20 コンソール証明書の管理

Oracle Key Vault管理コンソールを使用して、コンソールの証明書を管理できます。

• コンソール証明書の管理について
  Oracle Key Vaultでは、よりセキュアな接続を確保するために認証局(CA)によって署名された証明書をインストールできます。
• ステップ1: 証明書リクエストのダウンロード
  コンソール証明書をリクエストするときに、警告メッセージを抑止できます。
• ステップ2: 証明書の署名
  Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。
• ステップ3: 署名付き証明書のOracle Key Vaultへのアップロード
  署名付き証明書のアップロードに加えて、必要に応じて証明書の非アクティブ化と再アクティブ化を選択できます。
• 特別なユースケース・シナリオでのコンソール証明書
  状況によっては、コンソール証明書を使用する際に追加のステップを実行する必要があります。

20.1 コンソール証明書の管理について

Oracle Key Vaultでは、よりセキュアな接続を確保するために認証局(CA)によって署名された証明書をインストールできます。

ユーザーのアイデンティティの証明、通信チャネルの暗号化、およびOracle Key Vaultシステム全体の交換対象データの保護を目的として、サードパーティのCAが署名した証明書をOracle Key Vaultにアップロードできます。

コンソール証明書をインストールするには、証明書リクエストを生成し、CAによる署名を取得して、署名付き証明書をOracle Key Vaultにアップロードしなおす必要があります。

20.2 ステップ1: 証明書リクエストのダウンロード

コンソール証明書をリクエストするときに、警告メッセージを抑止できます。

これらの警告メッセージは、ブラウザで、サーバー証明書の属性とOracle Key Vault管理コンソールへのログイン・セッションの属性の間に不一致が検出された場合に表示されます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Console Certificate」をクリックします。
4. 「Console Certificate」ページで、「Generate Certificate Request」をクリックします。
   
   図218_generate_cert_request.pngの説明
5. 「Common Name」の横に表示されるOracle Key Vaultサーバーのホスト名を変更する必要がある場合は、「Change」をクリックします。
   「Network Details」ウィンドウが表示され、「Host Name」設定を変更できます。その後、「Save」をクリックします。

   ノート:

   Oracle Key Vaultサーバーのホスト名を変更せずに、引き続き完全修飾ドメイン名(FQDN)を使用する必要がある場合は、FQDNをSANフィールドに追加します。また、Oracle Key Vaultサーバーに対して2つのFQDNをサポートすることもでき、その場合は、ホスト名の変更によって一方を、SANフィールドへの追加によって他方をサポートします。
6. サーバーIPアドレスの変更に関するブラウザ警告の表示を抑止する場合は、「Suppress warnings for IP based URL access」というテキストの左側にあるチェック・ボックスを選択します。
7. アスタリスクが付いた必須フィールド(「Organization Name」および「Country / Region」)に値を入力します。
   エラーなく続行するには、これらのフィールドには値を入力する必要があります。必要に応じて、残りのオプション・フィールドに値を入力します。
8. 右上にある「Submit and Download」をクリックします。
   ディレクトリ・ウィンドウが表示され、certificate.csrファイルを保存できます。ディレクトリを選択し、セキュアな場所にファイルを保存します。

   ノート:

   複数の証明書署名リクエストが同時に生成される場合は、「Generate Certificate Request」ページをリロードして、表内の情報が正しいcertificate.csr ファイルと一致することを確認することにより、最後に生成された証明書署名リクエストを確認できます。ページのリロード時に表が移入されない場合は、破損したcertificate.csrファイルがあることを示しています。これを解決するには、「ステップ1: 証明書リクエストのダウンロード」で概説したステップに従って、新しいcertificate.csrファイルを生成します。

20.3 ステップ2: 証明書の署名

Oracle Key Vault certificate.csrファイルをダウンロードした後、署名を受けることができます。

• 任意のバンド外の方式を使用して、certificate.csrファイルに選択したCAによる署名を取得します。

その後、管理コンソールを使用して、署名付き証明書をOracle Key Vaultにアップロードしなおすことができます。

20.4 ステップ3: Oracle Key Vaultへの署名付き証明書のアップロード

署名付き証明書のアップロードに加えて、オプションで証明書の非アクティブ化および再アクティブ化を選択できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Certificates」領域で、「Console Certificate」をクリックします。
4. 右上にある「Upload Certificate」をクリックして、「Upload Certificate」ページを表示します。
5. 「Choose File」を選択して、ローカル・システム上のディレクトリ・ウィンドウを表示します。
6. 署名付き証明書が格納されているディレクトリにナビゲートし、それを選択します。終了したら、「Choose File」というテキストの右側にファイル名が表示されます。
   証明書を選択すると、「Choose File」の右側にファイル名が表示されます。
7. 「Upload」をクリックします。
   証明書がエラーなくインストールされると、その詳細が「Console Certificate」のすぐ下の新しい「Uploaded Certificate Details」パネルに表示されます。

この段階では、必要に応じて、「Uploaded Certificate Details」セクションの右上にある「Deactivate」をクリックして、証明書を非アクティブ化できます。証明書を非アクティブ化すると、「Deactivate」ボタンが「Apply Certificate」ボタンに置き換わります。このボタンをクリックすると、証明書を再アクティブ化できます。

ノート:

証明書を非アクティブ化した後、それを再アクティブ化できるのは、新しい証明書のリクエストが生成されるまでです。このシナリオでは、古い証明書を再アクティブ化するのではなく、新しい署名付き証明書(新しい証明書のリクエストによって生成される)をアップロードする必要があります。

20.5 特殊なユース・ケース・シナリオのコンソール証明書

状況によっては、コンソール証明書を使用する際に追加のステップを実行する必要があります。

• プライマリ・スタンバイ環境: プライマリ・スタンバイ構成でコンソール証明書を使用する場合は、最初にプライマリ・サーバーおよびスタンバイ・サーバーに証明書をインストールし、次に、それらをペアにする必要があります。

• バックアップからリストアされたデータ: コンソール証明書をインストールしてバックアップを実行し、その後、そのバックアップから別のOracle Key Vaultアプライアンスをリストアした場合は、コンソール証明書を使用する前に、新しいサーバーにコンソール証明書を再インストールする必要があります。リストア・プロセスではコンソール証明書はコピーされません。