TLS証明書に関する組織のCAプロセスの使用

この項では、opensslを使用してTLS証明書を作成する方法について説明します。

大規模な組織または政府機関には、例として、それぞれ独自のCAを含む、独自のPKI (公開鍵インフラストラクチャ)がある場合があります。

お客様の組織に独自の証明書プロセスがある場合のために、この項では、リカバリ・アプライアンス証明書を統合する方法を説明します。

証明書の情報の準備

1. リカバリ・アプライアンスでadmin_userまたはrootとして、このコマンドを実行します。

   racli list san

   
       Created log /opt/oracle.RecoveryAppliance/log/racli_list_san.log
       Thu May  6 16:18:33 2021: Start: List SAN
       CN = zdlra09ingest-scan1.yourdomain.com
       DNS.1 = zdlra09adm01.yourdomain.com
       DNS.2 = zdlra09adm02.yourdomain.com
       DNS.3 = zdlra09ingest-scan1.yourdomain.com
       DNS.4 = zdlra09ingest01-vip.yourdomain.com
       DNS.5 = zdlra09ingest01.yourdomain.com
       DNS.6 = zdlra09ingest02-vip.yourdomain.com
       DNS.7 = zdlra09ingest02.yourdomain.com
       Thu May  6 16:18:39 2021: End: List SAN

   ホストからのCN (共通名)項目は<yourScanName>であり、これは、後で証明書ファイルに対応付けられます。

   この例では、<yourScanName>は"zdlra09ingest-scan1"であり、署名付き証明書ファイルは<yourScanName>.p12であり、信頼できる証明書は<yourScanName>.pemです。

2. エディタを使用して、お客様の組織の証明/セキュリティ・プロセス用のCRT構成ファイルを作成します。

   この例では、それは<YOUR_CONFIG2>という名前です。ご使用の環境では、YOUR_...またはyourDirが使用されている構成メンバーすべてを、ローカル・インスタンスからの特定の情報に置き換えます。また、<YOUR_DNS>の項目を、前のステップでracli list sanを使用して取得した情報に置き換えます。

   [req]
   default_bits = 2048
   prompt = no
   default_md = sha256
   req_extensions = v3_req
   distinguished_name = dn
    
   [ dn ]
   C=$args{YOUR_COUNTRY}
   ST=$args{YOUR_STATE}
   L=$args{YOUR_LOCATION}
   O=$args{YOUR_ORGANIZATION}
   OU=$args{YOUR_ORGANIZATION_UNIT}
   emailAddress=$args{YOUR_EMAIL_ADDRESS}
   CN = $list_san->{CN}
   [ v3_req ]
   keyUsage = keyEncipherment, dataEncipherment
   extendedKeyUsage = serverAuth
   subjectAltName = \@alt_names
   [alt_names]
   DNS.1 = <YOUR_DNS.1>
   DNS.2 = <YOUR_DNS.2>

3. <YOUR_CONFIG2>.CRTファイルをお客様の組織の証明/セキュリティ・プロセスにアップロードします。

   ノート:

   CA組織によってバンドルが生成されたら、次のようにします:

   • 形式PEM (OpenSSL)を選択します。
   • <YOUR_CONFIG2>が必要であるため、including CRT fileのオプションを確認します。

4. お客様の組織の証明/セキュリティ・プロセスから、パッケージ全体を、<yourDir>で指定されている場所にダウンロードします。この例では、その名前が<yourDownload>.crtであると仮定します。

   信頼できる証明書<yourDownload>.pemは、そのパッケージ内にあり、後のステップで署名付き証明書を生成するために、このパッケージから使用されます。

5. リカバリ・アプライアンスでadmin_userまたはrootとして、このコマンドを実行してキー・ファイルを生成します。この例では、それはyourScanName.keyです。

   openssl genrsa --passout pass:<yourPassword> --out <yourDir>/<yourScanName>.key 2048

6. pkcs12形式を使用して信頼できる証明書によって署名された証明書を取得します。

   openssl pkcs12 --export --in <yourDir>/<yourDownload>.crt 
       --inkey <yourDir>/<yourScanName>.key
       --certfile <yourDir>/<yourDownload>.pem 
       --passin pass:<yourPassword> 
       --passout pass:<yourPassword> 
       --out <yourDir>/<yourScanName>.p12

7. 署名付き証明書をTLSウォレットにインポートします。

   racli add certificate --signed_cert=<yourDir>/<yourScanName>.p12

8. 信頼できる証明書をTLSウォレットにインポートします。

   racli add certificate --trust_cert=<yourDir>/<yourScanName>.pem

9. 証明書をインポートした後、"racli list certificate"を使用して、証明書がraa_certsデータベース表にあることを確認します。

   # racli list certificate
   
   Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log
   Wed Mar 29 11:46:49 2023: Start: List Certificate
   Serial: 9A15CB4B76BBC52D
       Expire Time:      2024-03-28
       Certificate Type: trusted_cert
    
   Serial: 95B9181340F644F0
       Expire Time:      2024-03-28
       Certificate Type: signed_cert
    
   Wed Mar 29 11:46:49 2023: End: List Certificate

10. 「リカバリ・アプライアンスでのTLSデータ・セキュリティの構成」、「クライアントでのTLSデータ・セキュリティの構成」の順に進みます。