1. 管理者ガイド
  2. サービス証明書の管理

19 サービス証明書の管理

この章では、Oracle Key Vaultで生成された証明書について説明しており、自己署名証明書およびサード・パーティの証明書を管理する方法を学習できます。

19.1 Oracle Key Vault証明書の概要

Oracle Key Vaultは、エンドポイント認証、サーバー認証、TLSプロトコルを使用した通信チャネルの保護など、様々な目的で証明書を使用します。

TLSプロトコルは、Oracle Key Vaultサーバーまたはノードとエンドポイントの間の通信を保護します。TLSプロトコルでは、クラスタ・デプロイメントのOracle Key Vaultノード間またはプライマリ/スタンバイ・デプロイメントのOracle Key Vaultサーバー間のバック・チャネル通信も保護されます。エンドポイントおよびOracle Key Vaultサーバーまたはクラスタ・ノードによって使用されるTLS証明書は、そのCA証明書を使用してOracle Key Vault自体によって発行されます。Oracle Key VaultのCA証明書は、自己署名ルートCAまたは中間CAになります。

Oracle Key Vaultは、TLS証明書を生成しますが、中間CA証明書は例外です。

CA証明書

CA証明書は、Oracle Key Vaultがエンドポイント証明書およびサーバー証明書またはノード証明書の発行に使用する、自己署名ルートCAまたは中間CA証明書です。自己署名ルートCA証明書は、Oracle Key Vaultのインストール時に生成されます。ユーザーは、これをインストール後またはアップグレード後の組織独自の内部CAまたはサードパーティCAのによって署名された中間CA証明書に置き換えることができます。CA証明書は、マルチマスター・クラスタ・デプロイメントのすべてのノードと、プライマリ/スタンバイ・デプロイメントのプライマリ・サーバーとスタンバイ・サーバーの両方で同じです。CA証明書はコンソール証明書とは異なります。

期限切れになる前にCA証明書をローテーションしないと、どのエンドポイントもOracle Key VaultサーバーやOracle Key Vaultクラスタのノードと通信できず、すべてのエンドポイントで停止時間が発生します。クラスタ・デプロイメントでは、どのOracle Key Vaultノードも相互に通信できず、プライマリ/スタンバイの場合は、プライマリ・サーバーとスタンバイ・サーバー間の通信で障害が発生します。

ノート:

エンドポイントの停止を防ぐために、期限切れになる前にCA証明書をローテーションする必要があります。CA証明書の有効期限の数週間前にCA証明書のローテーションを開始して、Oracle Key Vaultデプロイメントおよびエンドポイントの停止を防止します。

CA証明書をローテーションすると、サーバー証明書またはノード証明書およびエンドポイント証明書もローテーションされます。

サーバーおよびノードの証明書

サーバー証明書またはノード証明書は、Oracle Key Vaultサーバーまたはクラスタ・ノードのTLS証明書です。スタンドアロンまたはプライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultはサーバー証明書を使用してエンドポイントと通信します。Oracle Key Vaultのマルチマスター・デプロイメントでは、各クラスタ・ノードに独自のノード証明書があります。Oracle Key Vaultクラスタ・ノードは、ノード証明書を使用して相互に、およびエンドポイントと通信します。

これらの証明書は、スタンドアロンおよびプライマリ/スタンバイ・システムではサーバー証明書と呼ばれ、マルチマスター・クラスタ構成ではノード証明書と呼ばれます。Oracle Key Vault CA証明書は、これらの証明書の発行に使用されます。

サーバー証明書およびノード証明書のローテーションの管理の項の説明に従って、期限切れになる前にサーバー証明書またはノード証明書をローテーションします。CA証明書およびエンドポイント証明書は、サーバー証明書またはノード証明書のローテーション時にローテーションされません。

ノート:

マルチマスター・クラスタ・デプロイメントでのノード証明書のローテーションは、ノードごとの操作です。

サーバー証明書が期限切れになる前にスタンドアロン・デプロイメントでローテーションされない場合、どのエンドポイントもOracle Key Vaultサーバーと通信できず、すべてのエンドポイントで停止時間が発生します。期限切れになる前にプライマリ/スタンバイ・デプロイメントでサーバー証明書をローテーションしないと、どのエンドポイントもプライマリ・サーバーと通信できず、すべてのエンドポイントで停止時間が発生します。

期限切れになる前にクラスタ・デプロイメントでノード証明書をローテーションしない場合、エンドポイントは、キーの取得などのエンドポイント操作に他のノードを使用します。ただし、ノード間通信は影響を受け、新しいエンドポイントの作成や新しいウォレットの作成などの操作に影響します。

ノート:

クラスタ・デプロイメント内のすべてのノード証明書が期限切れの場合、エンドポイントはマルチマスター・クラスタ内のどのノードとも通信できません。

エンドポイント証明書

各エンドポイントには、Oracle Key Vaultでエンドポイントを認証するために使用される一意のエンドポイントTLS証明書が発行されます。Oracle Key Vault認証局(CA)証明書は、エンドポイント証明書の発行に使用されます。エンドポイント証明書のローテーションの項の説明に従って、エンドポイントの証明書を、期限切れになる前にローテーションします。CA証明書、サーバー証明書またはノード証明書は、エンドポイント証明書のローテーション時にローテーションされません。

エンドポイントは、その証明書が期限切れになる前にローテーションしないと、停止時間が発生し、再エンロールが必要になります。

関連トピック

親トピック: サービス証明書の管理

19.2 証明書の有効期間

セキュリティ、コンプライアンスおよび運用上の要件を満たすように、Oracle Key Vault証明書の有効期間を設定できます。

親トピック: サービス証明書の管理

19.2.1 証明書の有効期間について

コンプライアンスおよびセキュリティのベスト・プラクティスでは、証明書の目的と使用に応じて、証明書の有効性の要件が異なります。

Oracle Key Vaultリリース・バージョン21.3まででは、簡潔にするために、Oracle Key Vault CA証明書、サーバーまたはノード証明書、およびエンドポイント証明書(自己署名ルートCA証明書を含む)の3種類すべてがまとめてローテーションされます。ただし、サーバー証明書またはノード証明書、エンドポイント証明書、およびCA証明書の有効期間は異なる場合があります。一般に、エンドポイント証明書およびサーバー証明書またはノード証明書の有効期間の要件は、CA証明書の有効期間の要件とは異なります。自己署名付きルートCA、サーバー証明書またはノード証明書、およびエンドポイント証明書の有効期間は、それぞれ異なる値で構成できます。CA証明書のローテーションとは関係なく、サーバー証明書またはノード証明書をローテーションできます。Oracle Key Vaultリリース21.5以降では、CA証明書、およびサーバーまたはノード証明書については、別々にエンドポイント証明書をローテーションできます。

Oracle Key VaultのTLS証明書の有効期間のデフォルトと範囲を次に示します。

表19-1 証明書の有効期間

証明書 デフォルトの有効性(製品提供時) 最小の有効性 最大の有効性

自己署名ルートCA

1095日(3年)

 365日(1年)

3650日(10年)
中間CA 署名CAにより定義 署名CAにより定義 署名CAにより定義

サーバー/ノード証明書

365日(1年)

 365日(1年)

1095日(3年)

エンドポイント証明書

365日(1年)

 365日(1年)

1095日(3年)

証明書の有効期限によって、証明書の有効期限が自動的に決定されます。期限切れになる前に証明書をローテーションします。

要件を満たすように、証明書のタイプごとに異なる有効期間を設定できます。

証明書の有効期間を設定しても、既存の証明書の有効期間には影響しません。構成された有効期間は、証明書のローテーション中、あるいは新しいエンドポイントまたはクラスタ・ノードの設定時に、新しい証明書が生成されると有効になります。

CA署名機関は、中間CA証明書の有効期間を設定します。

ノート:

Oracle Key Vaultリリース21.4まででは、わかりやすくするために、3種類すべての証明書(自己署名ルートCA証明書、サーバーまたはノード証明書、およびエンドポイント証明書)で、有効期間が同じでした。サーバーまたはノード証明書をCA証明書のローテーションと関係なくローテーションすることも、それらを別々の証明書有効期間にして構成することもできませんでした。Oracle Key Vaultリリース21.5まで、エンドポイント証明書をCA証明書のローテーションと関係なくローテーションすることはできませんでした。

関連トピック

親トピック: 証明書の有効期間

19.2.2 自己署名ルートCA証明書の有効期間の設定

Oracle Key Vault管理コンソールから、自己署名ルート認証局(CA)証明書の有効期間を構成できます。

CA証明書の有効期間によって、CA証明書の終了日が制御されます。CA証明書の終了日は、発行時のサーバー証明書、ノード証明書およびエンドポイント証明書の有効期間の上限として機能します。
自己署名ルートCA証明書の有効性を設定しても有効になりません。つまり、使用に切り替えてください。CA証明書のローテーションで説明されているように、設定された有効期間を使用して新しい自己署名ルートCAを生成して有効にするには、CA証明書をローテーションする必要があります。

自己署名ルートCAの有効期間を設定する手順:
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションを選択します。「Self-Signed Root CA」オプションがデフォルトで選択されます。
  6. 「Self-Signed Root CA Certificate Validity (in days)」フィールドに有効性の値を設定します。デフォルトは1095日(3年)です。有効期間は最大で3650日(10年)、最小で365日(1年)に設定できます。
  7. 「Save」をクリックします。

親トピック: 証明書の有効期間

19.2.3 サーバー証明書およびノード証明書の証明書有効期間の構成

サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。

証明書有効期間は、次にサーバー証明書およびノード証明書をローテーションしたときに有効になります。これは、CA証明書のローテーションの一部としてサーバー証明書またはノード証明書を生成するか、クラスタに新しいノードを追加しても、新規ノードのノード証明書に対して考慮されます。サーバーまたはノードの証明書の有効性の設定値に関係なく、証明書が最終的に生成されると、その失効日は必ずCA証明書の失効日よりも前になります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. 環境に応じて、次を実行します。
    • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
    • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
  5. 「Server Certificate Validity (in days)」フィールドまたは「Node Certificate Validity (in days)」フィールドで、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
  6. 「Save」をクリックします。

親トピック: 証明書の有効期間

19.2.4 エンドポイント証明書の証明書有効期間の構成について

エンドポイント証明書の有効期間は、グローバル・エンドポイント構成パラメータで設定できます。

デフォルト値は365日(1年)です。有効期間は最大で1095日(3年)、最小で365日(1年)に設定できます。

証明書の有効期間は、次に既存のエンドポイントがローテーションまたは再エンロールされたとき、または新しいエンドポイントが追加されたときに有効になります。エンドポイント証明書の有効性の設定値に関係なく、エンドポイントが最終的にローテーションされると、エンドポイント証明書の失効日は必ずCA証明書の失効日よりも前になります。

関連トピック

親トピック: 証明書の有効期間

19.3 証明書の有効期限の監視

アラートを事前に設定し、Oracle Key Vault証明書の失効日を監視して、期限切れになる前にローテーションします。

親トピック: サービス証明書の管理

19.3.1 証明書の有効期限アラートを使用した証明書の有効期限の監視

有効期限アラートをリマインダとして設定し、有効期限より前に証明書をローテーションします。

証明書(特にCA証明書)の有効期限によって、エンドポイントおよびOracle Key Vaultの通信が切断され、エンドポイント操作が完全に停止する程度まで、1つ以上のエンドポイントの操作に影響が及ぼされます。さらに、Oracle Key Vaultマルチマスター・クラスタ・ノード間のアップグレードおよび通信が失敗することがあります。有効期限前に、十分余裕を持って証明書を適切にローテーションしてください。

このシナリオを回避するために、終了する前に証明書をローテーションするリマインダとしてアラートを構成することをお薦めします。エンドポイント証明書の有効期限、サーバーまたはノード証明書の有効期限、およびCA証明書の有効期限については、別々のアラートがあります。

中間CA証明書を使用している場合は、そのCA証明書信頼チェーンの証明書の有効期限を個別にモニターします。中間CA証明書は、その証明書信頼チェーン内の証明書のどれかが期限切れになる前にローテーションする必要があります。これにより、エンドポイントの停止を防ぎます。CA証明書の有効期限の数週間前にCA証明書のローテーションを開始して、Oracle Key Vaultデプロイメントおよびエンドポイントの停止を防ぎます。

ノート:

  • 中間CA証明書を使用している場合は、そのCA信頼チェーン内の証明書の有効期限を個別にモニターする必要があります。CA信頼チェーン内の証明書のどれかが期限切れになると、Oracle Key Vaultが停止されます。
  • アラートで示された証明書をローテーションして、証明書の有効期限アラートに迅速に対処する必要があります。デプロイメントによっては(特にOracle Key Vault CA証明書のローテーションでは)、非常に長い時間がかかる場合があります(数日間ほど)。CA証明書の有効期限が切れる前にCA証明書ローテーション・プロセスを開始し、停止を回避します。

関連トピック

親トピック: 証明書の有効期限の監視

19.3.2 エンドポイント証明書の有効期限の確認

エンドポイント証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

エンドポイント証明書の有効期限を確認するには、「Endpoints」ページにナビゲートし、「Endpoint Certification Expiration」フィールドを確認します。
  1. Oracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「Endpoints」タブを選択します。
  3. 「Endpoints」表で、「Endpoint Certification Expiration」を確認します。

関連トピック

親トピック: 証明書の有効期限の監視

19.3.3 「Status」ページでのCA証明書の有効期限

「Status」ページから、Oracle Key VaultのCA証明書の有効期限である「CA Certificate Expiration Date」を確認できます。

「System Status」内の「CA Certificate Expiration Date」フィールドには、CA証明書の有効期限が反映されます。「System Status」ページ内の「CA Certificate Expiring In」には、CA証明書のが期限切れになるまでの日数が表示されます。

「System Status」ページにナビゲートするには、「System」タブを選択します。

  1. システム管理者としてOracle Key Vault管理コンソールにログインします。

    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。

  2. 「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
  3. 「CA Certificate Expiration Date」フィールドを確認します。
  4. 「CA Certificate Expiring in」フィールドを確認します。

218_ca_certificate_details_status_page.pngの説明が続きます
図218_ca_certificate_details_status_page.pngの説明

Oracle Key Vaultでは、「CA Certificate Expiration Date」がアラートしきい値の期間内になると、CA証明書の有効期限についてアラートが生成されます。SNMPを介して「CA Certificate Expiration Date」をモニターすることもできます。

関連トピック

親トピック: 証明書の有効期限の監視

19.3.4 「Status」ページでのサーバーおよびノード証明書の有効期限

「Status」ページから、「Server Certificate Expiration Date」(スタンドアロンまたはプライマリ・スタンバイ環境の場合)または「Node Certificate Expiration Date」(マルチマスター・クラスタ環境の場合)を確認できます。

「System Status」内の「Server Certificate Expiration Date」フィールドには、サーバー証明書の有効期限が反映されます。「Status」ページ内の「Server Certificate Expiring In」には、サーバー証明書が期限切れになるまでの日数が表示されます。マルチマスター・クラスタ環境においては、これらのフィールドは「Node Certificate Expiration Date」および「Node Certificate Expiring In」という名前です。「Node Certificate Expiration Date」フィールドにはノード証明書の有効期限が反映され、「Node Certificate Expiring In」にはノード証明書が期限切れになるまでの日数が表示されます。

ノート:

マルチマスター・クラスタ環境で、ノード証明書の有効期限を確認するノードにログインします。ノードごとにノード証明書有効期限が異なる可能性があります。

「Status」ページに移動するには、「System」タブを選択します。

  1. システム管理者としてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
  3. 「Server Certificate Expiration Date」フィールドを確認します。マルチマスター・クラスタ環境においては、このフィールドは「Node Certificate Expiration Date」です。
  4. 「Server Certificate Expiring in」フィールドを確認します。マルチマスター・クラスタ環境においては、このフィールドは「Node Certificate Expiring In」です。

218_ca_certificate_details_status_page.pngの説明が続きます
図218_ca_certificate_details_status_page.pngの説明

Oracle Key Vaultでは、サーバーまたはノード証明書の有効期限が、構成されているアラートしきい値の期間内になると、サーバーまたはノード証明書の有効期限についてアラートが生成されます。SNMPを介してサーバー証明書の有効期限を監視することもできます。

親トピック: 証明書の有効期限の監視

19.3.5 CA証明書の有効期限の確認

「Service Certificates」ページにナビゲートして、Oracle Key Vault CA証明書の有効期限が切れるまでの時間を確認できます。

  1. システム管理者としてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. 「Current CA Certificate」領域で、「End Date」設定をチェックして、CA証明書が失効する時期を確認します。
    「Expiring In」設定には、CA証明書が期限切れになるまでの日数が表示されます。

    ノート:

    Oracle Key Vaultの「System Status」ページでCA証明書の有効期限を確認することもできます。

    214_ca_certificate_and_node_certificate.pngの説明が続きます
    図214_ca_certificate_and_node_certificate.pngの説明

関連トピック

親トピック: 証明書の有効期限の監視

19.3.6 サーバー証明書およびノード証明書の有効期限の確認

サーバー証明書およびノード証明書の有効期限は、Oracle Key Vault管理コンソールで確認できます。

次のステップを実行して、クラスタ内のすべてのノード証明書の有効期限の終了日時を確認します。
  1. システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. スタンドアロンまたはプライマリ/スタンバイ環境:
    • 「Current Server Certificate」で、「End Date」設定を確認して、サーバー証明書の有効期限が切れるタイミングを決定します。「Expiring In」設定では、サーバー証明書が失効するまでの日数も表示されます。
  5. マルチマスター・クラスタ環境では、次のようにします。
    • 「Current Node Certificate」領域で、「Manage Node Certificate」を選択します。「Current Node Certificate」で、「End Date」設定を確認します。「Expiring In」設定では、ノード証明書が失効するまでの日数も表示されます。

    • 「Cluster Node Certificate Details」領域で、クラスタ内のすべてのノード証明書の終了日および失効時間を表示できます。

サーバー証明書またはノード証明書がまもなく期限切れになる場合は、できるだけ早く証明書をローテーションすることをお薦めします。

ノート:

Oracle Key Vaultの「System Status」ページでサーバー証明書およびノード証明書の有効期限を確認することもできます。

関連トピック

親トピック: 証明書の有効期限の監視

19.4 CA証明書のローテーションの管理

Oracle Key Vault管理コンソールを使用して、証明書が期限切れになる前にCA証明書をローテーションできます。新しいCA証明書は、自己署名ルートCA証明書または中間CA証明書になります。

親トピック: サービス証明書の管理

19.4.1 CA証明書のローテーションを管理するためのステップ

システム管理者ロールがあるユーザーは、CAが期限切れになったときに、CA証明書のローテーションを実行できます。ユーザーは、新しい自己署名ルートCAまたは中間証明書を設定し、新しい証明書を使用できます。サーバー証明書またはノード証明書、およびエンドポイント証明書もこのプロセスの一部としてローテーションされます。

システム管理者ロールを持つユーザーは、CA証明書のローテーションを実行できます。CA証明書のローテーション・プロセスには、次のステップが含まれます。
  1. 自己署名ルートCA証明書の有効性を設定するか、中間CA証明書を設定します。
  2. エンドポイント証明書のローテーションの制御を選択します。
  3. CA証明書のローテーションを開始します。
    • 自己署名CA証明書のローテーションの場合は、Oracle Key Vaultによって新しい自己署名CA証明書が生成され、使用されます。
    • 中間CA証明書のローテーションの場合は、前のステップでアップロードした中間CA証明書が使用されます。
  4. 新しいCA証明書によって各エンドポイントに新しい証明書が発行されるため、エンドポイント自動更新の進行状況をモニターします。
  5. すべてのエンドポイントが正常にローテーションされると、Oracle Key Vaultによって、新しいCA証明書とともにサーバーまたはノード証明書が発行されてCA証明書のローテーションが完了します。
  6. CA証明書のローテーション後のタスクを実行します。

    ノート:

    Oracle Key Vaultリリース21.5以降では、CA証明書のローテーションは1段階のプロセス(つまり、「Start CA Certificate Rotation」)になりました。Oracle Key Vaultリリース21.4以前では、CA証明書のローテーションは2段階のプロセス(つまり、「Start CA Certificate Rotation」「Activate CA Certificate」)でした。
CA証明書のローテーション・プロセスは、スタンドアロン環境、プライマリ/スタンバイ環境およびクラスタ環境で同じです。マルチマスター環境では、クラスタ・ノードの1つを選択して、CA証明書のローテーションを実行することをお薦めします。Oracle Key Vaultにより、プライマリ/スタンバイ構成でも、マルチマスター・クラスタ構成のすべてのノードでも、両方のシステムの証明書が自動的に同期されます。追加の構成を実行する必要はありません。

親トピック: CA証明書のローテーションの管理

19.4.2 自己署名ルートCAまたは中間CA証明書の確認

Oracle Key Vaultでは、自己署名ルートCA証明書と中間CA証明書のいずれかが使用されます。

現在のOracle Key Vault CA証明書が自己署名ルートCAか中間CAかを確認するには、「Service Certificates」ページの「Common Name」フィールドおよび「Certificate Issuer」フィールドを確認します。これらが似ている場合(両方ともCAである場合や、OKV_CA_で始まる場合など)、現在のCA証明書は自己署名ルートCAです。そうでない場合、現在のCA証明書は中間CAです。また、中間CA証明書では、「Certificate Issuer」フィールドに、信頼できるサード・パーティの共通名が表示されます。
Oracle Key Vault管理コンソールで、現在のCA証明書の共通名および証明書発行者を確認します。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. 「Current CA Certificate」領域で、「Common Name」および「Certificate Issuer」 のフィールドを確認して比較します。「Common Name」フィールドには、CA証明書が自己署名CAか中間CAかを示すヘルプ・テキストがあります。

関連トピック

親トピック: CA証明書のローテーションの管理

19.4.3 CA証明書のキー長の設定

認証局(CA)証明書のキーの長さとして、2048ビットか4096ビットを選択できます。

CA証明書キーの長さは、サーバー証明書、ノード証明書およびエンドポイント証明書に適用されます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。

    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。

  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションまたは「Intermediate CA」オプションを選択します。
  6. ドロップダウン・メニューからキーの長さを選択します。キーの長さのデフォルト値は2048です。
  7. 「Save」をクリックします。

親トピック: CA証明書のローテーションの管理

19.4.4 自己署名ルートCA証明書の有効性の設定

自己署名ルート認証局(CA)証明書の有効性の日数を設定できます。

CA証明書の有効期間は、サーバー証明書、ノード証明書およびエンドポイント証明書の有効期間の上限として機能します。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションを選択します(デフォルトではこれが選択されています)。
  6. 「Self-Signed Root CA Certificate Validity (in days)」フィールドに有効性の値を設定します。
    デフォルトは1095日(3年)です。最大で3650日(10年)を設定できます。
  7. 「Save」をクリックします。

    CA証明書のローテーションの項に移動して、自己署名ルートCA証明書を生成して有効にします。

関連トピック

親トピック: CA証明書のローテーションの管理

19.4.5 中間CA証明書の設定

Oracle Key Vault管理コンソールを使用して、中間CA証明書の証明書署名リクエストを生成し、信頼できるサード・パーティによって署名された中間CA証明書をアップロードします。

中間CA証明書はアップロードしても有効になりません(つまり、中間CA証明書はアップロードしても使用されません)。次のステップを実行して、CA証明書をローテーションし、アップロードした中間CA証明書を有効にします。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」で、「Intermediate CA」オプションを選択します。
  6. 次のフィールドに、組織に関する情報を入力します。
    • Organization Name
    • Country/Region
    • Organization Unit
    • City
    • State/Province
  7. 「Generate Certificate Request」を選択します。
  8. 生成に数分かかることを知らせるダイアログ・ボックスで、「OK」をクリックします。
  9. Oracle Key Vaultによって証明書リクエストが生成されたら、「CA Certificate Details」領域で「Download Certificate Request」を選択して証明書リクエスト・ファイルをダウンロードします。

    証明書署名リクエスト・ファイルの名前は、次のとおりです。

    OKV_Intermediate_CA_Certificate.csr

    「Intermediate CA Certificate Signing Request Details」領域には、証明書署名リクエストの詳細が表示されます。

    この段階では、現在のCA証明書はOracle Key Vaultで依然として有効になっています。「Current Certificate」領域には、現在アクティブなCAの詳細が表示されます。中間CA証明書の設定を取り消す場合は、「Abort」をクリックします。

    214_ca_download_certificate_request.pngの説明が続きます
    図214_ca_download_certificate_request.pngの説明
  10. ダウンロードした証明書署名リクエストを使用して、信頼できるサード・パーティが中間CA証明書を発行するようにします。
  11. 中間CA証明書をアップロードします。「CA Certificate Details」領域で、「Intermediate CA Certificate」「Choose File」を選択して、中間CA証明書ファイルを探して選択し、「Upload」をクリックします。マルチマスター・クラスタ環境では、証明書署名リクエストがダウンロードされたのと同じノードで中間CA証明書をアップロードする必要があります。
  12. 中間CA証明書の信頼チェーンをアップロードします。「CA Certificate Details」領域で、「Certificate Chain of Trust」「Choose File」を選択して、信頼チェーン・ファイルを探して選択し、「Upload」をクリックします。
    214_upload_ca_intermediate_and_trust_chain_certificate.pngの説明が続きます
    図214_upload_ca_intermediate_and_trust_chain_certificate.pngの説明

    信頼チェーン・ファイルは、中間証明書署名リクエスト、OKV_Intermediate_CA_Certificate.csrファイル、およびそのCAの信頼チェーン内のすべての証明書を逆順で署名するために外部署名機関によって使用されるCA証明書で構成されるPEMバンドルです。

    たとえば、OKV_Intermediate_CA_certificate.csrが外部署名機関によって署名されており、生成された証明書がOKV_Intermediate_CA_certificate.crtという名前であるとします。また、外部署名機関がそのCA証明書であるCACertAを使用してOKV_Intermediate_CA_certificate.csrからOKV_Intermediate_CA_certificate.crtを生成したとします。CACertAは、CACertBによって発行されました。CACertBは、CACertCによって発行されました。アップロードする必要がある証明書信頼チェーン・ファイルは、PEMバンドル形式で、CACertA、CACertB、CACertCがこの順序で構成されている必要があります。それにOKV_Intermediate_CA_certificate.crtを含めないでください。たとえば、CACertA、CACertBおよびCACertCがすべてPEM形式の証明書であり、各証明書ファイルが次のような形式であるとします。 

    -----BEGIN CERTIFICATE-----
<cert contents>
-----END CERTIFICATE----

    証明書信頼チェーンは次のようになります。

    
-----BEGIN CERTIFICATE-----
<CACertA contents>
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
<CACertB contents>
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
<CACertC contents>
-----END CERTIFICATE----

    マルチマスター・クラスタ環境では、中間CA証明書をアップロードしたのと同じノードで証明書信頼チェーンをアップロードする必要があります。

    アップロードの一部として、Oracle Key Vaultによって次の検証が実行されます。
    1. アップロードされた中間CAは、アップロードされた証明書信頼チェーンを使用して検証されます。
    2. 証明書信頼チェーンの深さは8以下です。

    アップロードが正常に完了すると、「Rotate CA Certificate」ボタンが表示されます。

    アップロードした中間CA証明書を有効にするには、CA証明書のローテーションの項を参照してください。

    ノート:

    • 中間CA証明書を設定する場合は、証明書署名アルゴリズムを有効なSHA-2アルゴリズム(sha256など)にすることをお薦めします。
    • 中間CA証明書を設定する場合は、その証明書を、TLSクライアントとサーバーの両方でCAとして使用できることを確認してください。これは、その証明書のプロパティを調べることで確認できます。
    .

関連トピック

親トピック: CA証明書のローテーションの管理

19.4.6 CA証明書のローテーション

Oracle Key Vault管理コンソールを使用して、CA証明書をローテーションし、自己署名ルートCA証明書または中間CA証明書のいずれかを有効にします。

証明書のローテーション・プロセスを開始する前に、Oracle Key Vaultをバックアップします。
CA証明書のローテーションによって、Oracle Key Vaultサーバー、ノードおよびエンドポイントの新しい証明書が発行されます。

これらのステップを実行して、Oracle Key Vault環境全体でCA証明書のローテーション・プロセスを完了します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。

    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

    マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーション用に選択されたノードにログインします。中間CA証明書を有効にする場合は、中間証明書がアップロードされたのと同じノードからCA証明書のローテーションを開始してください。

  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 自己署名ルートCA証明書を有効にする場合は、「CA Certificate Details」領域で「Self-Signed Root CA」オプションを選択します。
    必要に応じて、自己署名ルートCA証明書の有効性の設定の説明に従って、自己署名ルートCAの証明書の有効性の値を設定します
  6. 中間CA証明書を有効にする場合は、中間CA証明書および証明書信頼チェーンを正常にアップロードします。「Rotate CA Certificate」ボタンが表示されるようになりました。

    「Rotate CA Certification」ボタンが表示されない場合は、 中間CA証明書の設定の項の説明に従って中間CA証明書を設定します。

  7. 「Rotate CA certificate」をクリックします。
  8. 「Manage CA Certificate」ページで、エンドポイント証明書のローテーションの制御(バッチ・サイズおよびマルチマスター・クラスタ・デプロイメントでの順序)を設定できます。

    マルチマスター・クラスタ環境では、必要に応じて、 エンドポイント証明書のローテーション順序の設定の説明に従って、エンドポイント証明書をローテーションする順序を選択します

    214_endpoint_certiface_rotation_and_ca_certificate.pngの説明が続きます
    図214_endpoint_certiface_rotation_and_ca_certificate.pngの説明

  9. 「Manage CA Certificate」ページの「Current CA Certificate」領域で、「Start CA Certificate Rotation」を選択します。
  10. 確認のダイアログ・ボックスで、「OK」をクリックします。

    自己署名ルートCA証明書を有効にすると、新しい自己署名ルートCA証明書が作成されます。マルチマスター・クラスタ環境では、Oracle Key Vaultによって、新しく作成された自己署名ルートCA証明書またはアップロードされた中間CA証明書が、クラスタのすべてのノードに配布されてインストールされます。プライマリ/スタンバイ環境では、Oracle Key Vaultによって、これらの証明書がスタンバイに配布されてインストールされます。スタンドアロン環境の場合、Oracle Key Vaultによって、単純に、有効にする証明書がインストールされます。

    この段階では、エンドポイントは、以前のCA証明書を使用して発行された証明書を引き続き使用します。「Old CA Certificate」 領域には、現在アクティブなCAの詳細が表示されます。「New CA Certificate」領域には、ローテーションした証明書とその共通名が表示されます。また、CA証明書のローテーションが開始されると、CA証明書のローテーションが進行中であることと、古いCAの失効までの残り日数を示すバナーが表示されます。CA証明書のローテーションが完了するまで引き続き表示されます。このバナーは、古いCAの有効期限までの日数が定期的に更新され、CA証明書のローテーションが完了するまで表示され続けます。

    ローテーション・プロセスを取り消す場合は、「Abort CA Certificate Rotation」をクリックします。

    「Abort CA Certificate Rotation」操作は、最初の数分間に実行できます。その後、「Abort CA Certificate Rotation」ボタンが表示されなくなると、Oracle Key Vaultによって新しいOracle Key Vault CA証明書の有効化のプロセスが自動的に開始されます。

    ノート:

    Oracle Key Vault 21.4以前では、CA証明書のローテーションには2つのステップ(「Start CA Certificate Rotation」、次に「Activate CA Certificate」)が含まれていました。Oracle Key Vault 21.5以降では、これは、「Start CA Certificate Rotation」によって始まる1段階のプロセスになりました。CA証明書のローテーションは、十分に準備が整ってから、慎重に開始してください。

    マルチマスター・クラスタ環境では、次の点に注意してください。

    • 証明書のローテーション・プロセスの開始後に、CAのローテーションを開始したノードで、生成された新しい証明書の詳細が表示されます。他のすべてのノードで「Manage CA Certificate」ページをリフレッシュすると、新しい証明書がそのノードに伝播されたというメッセージがこのページに表示されます。
    • このページにアクセスするには、「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択し、「Service Certificates」を選択して、「Certificates」領域で「Manage CA Certificate」を選択します。
    • 証明書がすべてのノードに配布されました。伝播プロセスが完了するまでに数分かかります。
    • 証明書のローテーションは、次の時点の前に中断できます。
      • クラスタ内のすべてのノードが新しいCA証明書を受信しました。
      • 各ノードが、証明書を受信したことを他のノードに通知しました。

    ローテーション・ステータスに変更があった場合に備えて、「Manage CA Certificate」ページを定期的にリフレッシュします。たとえば、ページをリフレッシュして、「Abort CA Certificate Rotation」ボタンが表示されなくなったかどうかを確認します。

    すべてのノードで新しいCA証明書が受け取られそのメッセージが表示されると、Oracle Key Vaultによって自動的にアクティブ化が開始されます。 

    Automatic certificate update of the endpoints is in progress.

    「Start CA Certificate Rotation」をクリックした後、そのCA証明書ローテーション・プロセスを取り消すことができるのは数分の間です。「Abort CA Certificate Rotation」ボタンが表示されなくなった場合、証明書のローテーションを中止できないため、続行されます。そのため、必要な場合にのみ「Start CA Certificate Rotation」をクリックすることをお薦めします。



    215_abort_ca_rotation.pngの説明が続きます
    図215_abort_ca_rotation.pngの説明

    新しいCA証明書がすべてのノードに伝播されるまでには数分かかるため、他のノード上の「Manage CA Certificate」ページでステータスが変わっていない場合があります。次のメッセージが表示されるまで、他のノードの「Manage CA Certificate」ページをリフレッシュします。 

    Automatic certificate update of the endpoints is in progress.

    これで新しいCA証明書がアクティブ化され、Oracle Key Vaultサーバーまたはノードが、新しいCA証明書によって署名された新しいエンドポイント証明書の発行を開始します。これで、新規または古いOracle Key Vault CAによって発行されたエンドポイント証明書を使用して、エンドポイントをOracle Key Vaultサーバーまたはノードに接続できるようになりました。バックグラウンドで、Oracle Key Vaultはエンドポイントの証明書の発行を一度に2、3個のエンドポイントに対して開始します。

    エンドポイントのOracle Key Vaultで新しい証明書が生成されても、すぐにはエンドポイントに配信されません。エンドポイントは、次にOracle Key Vaultにアクセスしたときに、特に証明書を生成したサーバーまたはノードに新しい証明書を受信します。エンドポイントは新しい証明書を受信したら、エンドポイントが新しい証明書を正常に受信(および使用中)したことをサーバーに知らせるために、Oracle Key Vaultに2回接続する必要があります。Oracle Key Vaultがエンドポイントからこの確認応答を受信すると、Oracle Key Vaultは、「Endpoints」ページのそのエンドポイントの「Common Name of Certificate Issuer」フィールドを新しいOracle Key Vault CA証明書の共通名に更新します。

    ノート:

    「Cluster Monitoring」ページまたは「Cluster Management」ページを表示して、クラスタ間のレプリケーションのステータスを定期的に確認します。これらのページのいずれかにアクセスするには、「Cluster」タブをクリックし、左側のナビゲーション・バーで「Management」または「Monitoring」を選択します。
  11. エンドポイントの資格証明が更新されたかどうかを確認するには、「Check Endpoint Progress」ボタンをクリックします。

    「Check Endpoint Progress」ボタンをクリックして、「Endpoints」ページを表示します。

    詳細は、エンドポイントの証明書のローテーション・ステータスの確認を参照してください


    21.4_endpoint_certificate_issue_using_new_ca_certificate.pngの説明が続きます
    図21.4_endpoint_certificate_issue_using_new_ca_certificate.pngの説明

  12. CA証明書のローテーションを完了します。

    Oracle Key Vaultが新しいCA証明書を使用してすべてのエンドポイントに証明書を発行すると、Oracle Key Vaultサーバーは、スタンドアロンおよびプライマリ/スタンバイ環境のサーバー証明書とクラスタ環境のノード証明書をローテーションします。

    「Manage CA Certificate」ページに複数の証明書がリストされずに、新しいCA証明書のみがリストされる場合は、CA証明書のローテーション・プロセスが完了しています。マルチマスター・クラスタ環境では、ローテーションが完了しているかどうかを確認するには、各ノードに移動し、そのノードの「Manage CA Certificate」ページを確認します。「Current CA Certificate」および「Current Server Certificate」とともに「Manage CA Certificate」ページで「Start CA Certificate Rotation」ボタンが使用可能になっている場合は、CA証明書のローテーション・プロセスが完了しています。

    「Service Certificates」ページの「Manage CA certificate」ボタンをクリックすると、「CA Certificate Details」ページに移動し、自己署名ルートCAと中間CAのいずれかを選択できる場合は、CA証明書のローテーション・プロセスが完了しています。マルチマスター・クラスタ環境では、証明書のローテーションがクラスタのすべてのノードで完了したときに、CA証明書のローテーション・プロセスが完了します。

    すべてのサーバーまたはノードで証明書のローテーション・プロセスが完了した後にのみ、別の証明書のローテーションを開始できます。ローテーションが完了したら、次に新しい証明書をローテーションする必要があるときのためにアラートを構成します。

    ノート:

    • CA証明書のローテーション・プロセスは完了までに数日かかる場合があります。Oracle Key Vaultおよびエンドポイントの停止時間を回避するために、CA証明書の有効期限より前にプロセスを開始することをお薦めします。
    • エンドポイントの中断を防ぐために、CA証明書のローテーションは、古いCAが期限切れになる前に完了する必要があります。ただし、古いCA証明書が期限切れになる前にCA証明書のローテーションを完了できない場合は、Oracle Key Vaultデプロイメントの停止時間が発生しないように、Oracle Key Vaultによって、サーバー証明書またはノード証明書がローテーションされることで強制的にCA証明書ローテーション・プロセスが完了されます。これが起こった場合は、次に示すように、一部のエンドポイントを再エンロールする必要があります。
      • 正常にローテーションされた、デプロイメント内のすべてのエンドポイントは、停止時間なしで動作し続けます。ただし、まだローテーションされていないエンドポイント、または古いCAが期限切れになったときにまだ更新中だったエンドポイントは、停止され、再エンロールが必要になります。
      • 再エンロールが必要なエンドポイントを特定するには、システム管理者ロールがあるユーザーとしてOracle Key Vault管理コンソールにログインし、「Endpoints」に移動し、「Common Name of Certificate Issuer」フィールドを確認します。証明書発行者が新しいCAでないエンドポイント、または「Updating to Current Certificate Issuer」ステータスのエンドポイントは、再エンロールが必要です。

関連トピック

親トピック: CA証明書のローテーションの管理

19.4.7 エンドポイント証明書のローテーションのバッチ・サイズの設定

エンドポイント証明書のローテーションのバッチ・サイズの値は、CA証明書のローテーション・プロセス中に特定のOracle Key VaultサーバーまたはノードのROTATED状態に指定できるエンドポイントの数を表します。

CA証明書のローテーション・プロセス中に、Oracle Key Vaultサーバーまたはノードが新しいCA証明書を使用してエンドポイント証明書を発行したが、新しいエンドポイント証明書がまだエンドポイントによって受信も確認応答もされていない場合、エンドポイントはROTATED状態であるとみなされます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

    マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーションを開始するために選択したノードにログインします。

  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」ページで、「Self-Signed Root CA」オプションまたは「Intermediate CA」オプション(デフォルトではこれが選択されています)を選択します。「Rotate CA Certificate」をクリックします。「Intermediate CA」オプションの場合、「Rotate CA Certificate」ボタンは、中間CAとその信頼チェーンがアップロードされた後にのみ表示されます。
  6. 「Endpoint Certificate Rotation Controls」領域までスクロールします。
  7. 「Endpoint Certificate Rotation Batch Size」フィールドに値を入力します。
    5から50までの値を入力します。デフォルトは15です。
  8. 「Save」をクリックします。

親トピック: CA証明書のローテーションの管理

19.4.8 エンドポイント証明書のローテーション順序の設定

マルチマスター・クラスタ環境では、認証局(CA)証明書をローテーションするときに、クラスタ・サブグループの順序付けによってエンドポイントをローテーションできる順序を幅広く設定します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。

    マルチマスター・クラスタ環境では、クラスタ内のCA証明書のローテーションを開始するために選択したノードにログインします。

  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
  5. 「CA Certificate Details」 ページで、「Self-Signed Root CA」オプションまたは中間CAオプション(デフォルトではこれが選択されています)を選択します。次に、「Rotate CA Certificate」をクリックします。「Intermediate CA」オプションの場合、「Rotate CA Certificate」ボタンは、中間CAとその信頼チェーンがアップロードされた後にのみ表示されます。
  6. 「Endpoint Certificate Rotation Sequence」領域までスクロールします。
  7. 「Select Cluster Subgroup」をクリックします。
  8. 「Select Cluster Subgroup Order」ダイアログ・ボックスで、ローテーションするエンドポイントを含むクラスタ・サブグループを右に移動してから、矢印キーを使用して順序を設定します。
    たとえば、次の優先度リストの場合を考えてみます。
    1. ClusterSubgroupA (EP1、EP4)
    2. ClusterSubgroupB (EP2、EP3、EP5)
    3. ClusterSubgroupC (EP6、EP7)

    ClusterSubgroupAに属するエンドポイントEP1およびEP4が最初にローテーションされます。EP1およびEP4が、更新されたエンドポイント証明書を受信して確認応答すると、ローテーション・プロセスは、次のエンドポイントのセットであるClusterSubgroupB (EP2、EP3、EP5)に移動します。

    「Endpoints」ページに移動して、エンドポイントが新しい証明書を受信して確認応答したかどうかを確認できます。エンドポイントの「Certificate Issuer」フィールドが「Updating to Current Certificate Issuer」から「DN_of_new_OKV_CA」に変わります。

    ノート:

    クラスタ・サブグループの優先順位を指定する場合、一度に処理されるエンドポイントの数は、「Endpoint Certificate Rotation Batch Size」パラメータより少なくなる可能性があります。たとえば、特定のクラスタ・サブグループに関連付けられたエンドポイントが「Endpoint Certificate Rotation Batch Size」パラメータよりもはるかに少ない場合、選択したクラスタ・サブグループのエンドポイントのみが処理されます。Oracle Key Vaultサーバーまたはノードは、現在のクラスタ・サブグループのすべてのエンドポイントで証明書のローテーションが完了するまで、優先順位が低い他のクラスタ・サブグループのエンドポイントの処理を開始しません。

  9. 「Apply」をクリックします。

クラスタ・サブグループは通常、リージョンまたはデータ・センター内のエンドポイントをグループ化するために使用されます。CA証明書のローテーション中のエンドポイント証明書の再発行は、時間がかかるプロセスになる可能性があるため、操作の簡素化のために、クラスタ・サブグループごとにエンドポイントを処理すると便利です。

親トピック: CA証明書のローテーションの管理

19.4.9 全体的な証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、証明書のローテーションの全体的なステータスを確認します。

すべてのエンドポイントが新しい証明書を使用するように更新された後、Oracle Key Vaultサーバーは、自身のサーバー証明書をバックグラウンドで完全にローテーションするプロセスを開始します。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificate」を選択します。
    デフォルトでは、「Service Certificate」が選択されています。
  4. 「Manage CA Certificate」ページを確認します。
  5. 証明書のローテーション・ステータスを確認します。

    「Manage CA Certificate」をクリックした後で、「CA Certificate Details」ページに移動したときに、「Self-Signed Root CA」「Intermediate CA」のいずれかを選択できる場合は、証明書のローテーションが完了しています。そうでない場合は、まだ進行中です。

    「Service Certificates」ページの「End Date」フィールドには、新しいCA証明書の有効期限が反映されます。

    マルチマスター・クラスタ環境では、証明書のローテーションがクラスタのすべてのノードで完了したときに、CA証明書のローテーション・プロセスが完了します。

    CA証明書のローテーションの進行中は、OKV管理コンソールの「Home」ページに、そのことを示すバナーおよび「Manage Service Certificates」が表示されます。マルチマスター・クラスタ環境において、特定のノードでこのバナーが表示されている場合は、そのノードでCA証明書のローテーションがまだ進行中であるということです。

    すべてのノードで証明書ローテーション・プロセスが完了した後にのみ、別の証明書ローテーションを開始できます。

親トピック: CA証明書のローテーションの管理

19.4.10 エンドポイントの証明書のローテーション・ステータスの確認

Oracle Key Vault管理コンソールを使用して、エンドポイントの証明書ローテーションのステータスを確認します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Endpoints」タブを選択します。
  3. 「Endpoints」を選択します。

    「Endpoints」ページの「Common Name of Certificate Issuer」フィールドで、新しいCA証明書を使用して証明書が発行されたエンドポイント数の進行状況が追跡されます。

    「Common Name of Certificate Issuer」フィールドには、エンドポイント証明書が古いCAまたは新しいCAによって発行されたか、エンドポイントがエンドポイント証明書の更新の処理中であるかが表示されます。

    エンドポイントのエンドポイント証明書については、次のとおりです。
    • 新しいCA証明書を使用して発行された: 「Common Name of Certificate Issuer」フィールドには、新しいCAの共通名が表示されます。
    • 新しいCA証明書を使用した発行の処理中: 「Common Name of Certificate Issuer」フィールドには「Updating to Current Certificate Issuer」と表示されます。
    • 新しいCA証明書を使用して発行されていない: 「Common Name of Certificate Issuer」フィールドには、古いCAの共通名が表示されます。

    ノート:

    エンドポイントの証明書のローテーションにエラーがある場合は、エンドポイントを再エンロールすることをお薦めします。

親トピック: CA証明書のローテーションの管理

19.4.11 CA証明書のローテーション後のタスク

CA証明書のローテーションが完了したら、ローテーション後のタスクを実行します。

  • 以前にOracle Key Vault RESTfulサービス・ソフトウェア・ユーティリティ(okvrestclipackage.zip)をダウンロードした場合は、RESTfulサービス・ユーティリティを引き続き使用できるように、再度ダウンロードします。

    okvrestclipackage.zipをダウンロードする前に、マルチマスター・クラスタ環境のすべてのノードとプライマリ/スタンバイ環境のサーバーで証明書が完全にローテーションされていることを確認します。

    これを行うには、Oracle Key Vault管理コンソールのログイン・ページで「Endpoint Enrollment and Software Download」リンクを選択します。「Download RESTful Service Utility」タブを選択し、「Download」をクリックして、okvrestclipackage.zipファイルを安全な場所にダウンロードします。

  • バックアップ先を更新します

    CA証明書のローテーション後に、各サーバーまたはノードに新しい証明書が発行されます。Oracle Key Vaultノードまたはサーバーの公開キーも変更されます。「Backup Destination Details」ページの「Public Key」フィールドに表示される公開キーをコピーし、バックアップ先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付ける必要があります。

    そのためには、「System」タブ、左側のナビゲーション・バーの「Settings」の順にナビゲートします。「System Configuration」領域で、「Backup and Restore」を選択します。「Manage Backup Destination」をクリックして、すべてのバックアップ先を表示します。「Create」 ボタンをクリックします。「Public Key」 フィールドに新しい公開キーが表示されます。

  • すべてのOracle Key Vaultノードおよびサーバーをバックアップします

    証明書のローテーションが完了したら、このバックアップ操作を実行することが重要です。後でバックアップをリストアする必要がある場合は、CA証明書のローテーション後に、リストアするバックアップが開始されている必要があります。CA証明書のローテーションの前にバックアップをリストアすると、Oracle Key Vaultサーバーが使用可能になりますが、エンドポイントはリストアされたOracle Key Vaultサーバーに接続できなくなります。リストアされたシステムのCA証明書の有効期限が切れている可能性があり、エンドポイントは、CA証明書のローテーション前に行われたバックアップに存在しない新しいCAによって発行されたエンドポイント証明書を使用します。

親トピック: CA証明書のローテーションの管理

19.4.12 CA証明書のローテーション・プロセスに影響する要因

クラスタ環境の認証局(CA)証明書のローテーション・プロセスに影響するこれらの要因を考慮してください。

CA証明書のローテーションの期間は、CA、ノードおよびエンドポイントの証明書がローテーションされる速度によって決まります。エンドポイント証明書のローテーションは最も時間がかかります。

CA証明書のローテーション・プロセス中、Oracle Key Vaultでは、クラスタの各ノードのエンドポイントの証明書が、同時にROTATED状態にできるエンドポイント数の上限が設定されたバッチでローテーションされます。Oracle Key Vaultノードで任意の時点でROTATED状態になるエンドポイントの数は、エンドポイント証明書のローテーションのバッチ・サイズで定義されます。エンドポイントは、発行ノードから新しい証明書を受信し、発行ノードに証明書の受信の確認応答をする必要があります。証明書を受信するには、エンドポイントが少なくとも1つのオブジェクトを作成している必要があります。

ノート:

一般に、エンドポイントの証明書を発行するノードは、エンドポイントの関連クラスタ・サブグループのノードの1つです。

次の要因は、エンドポイント証明書のローテーション・プロセスに影響します。

  • 新しい証明書を受信するには、エンドポイントの証明書が生成された発行ノードにエンドポイントがアクセスできる必要があります。エンドポイントはエンドポイント・ノード・スキャン・リスト内の任意のノードと通信できるため、エンドポイントは作成者ノードにアクセスして証明書を受信する前に多くの操作を実行できます。エンドポイントは、クラスタ内のノードにアクセスすることによって、新しい証明書の受信の確認応答をする必要もあります。
  • エンドポイント証明書のローテーション時間は、クラスタ内のノード数によって増加します。エンドポイントによって、ローカル・サブグループ内のノードに優先順位が付けられるため、CA証明書のローテーション中にノードごとに異なるサブグループを設定することを検討してください。
  • エンドポイント証明書のローテーションのバッチ・サイズは、クラスタの各ノードに適用されます。そのため、各ノードにエンドポイントが均等に作成されている場合、各ノードは、バッチ・サイズと等しい数のエンドポイントを同時にローテーションします。ただし、すべてのエンドポイントが単一のノード上に作成されている場合、すべてのエンドポイントの証明書のローテーションの負荷は、他のノード間で分散されるのではなく、その1つのノードにかかります。
  • クラスタでのエンドポイント証明書のローテーションおよび一般的なロード・バランシングを高速にするために、クラスタのすべてのノードでエンドポイント作成を分散することを検討してください。
  • Oracle Key Vaultリリース12.2からアップグレードする前にエンドポイントを作成した場合は、すべてのエンドポイントが1つの単一ノードに関連付けられている可能性があります。その場合、様々なクラスタ・ノードにエンドポイントが作成された場合よりも、ローテーション・プロセスが遅くなる場合があります。
  • エンドポイントは、少なくとも1つのオブジェクトがOracle Key Vaultサーバーにアップロードされている場合にのみ更新を正常に受信できます。エンドポイントにオブジェクトがあるかどうかは、okvutil listコマンドを実行することで確認できます。
  • エンドポイント証明書のローテーションが妨げられるエンドポイントについては、エンドポイントの再エンロールまたはokvutil listコマンドの実行を検討してください。エンドポイントの一時停止や削除もできます。

関連トピック

親トピック: CA証明書のローテーションの管理

19.4.13 CA証明書のローテーションを管理するためのガイドライン

認証局(CA)証明書を管理するための、これらのOracle Key Vaultガイドラインを考慮してください。

エンドポイント・ソフトウェア・バージョンのガイドライン

  • 自己署名ルートCA証明書のローテーションでは、すべてのエンドポイント・ソフトウェアがバージョン18.2.0.0.0以降になるようにします。
  • 中間CA証明書のローテーションでは、すべてのエンドポイント・ソフトウェアがバージョン21.4.0.0.0以降になるようにします。
  • CA証明書のローテーションを開始する前に、エンドポイント・ソフトウェアをOracle Key Vaultと同じバージョンにアップグレードして、証明書のローテーションに対する最新の修正がエンドポイント・ソフトウェアでも使用可能になるようにします。

CA証明書のローテーションの推奨事項

  • マルチマスター・クラスタ環境では、1つのノードからのみローテーションを開始することをお薦めします。このノードを使用して、CA証明書のローテーション・プロセスを完了します。証明書のローテーション中にノードが使用不可になる場合、別のノードを選択し、そのノードを使用して残りのCA証明書のローテーション・プロセスを完了します。証明書のローテーションの実行中はノードを切り替えないでください。
  • CA証明書のローテーションを実行する前に、Oracle Key Vaultシステムをバックアップします。
  • ネットワークの問題やその他の問題が原因で、特定のエンドポイントがその再発行されたエンドポイント証明書を受け取れない場合は、そのエンドポイントを再エンロールすることをお薦めします。それが使用されておらずもう不要な場合は、その一時停止や削除もできます。
  • エンドポイントで永続マスター暗号化キー・キャッシュを使用する場合は、CA証明書のローテーション・プロセスを開始する前に、「PKCS11 Persistent Cache Refresh Window」パラメータを大きな値に設定することをお薦めします。現在の証明書ローテーションのステータスを確認するには、「Endpoints」ページに移動して、「Common Name of Certificate Issuer」を参照してください。

CA証明書のローテーションを開始する前の確認

  • 証明書のローテーションを開始する前に、すべてのマルチマスター・クラスタ・ノードのリカバリ・パスフレーズが同じであることを確認してください。
  • バックアップ操作またはリストア操作が進行中の場合は、CA証明書のローテーションを実行できません。
  • デプロイメントによっては、CA証明書のローテーション・プロセスが完了するまでに数日かかる場合があり、CA証明書の有効期限前にCA証明書のローテーションを適切に開始します。
  • CA証明書のローテーションを開始する前に、使用されていないエンドポイントをすべて特定し、それらを削除または一時停止します。一時停止されたエンドポイントはCA証明書のローテーション中にスキップされ、それに対して、新しいCAによって発行される新しい証明書は提供されません。このようなエンドポイントを削除または一時停止しないと、CA証明書のローテーションが停止されるため、ローテーションを完了できるようにそれらのエンドポイントを再エンロールする必要があります。
  • Oracle Key Vault管理コンソールで、使用されていないエンドポイントを特定するには、「Endpoints」に移動してから左側のナビゲーション・バーの「Endpoints」タブをクリックします。これにより、「Endpoints」ページが表示され、デプロイメント内のすべてのエンドポイントがリストされます。「Last Active Time」列を確認して、特定のエンドポイントがOracle Key Vaultに最後にアクセスしたのはいつかを特定します。「Last Active Time」列に非アクティブと示されているエンドポイントはすべて、削除または一時停止できます。
  • ノードの追加が進行中でないことを確認します。ノードの追加中にCA証明書のローテーションを開始しないでください。
  • ノード操作が進行中でないことを確認します。CA証明書のローテーション中にノード操作(ノードの追加や無効化など)を試行しないでください。
  • マルチマスター・クラスタ環境では、すべてのノードがアクティブであることを確認します。クラスタ内のすべてのノードがアクティブになるまで、CA証明書のローテーションを開始しないでください。「Cluster Monitoring」ページをチェックして、ノードがアクティブかどうかを確認できます。「Cluster」タブをクリックし、左側のナビゲーション・バーから「Monitoring」を選択します。
  • プライマリ/スタンバイ環境では、プライマリ・サーバーがアクティブであることを確認します。プライマリ・サーバーが読取り専用制限モードになっている場合、CA証明書のローテーションは実行しないでください。構成内の両方のサーバーがアクティブで、互いに同期されている場合にのみ、CA証明書のローテーションを開始します。
  • エンドポイント証明書のローテーションが進行中でないことを確認します。エンドポイント証明書のローテーションの実行中は、CA証明書のローテーションを開始しないでください。

期限切れのCA証明書

  • CA証明書がすでに失効している場合は、Oracle Key Vaultをアップグレードしないでください。アップグレードが失敗します。
  • Oracle Key Vaultリリース21.5以降では、CAがすでに期限切れの場合、CA証明書のローテーションを開始できません。新しいCA証明書を手動で生成し、かわりにすべてのエンドポイントを再エンロールする必要があります。これを実行する方法の詳細は、17.6項「期限切れ後のOracle Key Vault CA証明書の管理」を参照してください。Oracle Key Vault 21.4以前では、Oracle Supportに連絡してください。

Oracle Database以外の場合の証明書ローテーション

  • Oracle Key Vaultサーバーに自動的にアクセスしないエンドポイント(ACFSエンドポイントなど)の場合は、okvutil listコマンドを使用して、エンドポイントが新しいエンドポイント証明書を取得するように強制することをお薦めします。
  • okvutil listを複数回実行して、エンドポイントの証明書を再生成したクラスタ・ノードに確実にアクセスする必要がある場合があります。また、エンドポイントが少なくとも1つのセキュリティ・オブジェクトにアクセスできることを確認してください。

関連トピック

親トピック: CA証明書のローテーションの管理

19.5 サーバー証明書およびノード証明書のローテーションの管理

Oracle Key Vault管理コンソールを使用して、サーバー証明書またはノード証明書をローテーションします。

親トピック: サービス証明書の管理

19.5.1 サーバー証明書およびノード証明書のローテーションについて

Oracle Key Vaultはサーバー証明書を使用してエンドポイントと通信します。Oracle Key Vaultクラスタ・ノードは、ノード証明書を使用して相互に、およびエンドポイントと通信します。

これらの証明書は、スタンドアロンおよびプライマリ/スタンバイ構成ではサーバー証明書と呼ばれ、マルチマスター・クラスタ構成ではノード証明書と呼ばれます。Oracle Key Vault認証局(CA)証明書によって、これらの証明書が発行されます。

CA証明書のローテーション・プロセスとは関係なく、これらの証明書のみをローテーションできます。これを実行しても、Oracle Key Vault CAの証明書の失効日やエンドポイントには影響しません。

Oracle Key Vault CAがまだ長期間有効で、サーバー・ノード証明書がまもなく期限切れになる状況では、サーバー証明書およびノード証明書のみをローテーションすると便利です。通常、CAの有効性は、サーバー証明書またはノード証明書の有効性よりも長いため、このことが発生する可能性があります。

サーバーまたはノードの証明書のローテーション・プロセスを次に示します。
  • サーバー証明書またはノード証明書の有効性の設定
  • サーバー証明書またはノード証明書のローテーション

親トピック: サーバー証明書およびノード証明書のローテーションの管理

19.5.2 サーバー証明書およびノード証明書の証明書有効期間の構成

サーバー証明書またはノード証明書の有効期間は、Oracle Key Vault管理コンソールで構成できます。

証明書有効期間は、次にサーバー証明書およびノード証明書をローテーションしたときに有効になります。これは、CA証明書のローテーションの一部としてサーバー証明書またはノード証明書を生成するか、クラスタに新しいノードを追加しても、新規ノードのノード証明書に対して考慮されます。サーバーまたはノードの証明書の有効性の設定値に関係なく、証明書が最終的に生成されると、その失効日は必ずCA証明書の失効日よりも前になります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. 環境に応じて、次を実行します。
    • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
    • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
  5. 「Server Certificate Validity (in days)」フィールドまたは「Node Certificate Validity (in days)」フィールドで、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
  6. 「Save」をクリックします。

親トピック: サーバー証明書およびノード証明書のローテーションの管理

19.5.3 サーバー証明書およびノード証明書のローテーション

Oracle Key Vault管理コンソールで、サーバー証明書およびノード証明書をローテーションできます。

ローテーションを実行する前に、サーバー証明書およびノード証明書をローテーションするためのガイドラインを必ずお読みください。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境では、クラスタ内の任意のノードにログインできます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. 環境に応じて、次を実行します。
    • スタンドアロンまたはプライマリ/スタンバイ環境: 「Current Server Certificate」領域で「Manage Server Certificate」を選択します。
    • マルチマスター・クラスタ環境: 「Current Node Certificate」領域で「Manage Node Certificate」を選択します。
  5. 必要に応じて、「Server Certificate Validity (in days)」フィールド(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)または「Node Certificate Validity (in days)」フィールド(マルチマスター・クラスタ環境の場合)で、この設定に対する365日(最小かつデフォルト)から1095日までの値を入力します。
    数分待って、この設定が有効になることを確認します(特にマルチマスター・クラスタ環境で)。変更がすべてのクラスタ・ノードにわたって表示されている場合(各ノードの同じページにナビゲートして確認します)、サーバー証明書またはノード証明書のローテーションを開始できます。
  6. 環境に応じて、次を実行します。
    • スタンドアロンまたはプライマリ/スタンバイ環境: 「Generate Server Certificate」を選択します。
    • マルチマスター・クラスタ環境: 「Generate Node Certificate」を選択します。
  7. 確認のウィンドウで、「OK」をクリックします。
    このプロセスは、完了までに数分かかることがあります。また、エンドポイント・サービスが一時的に中断されることもあります。
プロセスが正常に完了すると、「Current Server Certificate」(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)セクションおよび「Current Node Certificate」(マルチマスター・クラスタ環境の場合)セクションで、「End Date」および「Expiring in」の設定に新しい値が表示されます。マルチマスター・クラスタ環境では、「Cluster Node Certificate Details」領域で、クラスタ内のすべてのノード証明書の失効日を表示できます。

親トピック: サーバー証明書およびノード証明書のローテーションの管理

19.5.4 サーバー証明書およびノード証明書をローテーションするためのガイドライン

サーバー証明書またはノード証明書のローテーションを実行する前に、これらのガイドラインを確認してください。

  • サーバー証明書またはノード証明書のローテーションが進行中の間は、認証局(CA)証明書のローテーションを実行しないでください。
  • CA証明書のローテーションが進行中の間は、サーバー証明書またはノード証明書のローテーションを実行しないでください。
  • エンドポイント証明書のローテーションが進行中の間は、サーバーまたはノード証明書のローテーションを実行しないでください。
  • あるノードでノード証明書のローテーションが進行中の間は、別のノードで別のノード証明書のローテーションを実行しないでください。
  • CA証明書のローテーションが進行中の間は、CA証明書の有効期間を変更しないでください。
  • CA証明書がすでに期限切れになっている場合は、サーバー証明書をローテーションしようとしないでください。
  • CA証明書のローテーション、サーバー証明書のローテーションまたはノード証明書のローテーションが進行中の間は、「Server Certificate Validity (in days)」フィールド(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)や「Node Certificate Validity (in days)」フィールドを変更しないでください。

親トピック: サーバー証明書およびノード証明書のローテーションの管理

19.6 失効後のOracle Key Vault CA証明書の管理

Oracle Key Vault CA証明書がすでに失効している場合、CA証明書のローテーションを開始できません。

エンドポイントがOracle Key Vaultと通信できない場合、停止します。その結果、マルチマスター・クラスタ環境では、Oracle Key Vaultノードは相互に通信できなくなります。このようなシナリオでは、次に説明する手順を使用して、新しいCA証明書を手動で再生成する必要があります。

マルチマスター・クラスタ環境では、この新しいCA証明書を生成ノードから他のすべてのノードに分散する必要があります。CA証明書がクラスタ全体に配布されたら、各クラスタ・ノードのノード証明書を順番にローテーションする必要があります。

最後に、すべてのエンドポイントを再登録する必要があります。なぜなら、これらが再登録されるまでは、これにはエンドポイントの停止が関わるからです。CA証明書の有効期限のアラートを構成し、CA証明書のローテーションを完了することをお薦めします。次のステップに優先して、CA証明書の有効期限が切れる前に「CA証明書のローテーションの管理」を参照してください。これにより、エンドポイント、マルチマスター・クラスタ環境およびOracle Key Vaultクラスタ・ノードの中断を最小限に抑えながら、CA証明書のローテーションを完了できます。
Back up Oracle Key Vault before commencing with these steps.

現在のCA証明書の有効期限が切れた後で新しいCA証明書を手動で発行するには、次の手順を実行します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    • プライマリ/スタンバイ環境で、プライマリOracle Key Vaultサーバーにログインします。
    • マルチマスター・クラスタ環境で、ノードを選択し、新しいCA証明書を生成し、そのノードにログインします。中間CA証明書を有効にする場合は、中間CA証明書が以前にアップロードされたノードにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」をクリックします。
  4. 「Service Certificates」ページで、「Manage CA Certificate」を選択します。
    現在のCA証明書の詳細(開始日と終了日を含む)と、CA証明書の有効期限が切れたことを示すメッセージが表示されます。
  5. 「Check Expired CA Certificate Rotation Status」をクリックします。
  6. 確認のダイアログ・ボックスで、「OK」をクリックします。バックエンドでは、Oracle Key Vaultシステムに対して一連のチェックが実行されます。
  7. マルチマスター・クラスタ環境では、クラスタの各ノードで手順1から6を実行する必要があります。
  8. 検証が成功すると、「Generate New CA Certificate」ボタンがアクティブになります。マルチマスター・クラスタ環境では、追加のボタン「Upload CA Certificate Bundle」が表示されます。

    ノート:

    これらのボタンは、マルチマスター・クラスタの各ノードでチェックが正常に完了した場合にのみ表示されます。いずれかのクラスタ・ノードでチェックが失敗した場合や、クラスタのすべてのノードで「Generate New CA Certificate」ボタンと「Upload CA Certificate Bundle」ボタンが表示されない場合は、次の手順に進まないでください。Oracleサポートに問い合せてください。
  9. 手順1で新しいCA証明書の生成用に選択したOracle Key Vaultシステムで、「Generate New CA Certificate」をクリックします。

    プライマリ/スタンバイ環境では、これはプライマリOracle Key Vaultサーバーです。

    マルチマスター・クラスタ環境では、これは、新しいCAを生成するためにステップ1で選択したクラスタ・ノードです。中間CA証明書を有効にする場合、これは、現在のCAが期限切れになる前に中間CAがアップロードされたノードです。

  10. 確認ボックスの「OK」をクリックします。バックエンドで、新しいCA証明書が生成されます。
    マルチマスター・クラスタ環境では、ダウンロード可能な証明書バンドルも作成されます。バンドルはすべてのクラスタ・ノードに配布する必要があるため、安全な場所に格納する必要があります。
  11. 新しいCA証明書が生成されたOracle Key Vault管理コンソールのページをリフレッシュします。「Complete CA Certificate Rotation」ボタンがアクティブになりました。さらに、証明書の共通名や証明書フィンガープリントなど、新しいCA証明書のその他の詳細が表示されます。


    21.5_complete_ca_certificate_rotation.pngの説明が続きます
    図21.5_complete_ca_certificate_rotation.pngの説明

    マルチマスター・クラスタ環境で、ステップ12に進みます。スタンドアロンおよびプライマリ・スタンバイ環境では、ステップ15に進みます。

  12. マルチマスター・クラスタ環境では、CA証明書が生成されたクラスタ以外のノードにログインします。「Upload CA Certificate Bundle」をクリックして、ステップ10でダウンロードしたバンドルをアップロードします。これが正常に完了すると、CAの共通名や証明書フィンガープリントなど、新しいCAの詳細が表示されます。これらの詳細を生成ノードに表示される詳細と比較します(ステップ11を参照)。
  13. ステップ12でアップロードした新しいCA証明書の詳細が、ステップ11で生成ノードに表示される詳細と一致しない場合は、「Abort」をクリックしてステップ12を再度繰り返します。このノードのCA証明書の詳細が生成元ノードのCA証明書の詳細と一致した後にのみ、ステップ14に進みます。
  14. 生成元ノード以外のクラスタのすべてのノードでステップ12 (および必要に応じてステップ13)を実行します。CA証明書バンドルがクラスタのすべてのノードにアップロードされ、証明書の詳細がすべてのノード間で完全一致することが検証された後にのみ、ステップ15に進みます。
  15. 「Complete CA Certificate Rotation」をクリックします。確認のダイアログ・ボックスで、「OK」をクリックします。このプロセスは、完了までに数分かかることがあります。

    バックエンドでは、ステップ9で生成された新しいCAによって発行された新しいサーバーまたはノード証明書が生成されます。プライマリ・スタンバイ環境では、この操作は、Oracle Key Vaultプライマリ・サーバーで実行する必要があります。マルチマスター・クラスタ環境では、この操作は、クラスタのすべてのノードで1つずつ実行する必要があります。

  16. エラーの場合は、「Abort」をクリックします。マルチマスター・クラスタ環境では、証明書バンドルをアップロードし、プロセスの実行を再試行できます。
  17. 「Complete CA Certificate Rotation」を再度選択することもできます。

    ノート:

    マルチマスター・クラスタ環境では、すべてのノードで証明書検証が成功した後にのみ次のステップに進みます。
  18. マルチマスター・クラスタ環境で、「Cluster Monitoring」ページを確認し、すべてのクラスタ・ノード間で通信がリストアされていることを確認します。また、クラスタの各ノードでウォレットを作成し、それがPENDING状態からACTIVE状態に遷移することを検証することで、ノード間のレプリケーションをテストすることも検討してください。
  19. すべてのOracle Key Vaultエンドポイントを再エンロールします。
  20. 推奨されるリカバリ後のタスクを完了し、Oracle Key Vault RESTfulサービス・ユーティリティを再度ダウンロードし、必要に応じてOracle Key Vaultリモート・バックアップの保存先構成ファイルを新しい公開キーで更新します。

親トピック: サービス証明書の管理

19.7 代替ホスト名を使用したOracle Key Vaultの構成

代替ホスト名を使用してOracle Key Vaultを構成する方法を学習します。

親トピック: サービス証明書の管理

19.7.1 代替ホスト名を使用したOracle Key Vaultの構成について

代替ホスト名、つまり完全修飾ドメイン名(FQDN)またはセカンダリIPアドレスを使用して、Oracle Key Vaultを構成できます。このIPアドレスは、マルチマスター・クラスタ・ノードに変換されるまでは変更できます。

Oracle Key Vaultシステム・エンドポイントは、IPアドレスを介してノードと通信します。エンドポイントは、構成ファイル(okvclient.oraまたはokvrestcli.ini)からIPアドレスを読み取ります。したがって、Oracle Key VaultのIPアドレスは、そのエンドポイントと通信するためのサーバー/ノードのプライマリ・アイデンティティの役目を果たします。Oracle Cloud Infrastructure (OCI)コンピュート・インスタンスにデプロイされたシステムの場合(それには2つのIP (パブリックIPとプライベートIP)がある場合があります)、エンドポイント通信は、デフォルトではプライベートIPを介します。

Oracle Key Vaultを、そのエンドポイントでFQDNまたは代替IPアドレス(以降では代替ホスト名と呼びます)を介しててそれと通信するように構成できます。この構成は2段階のプロセスです。まず、入力として代替ホスト名を指定し、Oracle Key Vaultサーバー/ノード証明書を再生成します。次に、サーバー/ノードとの通信時に使用するエンドポイントのホスト名を選択します。

ノート:

  • この機能は、スタンドアロンおよびマルチマスター・クラスタ・デプロイメントでのみ使用できます。プライマリ/スタンバイ・デプロイメントでは使用できません(Oracle Key Vaultリリース21.5では非推奨)。
  • 代替IPアドレスまたは完全修飾ドメイン名を設定するためのネットワーキング変更は、このドキュメントの範囲外です。次のステップでは、新しい代替ホスト名を介したエンドポイント通信を可能にするためにOracle Key Vaultサーバー/ノードで実行する必要がある変更のみを説明します。

親トピック: 代替ホスト名を使用したOracle Key Vaultの構成

19.7.2 管理コンソールでのOracle Key Vault代替ホスト名の構成

Oracle Key Vault管理コンソールで代替ホスト名を構成できます。代替ホスト名は、有効なIPアドレス、または完全修飾ドメイン名(FQDN)である必要があります。

指定のOracle Key Vaultサーバー/ノードに対して2つまで代替ホスト名を構成できます。エンドポイントでシステムとの通信時に使用するホスト名として、これらの代替ホスト名(またはOracle Key Vaultサーバー/ノードのIPアドレス)のいずれかを選択できます。
代替ホスト名を構成するには、Oracle Key Vaultサーバー/ノード証明書をローテーションする必要があります。その際には、必ず、サーバー/ノード証明書ローテーションのガイドラインに従ってください。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。マルチマスター・クラスタ環境では、代替ホスト名を構成するノードの管理コンソールにログインする必要があります。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. スタンドアロン環境では、「Manage Server Certificate」を選択します。マルチマスター・クラスタ環境では、「Manage Node Certificate」を選択します。プライマリ/スタンバイ・デプロイメントでは代替ホスト名を構成できません。
  5. 環境に応じて、次のことを実行します。
    1. スタンドアロン環境では、「Server Certificates Details」ページで、「Current Server Alternate Hostname」領域まで下にスクロールします。「Alternate Hostname1」フィールドに、有効なIPアドレス、または完全修飾ドメイン名(FQDN)を入力します。必要に応じて、「Alternate Hostname2」フィールドに別のIPアドレスまたはFQDNを入力します。「Generate Server Certificate」を選択します。
    2. マルチマスター・クラスタ環境では、「Node Certificates Details」ページで、「Current Node Alternate Hostname」領域まで下にスクロールします。「Alternate Hostname1」フィールドに、有効なIPアドレス、または完全修飾ドメイン名(FQDN)を入力します。必要に応じて、「Alternate Hostname2」フィールドに別のIPアドレスまたはFQDNを入力します。「Generate Node Certificate」を選択します。
  6. 確認のウィンドウで、「OK」を選択します。
    このプロセスは、完了までに数分かかることがあります。
  7. サーバー/ノード証明書が正常に生成された後は、代替ホスト名を、「Current Server Certificate」(スタンドアロン環境の場合)または「Current Node Certificate」(マルチマスター・クラスタの場合)セクションで確認できます。マルチマスター・クラスタ環境では、各マルチマスター・クラスタ・ノードで使用される代替ホスト名を、「Cluster Node Certificates Details」ページの「Node Certificates Details」セクションで確認できます。

親トピック: 代替ホスト名を使用したOracle Key Vaultの構成

19.7.3 エンドポイント構成で使用する代替ホスト名の選択

1つ以上の代替ホスト名を使用してOracle Key Vaultを正常に構成した後、Oracle Key Vaultサーバー/ノードへの接続時にエンドポイントで使用するアイデンティティとして、これらの代替ホスト名のいずれかを選択できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。マルチマスター・クラスタ環境では、代替ホスト名を構成するノードの管理コンソールにログインする必要があります。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Certificates」領域で、「Service Certificates」を選択します。
  4. スタンドアロン環境では、「Manage Server Certificate」を選択します。マルチマスター・クラスタ環境では、「Manage Node Certificate」を選択します。プライマリ/スタンバイ・デプロイメントでは代替ホスト名を構成できません。
  5. 環境に応じて、次のことを実行します。
    1. スタンドアロン環境では、「Current Server Alternate Hostname」セクションまで下にスクロールします。
    2. マルチマスター・クラスタ環境では、「Current Node Alternate Hostname」セクションまで下にスクロールします。
  6. 「Hostname to use in Endpoint Configuration」ドロップダウン・メニューで、エンドポイントで使用する必要なホスト名を選択し、「Save」を選択します。
  7. 確認のウィンドウで、「OK」を選択します。マルチマスター・クラスタ環境では、この変更内容がクラスタのすべてのノードに伝播されるまで数分待ちます。
    これで、Oracle Key Vaultに登録されている新しいエンドポイントで、Oracle Key Vaultサーバー/ノードとの通信に、この必要なホスト名が使用されるようになりました。既存のOracle Key Vaultエンドポイントは、次にOracle Key Vaultにアクセスしたときにその代替ホスト名を通知され、その後、通信にその代替ホスト名が使用されます。

親トピック: 代替ホスト名を使用したOracle Key Vaultの構成

19.7.4 代替ホスト名の構成に関するガイドライン

エンドポイントでOracle Key Vaultと通信するための代替ホスト名の構成の前に、これらのガイドラインを確認してください。

  • Oracle Key Vaultデプロイメントの初期設定の間の、エンドポイントの登録前に、代替ホスト名を構成します
  • マルチマスタークラスタ環境では、各ノードに、それ固有の(一意の)代替ホスト名を指定する必要があります。すべてのノードをマルチマスター・クラスタに追加した後、1ノードずつ代替ホスト名を設定します。
  • プライマリ/スタンバイ・デプロイメントにおいては、代替ホスト名は構成できずエンドポイントで使用できません。
  • 代替ホスト名を構成するには、Oracle Key Vaultサーバー/ノード証明書をローテーションする必要があります。この構成の間に、サーバー/ノード証明書をローテーションするためのガイドラインに従います。
  • 指定のOracle Key Vaultサーバー/ノードに対して2つまで代替ホスト名を構成できます。ただし、エンドポイントでそのサーバー/ノードにアクセスするときに使用するホスト名として選択できるのは、これらの値のうち1つのみです。
  • 「Hostname to use in Endpoint Configuration」を更新する前に、目的となる代替ホスト名を使用してネットワーク接続を確認します。

関連トピック

親トピック: 代替ホスト名を使用したOracle Key Vaultの構成