インストール・アーカイブ・ファイルのデジタル署名と整合性の検証
Oracle Database 23ai以降では、インストール・アーカイブ・ファイルは、ご使用の環境へのパッケージのデプロイ前にパッケージの整合性を保証するために、Oracle証明書を使用してデジタル署名されています。
Javaユーティリティ
jarsignerを使用して、Oracle Database、Oracle Database Client、Oracle Grid Infrastructure、Oracle Examples、Oracle GatewaysまたはOracle GSMのインストール・アーカイブ・ファイルの整合性を検証します。インストール・ファイルを展開する前にインストール・アーカイブ・ファイルの整合性を検証できます。
クイック検証
インストール・アーカイブ・ファイルをすばやく検証するには、-verifyオプションを指定してjarsignerコマンドを使用します:
- インストール・アーカイブ・ファイルをダウンロードしたディレクトリに移動します。
-
次のコマンドを実行してインストール・アーカイブ・ファイルを確認します:
jarsigner -verify installation_archive_fileたとえば、Oracle Databaseのゴールド・イメージを確認するには:
jarsigner -verify db_home.zipjar verified.
詳細な証明書情報
詳細な証明書情報が必要な場合は、-verbose:summaryおよび-certsを-verifyオプションとともに使用します。
- インストール・アーカイブ・ファイルをダウンロードしたディレクトリに移動します。
-
次のコマンドを実行してインストール・アーカイブ・ファイルを確認します:
jarsigner -verify -verbose:summary -certs installation_archive_fileたとえば、Oracle Databaseのゴールド・イメージを確認するには:
jarsigner -verify -verbose:summary -certs db_home.zip出力は、次のようなものです。
2237119 Fri Feb 17 07:02:30 UTC 2023 META-INF/MANIFEST.MF >>> Signer X.509, CN="Oracle America, Inc.", O="Oracle America, Inc.", L=Redwood City, ST=California, C=US [ Signature algorithm: SHA256withRSA, 3072-bit key [certificate is valid from 8/19/21 12:00 AM to 8/19/23 11:59 PM] X.509, CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O="DigiCert, Inc.", C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [certificate is valid from 4/29/21 12:00 AM to 4/28/36 11:59 PM] X.509, CN=DigiCert Trusted Root G4, O=DigiCert Inc, C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [trusted certificate] >>> TSA X.509, CN=DigiCert Timestamp 2022 - 2, O=DigiCert, C=US [ Signature algorithm: SHA256withRSA, 4096-bit key [certificate is valid from 9/21/22 12:00 AM to 11/21/33 11:59 PM] X.509, CN=DigiCert Trusted G4 RSA4096 SHA256 TimeStamping CA, O="DigiCert, Inc.", C=US [ Signature algorithm: SHA256withRSA, 4096-bit key [certificate is valid from 3/23/22 12:00 AM to 3/22/37 11:59 PM] X.509, CN=DigiCert Trusted Root G4, O=DigiCert Inc, C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [certificate is valid from 8/1/22 12:00 AM to 11/9/31 11:59 PM] 2237281 Fri Feb 17 07:02:32 UTC 2023 META-INF/ORACLE_C.SF (and 1 more) (Signature related entries) 0 Fri Feb 17 05:41:24 UTC 2023 OPatch/ (and 1897 more) (Directory entries) 2977 Tue Dec 20 08:02:16 UTC 2022 OPatch/README.txt (and 20199 more) [entry was signed on 2/17/23 7:02 AM] >>> Signer X.509, CN="Oracle America, Inc.", O="Oracle America, Inc.", L=Redwood City, ST=California, C=US [ Signature algorithm: SHA256withRSA, 3072-bit key [certificate is valid from 8/19/21 12:00 AM to 8/19/23 11:59 PM] X.509, CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O="DigiCert, Inc.", C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [certificate is valid from 4/29/21 12:00 AM to 4/28/36 11:59 PM] X.509, CN=DigiCert Trusted Root G4, O=DigiCert Inc, C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [trusted certificate] >>> TSA X.509, CN=DigiCert Timestamp 2022 - 2, O=DigiCert, C=US [ Signature algorithm: SHA256withRSA, 4096-bit key [certificate is valid from 9/21/22 12:00 AM to 11/21/33 11:59 PM] X.509, CN=DigiCert Trusted G4 RSA4096 SHA256 TimeStamping CA, O="DigiCert, Inc.", C=US [ Signature algorithm: SHA256withRSA, 4096-bit key [certificate is valid from 3/23/22 12:00 AM to 3/22/37 11:59 PM] X.509, CN=DigiCert Trusted Root G4, O=DigiCert Inc, C=US [ Signature algorithm: SHA384withRSA, 4096-bit key [certificate is valid from 8/1/22 12:00 AM to 11/9/31 11:59 PM] s = signature was verified m = entry is listed in manifest k = at least one certificate was found in keystore i = at least one certificate was found in identity scope - Signed by "CN="Oracle America, Inc.", O="Oracle America, Inc.", L=Redwood City, ST=California, C=US" Digest algorithm: SHA-256 Signature algorithm: SHA256withRSA, 3072-bit key Timestamped by "CN=DigiCert Timestamp 2022 - 2, O=DigiCert, C=US" on Fri Feb 17 07:02:33 UTC 2023 Timestamp digest algorithm: SHA-256 Timestamp signature algorithm: SHA256withRSA, 4096-bit key jar verified. The signer certificate will expire on 2023-08-19. The timestamp will expire on 2031-11-09.
jarsignerオプションの詳細は、jarsigner -hと入力するか、jarsignerのドキュメントを参照してください: