert -cert certificate_file_directory
-
user_cert
は、-cert
パラメータで指定された場所にあるユーザー証明書をウォレットに追加します。ユーザー証明書をウォレットに追加する前に、証明連鎖を構成するすべての信頼できる証明書を追加する必要があります。ユーザー証明書を追加する前に、すべての信頼できる証明書がウォレットに追加されていない場合、ユーザー証明書の追加は失敗します。
例
orapki wallet add -wallet $ORACLE_HOME/admin/db_unique_name/wallet -dn "cn=mavis green, o=example, c=us" -keySize 2048
関連トピック
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.9 orapki wallet change_pwd
orapki wallet change_pwd
コマンドは、ウォレットのパスワードを変更します。
構文
orapki wallet change_pwd [-wallet wallet_file_directory] [-oldpwd old_wallet_password] [-newpwd new_wallet_password]
-
-wallet
は、パスワードを変更するウォレットの場所を指定します。 -
oldpwd
は、変更する現在のパスワードを指定します。 -
newpwd
は、新しいパスワードを指定します。次の要件に従ってください。- 8文字以上の文字を使用します。最大長は無制限です。
- 英数字が混在したものを使用します。
例
orapki wallet change_pwd -wallet wallet_file_directory -oldpwd old_wallet_password -newpwd new_wallet_password
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.10 orapki wallet convert
orapki wallet convert
コマンドは、Oracleウォレットで3DESアルゴリズムを変換してAES256アルゴリズムを使用します。
構文
orapki wallet convert -wallet wallet_file_directory [-pwd wallet_password] -compat_v12
-
wallet
は、自動ログインを有効にするウォレットの場所を指定します。 -
pwd
はウォレット・パスワードです。パスワードが指定されていないと、パスワード・プロンプトが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。 -
compat_v12
は、3DESからAES256への変換を行います。
例
orapki wallet convert -wallet $ORACLE_HOME/admin/db_unique_name/wallet compat_v12
Enter wallet password: password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.11 orapki wallet create
orapki wallet create
コマンドは、Oracleウォレットの作成またはOracleウォレットの自動ログインの有効化を行います。
構文
orapki wallet create -wallet wallet_file_directory [-auto_login|-auto_login_only|-auto_login_local] [-pwd password]
-
wallet
には、新しいウォレットの場所または自動ログインを有効にするウォレットの場所を指定します。 -
auto_login
により、自動ログイン・ウォレットが作成されるか、または、-wallet
オプションで指定されたウォレットの自動ログインが有効になります。 -
auto_login_only
は、パスワードを必要としない自動ログイン・ウォレットのタイプです。 -
auto_login_local
により、ローカル自動ログイン・ウォレットが作成されるか、または、-wallet
オプションで指定されたウォレットのローカル自動ログインが有効になります。 -
pwd
は、ウォレットに割り当てる新しいパスワードです。今後、自動ログイン・ウォレットを作成する場合は、このパスワードが必要になります。pwd
パラメータを使用してパスワードを指定していないと、新しいパスワードの入力と再入力を求めるメッセージが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。パスワードの作成時は、次の要件に従います。- 8文字以上の文字を使用します。最大長は無制限です。
- 英数字が混在したものを使用します。
例
orapki wallet create -wallet $ORACLE_HOME/admin/db_unique_name/wallet
Enter password: password
Enter password again: password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.12 orapki wallet display
orapki wallet display
コマンドは、Oracleウォレット内の証明書リクエスト、ユーザー証明書および信頼できる証明書を表示します。
構文
orapki wallet display -wallet wallet_file_directory
-
wallet
は、開くウォレットの場所を指定します(そのウォレットが現在の作業ディレクトリにない場合)。
例
orapki wallet display -wallet $ORACLE_HOME/admin/db_unique_name/wallet
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.13 orapki wallet export
orapki wallet export
コマンドは、証明書リクエストおよび証明書をOracleウォレットからエクスポートします。
構文
orapki wallet export -wallet wallet_file_directory -dn certificate_dn -cert certificate_filename
-
wallet
は、証明書のエクスポート元のウォレットの場所を指定します。 -
dn
は、証明書の識別名を指定します。 -
cert
は、エクスポートされる証明書を含むファイルの名前を指定します。
証明書リクエストをOracleウォレットからエクスポートするには:
orapki wallet export -wallet ./rsa_server_host_name -dn "O=Example, C=US" -request ./rsa_server_hostname/csr2.pem Enter wallet password: password
-
request
は、エクスポートされる証明書リクエストを含むファイルの名前を指定します。
例
orapki wallet export -wallet $ORACLE_HOME/admin/db_unique_name/wallet
-dn db_cert
-request db_req
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.14 orapki wallet export_private_key
orapki wallet export_private_key
コマンドは、ウォレットから秘密キーをエクスポートします。
構文
orapki wallet export_private_key [-wallet wallet_file_directory] [-pwd wallet_password] [-alias pvtkey_alias] [-pvtkeyfile filename] [-pvtkeypwd private_key_password] [-salt salt] [-cert certificate_filename] [-cacert ca_certificate_filename]
-
wallet
は、秘密キーのエクスポート元のウォレットの場所を指定します。 -
pvtkeyfile
は、秘密キー・ファイルの名前を指定します -
pvtkeypwd
は、秘密キーファイルのパスワードを指定します。省略すると、パスワード・プロンプトが表示されます。 -
salt
は、使用するsaltのタイプを指定します。 -
cert
は、証明書ファイル名を指定します。 -
cacert
は、CAファイル名を指定します。
例
orapki wallet export_private_key -wallet wallet_file_directory -alias pvtkey_alias
-pvtkeyfile pvt_key_filename -pvtkeypwd pvt_key_password -cert cert_file -cacert cacert_file
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.15 orapki wallet import_pkcs12
orapki wallet import_pkcs12
コマンドは、PKCS #12ファイルをウォレットにインポートします。
構文
orapki wallet import_pkcs12 –wallet wallet_location [-pwd wallet_password] [-auto_login_only]] -pkcs12file pkcs12_file_location [-pkcs12pwd pkcs12_file_password]
-
wallet
は、PKCS#12ファイルのインポート先の場所を指定します。 -
pkcs12file
は、ウォレットにインポートされるPKCS#12ファイルの場所を指定します。 -
pkcs12pwd
は、ウォレットにインポートされるPKCS#12ファイルのパスワードを指定します。省略すると、パスワード・プロンプトが表示されます。
例
orapki wallet import_pkcs12 -wallet wallet_location -pkcs12file pkcs12_file_location -pkcs12pwd pkcs12_file_password
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.16 orapki wallet import_private_key
orapki wallet import_private_key
コマンドは、ウォレットに秘密キーをインポートします。
構文
orapki wallet import_private_key [-wallet wallet_file_directory] [-pwd wallet_password] [-alias pvtkey_alias] [-pvtkeyfile filename] [-pvtkeypwd private_key_password] [-salt salt] [-cert certificate_filename] [-cacert ca_certificate_filename]
-
wallet
は、秘密キーのインポート先のウォレットの場所を指定します。 -
pvtkeyfile
は、秘密キー・ファイルの名前を指定します -
pvtkeypwd
は、秘密キーファイルのパスワードを指定します。省略すると、パスワード・プロンプトが表示されます。 -
salt
は、使用するsaltのタイプを指定します。 -
cert
は、証明書ファイル名を指定します。 -
cacert
は、CAファイル名を指定します。
例
orapki wallet import_private_key -wallet wallet_file_directory -alias pvtkey_alias
-pvtkeyfile pvt_key_filename -pvtkeypwd pvt_key_password -cert cert_file -cacert cacert_file
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.17 orapki wallet jks_to_pkcs12
orapki wallet jks_to_pkcs12
コマンドは、証明書情報を格納するためにJavaキーストアをPKCS #12形式に変換します。
PKCS #12形式を使用するウォレットをJavaキーストアに変換するには、orapki wallet pkcs12_to_jks
コマンドを使用できます。
構文
orapki wallet jks_to_pkcs12 [-wallet wallet_file_directory] [-pwd wallet_password] [-keystore keystore] [-jkspwd jks_password]
-
wallet
は、PKCS #12形式を使用するように変換するウォレットの場所を指定します。 -
keystore
は、変換するJavaキーストアの名前を指定します。 -
jkspwd
は、Javaキーストアのパスワードを指定します。省略すると、パスワード・プロンプトが表示されます。
例
orapki wallet jks_to_pkcs12 -wallet wallet_file_directory -keystore keystore_name -jkspwd keystore_password
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.18 orapki wallet pkcs12_to_jks
orapki wallet pkcs12_to_jks
コマンドは、証明書情報を格納するためにPKCS #12キーストアをJavaキーストアに変換します。
Javaキーストア・ウォレットをPKCS #12形式に変換してJavaキーストアに変換するには、orapki wallet jks_to_pkcs12
コマンドを使用できます。
構文
orapki wallet pkcs12_to_jks [-wallet wallet_file_directory] [-pwd wallet_password] [-jksKeyStoreLoc Java_keystore_location -jksKeyStorepwd Java_keystore_password] [-jksTrustStoreLoc jks_trust_store_location -jksTrustStorepwd jks_trust_store_password]
-
wallet
は、Javaキーストア形式を使用するように変換するウォレットの場所を指定します。 -
jksKeyStoreLoc
は、作成されるJavaキーストアの場所を指定します。 -
jksTrustStorepwd
は、JKSトラスト・ストアのパスワードを指定します。省略すると、パスワード・プロンプトが表示されます。
例
orapki wallet pkcs12_to_jks -wallet wallet_file_directory -jksKeyStoreLoc Java_keystore_location -jkspwd Java_keystore_password
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.6.19 orapki wallet remove
orapki wallet remove
コマンドは、ウォレットを削除します。
構文
orapki wallet remove [-wallet wallet_file_directory] [-dn subject_dn] | -alias alias] [-issuer_dn issuer_dn] [-serial_num serial_num] [-trusted_cert_all|-trusted_cert|-user_cert|-cert_req] [-pwd wallet_password | [-auto_login_only]
-
wallet
は削除するウォレットの場所を指定します。 -
dn
は、ウォレットの識別名を指定します。 -
alias
は、このウォレットの別名を指定します。 -
issuer_dn
は、DNの発行者を指定します。 -
issuer_dn
は、DNの発行者を指定します。 -
issuer_dn
は、DNの発行者を指定します。 -
trusted_cert_all|-trusted_cert|-user_cert|-cert_req
は、このウォレットに関連付けられている証明書のタイプを指定します。 -
issuer_dn
は、DNの発行者を指定します。
例
orapki wallet remove -wallet wallet_file_directory -dn certificate_dn
Enter password: wallet_password
親トピック: orapkiユーティリティ・コマンドのサマリー
B.7 mkstoreユーティリティ・コマンドのサマリー
Oracle Databaseクライアントとサーバーのインストール時に利用できるmkstore
コマンドライン・ユーティリティを使用すると、ウォレットの作成と、ユーザー名やパスワードなどの資格証明シークレットの追加ができます。Oracle Databaseリリース23c以降、mkstore
は非推奨です。かわりにorapki
を使用します。
- mkstore create
mkstore create
コマンドは、ウォレット(cwallet.sso
およびewallet.p12
)をコマンドラインで作成します。 - mkstore createALO
mkstore createALO
コマンドは、自動ログイン・ウォレット(cwallet.sso
)を作成します。 - mkstore createCredential
mkstore createCredential
コマンドは、ウォレットにデータベース接続資格証明を作成します。 - mkstore createEntry
mkstore createEntry
コマンドは、別名に対してシークレット・テキストを保存します。 - mkstore createUserCredential
mkstore createUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを作成します。 - mkstore delete
mkstore delete
コマンドは、ウォレットを削除します。 - mkstore deleteCredential
mkstore deleteCredential
コマンドは、データベース・ログイン資格証明をウォレットから削除します。 - mkstore deleteEntry
mkstore deleteEntry
コマンドは、ウォレット内にある別名のシークレット・エントリを削除します。 - mkstore deleteSSO
mkstore deleteSSO
コマンドは、自動ログイン・ウォレットを削除します。 - mkstore deleteUserCredential
mkstore deleteUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを削除します。 - mkstore list
mkstore list
コマンドは、ウォレット内の識別子をリストします。 - mkstore listCredential
mkstore listCredential
コマンドは、外部パスワード・ストアの内容をリストします。 - mkstore modifyCredential
mkstore modifyCredential
コマンドは、ウォレット内のデータベース・ログイン資格証明を変更します。 - mkstore modifyEntry
mkstore modifyEntry
コマンドは、ウォレット内にある別名のシークレット・エントリを変更します。 - mkstore modifyUserCredential
mkstore modifyUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを変更します。 - mkstore viewEntry
mkstore viewEntry
コマンドは、ウォレット内にある別名のシークレット・エントリをリストします。
親トピック: Oracle Databaseウォレットと証明書の管理
B.7.1 mkstore create
mkstore create
コマンドは、ウォレット(cwallet.sso
およびewallet.p12
)をコマンドラインで作成します。
構文
mkstore -wrl wallet_file_directory -create
-
wrl
は、ウォレットを作成して格納するディレクトリのパスを指定します。 -
このコマンドでは、新しいパスワードを入力または再入力するよう求められます。パスワードの作成時は、次の要件に従います。
- 8文字以上の文字を使用します。最大長は無制限です。
- 英数字が混在したものを使用します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -create
Enter password: password
Enter password again: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.2 mkstore createALO
mkstore createALO
コマンドは、自動ログイン・ウォレット(cwallet.sso
)を作成します。
構文
mkstore -wrl wallet_file_directory -createALO
-
wrl
は、自動ログイン・ウォレットを作成して格納するディレクトリのパスを指定します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -createALO
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.3 mkstore createCredential
mkstore createCredential
コマンドは、ウォレットにデータベース接続資格証明を作成します。
構文
mkstore -wrl wallet_file_directory -createCredential db_connect_string username password
-
wrl
はウォレットを作成したディレクトリへのパスを指定します。 -
db_connect_string
は、tnsnames.ora
ファイルでデータベースの指定に使用するTNS別名、またはOracle Databaseネットワーク上のデータベースを識別するために使用するサービス名です。 username
とpassword
はデータベース・ログインの資格証明です。パスワードが指定されていないと、パスワード・プロンプトが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -createCredential DBFS dbfs_admin
Enter password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.4 mkstore createEntry
mkstore createEntry
コマンドは、別名に対してシークレット・テキストを保存します。
構文
mkstore -wrl wallet_file_directory -createEntry alias secret
-
wrl
は、エントリを作成する必要があるディレクトリ・ウォレットへのパスを指定します。 -
alias
はシークレット・テキストを格納する別名の名前です。 -
secret
は格納する必要があるシークレット・テキストを指定します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -createEntry oracle.security.client.default_username SCOTT
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.5 mkstore createUserCredential
mkstore createUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを作成します。
構文
mkstore -wrl wallet_file_directory -createUserCredential map key username password
-
wrl
はウォレットを作成したディレクトリへのパスを指定します。 -
map
は、Oracle Platform Security Services (OPSS)の資格証明ストア・フレームワーク(CSF)で資格証明を参照するために使用されるマップです。これをキーと組み合せることで、資格証明の別名を作成します。 -
key
は、OPSS CSFでの資格証明の参照に使用されるキーです。これをマップと組み合せることで、資格証明の別名を作成します。 username
はシークレット・ストアに格納されるユーザー名です。ユーザー名の指定がない場合、mkstore
は、ユーザー名を資格証明でNO_USER
として設定します。password
はシークレット・ストアに格納されるパスワードです。パスワードが指定されていないと、パスワード・プロンプトが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -createUserCredential ofss.map cwalletkey ofss
Enter your secret/Password: password
Re-enter your secret/Password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.6 mkstore delete
mkstore delete
コマンドは、ウォレットを削除します。
構文
mkstore -wrl wallet_file_directory -delete
-
wallet
は削除するウォレットの場所を指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -delete
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.7 mkstore deleteCredential
mkstore deleteCredential
コマンドは、データベース・ログイン資格証明をウォレットから削除します。
構文
mkstore -wrl wallet_file_directory -deleteCredential connect_string
-
wrl
は、削除する資格証明が含まれるウォレットの場所を指定します。 -
connect_string
は、tnsnames.ora
ファイルでデータベースの指定に使用するTNS別名、またはOracle Databaseネットワーク上のデータベースを識別するために使用するサービス名です。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -deleteCredential DBFS dbfs_admin
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.8 mkstore deleteEntry
mkstore deleteEntry
コマンドは、ウォレット内にある別名のシークレット・エントリを削除します。
構文
mkstore -wrl wallet_file_directory -deleteEntry alias
-
wrl
は、指定した別名のシークレット・エントリが含まれるウォレットの場所を指定します。 -
alias
は、シークレット・エントリを削除する必要がある別名の名前を指定します。 -
このコマンドでは、新しいパスワードを入力または再入力するよう求められます。パスワードの作成時は、次の要件に従います。
- 8文字以上の文字を使用します。最大長は無制限です。
- 英数字が混在したものを使用します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -deleteEntry db_alias
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.9 mkstore deleteSSO
mkstore deleteSSO
コマンドは、自動ログイン・ウォレットを削除します。
構文
mkstore -wrl wallet_file_directory -deleteSSO
-
wrl
は削除するSSOウォレットの場所を指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -deleteSSO
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.10 mkstore deleteUserCredential
mkstore deleteUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを削除します。
構文
mkstore -wrl wallet_file_directory -deleteUserCredential map key
-
wrl
は、削除する資格証明オブジェクトが含まれるウォレットの場所を指定します。 -
map
は、Oracle Platform Security Services (OPSS)の資格証明ストア・フレームワーク(CSF)で資格証明を参照するために使用されるマップを指定します。これをキーと組み合せることで、資格証明の別名を作成します。 key
は、OPSS CSFで資格証明を参照するために使用されるキーを指定します。これをマップと組み合せることで、資格証明の別名を作成します。-
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -deleteUserCredential ofss.map cwalletkey
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.11 mkstore list
mkstore list
コマンドは、ウォレット内の識別子をリストします。
構文
mkstore -wrl wallet_file_directory -list
-
wrl
は、識別子をリストする必要があるウォレットの場所を指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -list
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.12 mkstore listCredential
mkstore listCredential
コマンドは、外部パスワード・ストアの内容をリストします。
構文
mkstore -wrl wallet_file_directory -listCredential
-
wrl
は、外部パスワード・ストア資格証明を表示する必要があるウォレットの場所を指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -listCredential
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.13 mkstore modifyCredential
mkstore modifyCredential
コマンドは、ウォレット内のデータベース・ログイン資格証明を変更します。
構文
mkstore -wrl wallet_file_directory] -modifyCredential connect_string username password
-
wrl
は、ウォレットの場所を指定します -
db_connect_string
は、tnsnames.ora
ファイルでデータベースの指定に使用されるTNS別名、またはOracle Databaseネットワーク上のデータベースを識別するために使用されるサービス名です。 -
username
とpassword
はデータベース・ログインの資格証明です。パスワードが指定されていないと、パスワード・プロンプトが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -modifyCredential DBFS sec_admin
Enter your secret/Password: password
Re-enter your secret/Password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.14 mkstore modifyEntry
mkstore modifyEntry
コマンドは、ウォレット内にある別名のシークレット・エントリを変更します。
構文
mkstore -wrl wallet_file_directory -modifyEntry alias secret
-
wrl
は、変更するシークレット・エントリが含まれるウォレットの場所を指定します。 -
alias
はシークレット・テキストの別名です。 -
secret
はシークレット・テキストを指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -modifyEntry oracle.security.client.default_username PSMITH
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.15 mkstore modifyUserCredential
mkstore modifyUserCredential
コマンドは、マップとキー名から構成された別名で参照される資格証明オブジェクトを変更します。
構文
mkstore -wrl wallet_file_directory -modifyUserCredential map key username password
-
wallet
は、ユーザー資格証明を変更する必要があるウォレットの場所を指定します。 -
map
は、Oracle Platform Security Services (OPSS)の資格証明ストア・フレームワーク(CSF)で資格証明を参照するために使用されるマップです。これをキーと組み合せることで、資格証明の別名を作成します。 -
key
は、OPSS CSFでの資格証明の参照に使用されるキーです。これをマップと組み合せることで、資格証明の別名を作成します。 username
はシークレット・ストアに格納されるユーザー名です。ユーザー名の指定がない場合、mkstore
は、ユーザー名を資格証明でNO_USER
として設定します。password
はシークレット・ストアに格納されるパスワードです。パスワードが指定されていないと、パスワード・プロンプトが表示されます。セキュリティ向上のために、パスワードはコマンドラインで入力するのではなく、プロンプトで入力します。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -modifyUserCredential connect_string.map cwalletkey sample_user
Enter your secret/Password: password
Re-enter your secret/Password: password
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー
B.7.16 mkstore viewEntry
mkstore viewEntry
コマンドは、ウォレット内にある別名のシークレット・エントリをリストします。
構文
mkstore -wrl wallet_file_directory -viewEntry alias
-
wrl
は、表示するシークレット・エントリが含まれるウォレットの場所を指定します。 -
alias
は別名の名前を指定します。 -
このコマンドでは、ウォレット・パスワードを入力するよう求められます。
例
mkstore -wrl $ORACLE_HOME/admin/db_unique_name/wallet -viewEntry db_alias
Enter wallet password: password
親トピック: mkstoreユーティリティ・コマンドのサマリー