TLS証明書に関する組織のCAプロセスの使用
この項では、opensslを使用してTLS証明書を作成する方法について説明します。
大規模な組織または政府機関には、例として、それぞれ独自のCAを含む、独自のPKI (公開鍵インフラストラクチャ)がある場合があります。
お客様の組織に独自の証明書プロセスがある場合のために、この項では、リカバリ・アプライアンス証明書を統合する方法を説明します。
証明書の情報の準備
-
リカバリ・アプライアンスで
admin_user
またはroot
として、このコマンドを実行します。racli list san
Created log /opt/oracle.RecoveryAppliance/log/racli_list_san.log Thu May 6 16:18:33 2021: Start: List SAN CN = zdlra09ingest-scan1.yourdomain.com DNS.1 = zdlra09adm01.yourdomain.com DNS.2 = zdlra09adm02.yourdomain.com DNS.3 = zdlra09ingest-scan1.yourdomain.com DNS.4 = zdlra09ingest01-vip.yourdomain.com DNS.5 = zdlra09ingest01.yourdomain.com DNS.6 = zdlra09ingest02-vip.yourdomain.com DNS.7 = zdlra09ingest02.yourdomain.com Thu May 6 16:18:39 2021: End: List SAN
ホストからの
CN
(共通名)項目は<yourScanName>
であり、これは、後で証明書ファイルに対応付けられます。この例では、
<yourScanName>
は"zdlra09ingest-scan1
"であり、署名付き証明書ファイルは<yourScanName>.p12
であり、信頼できる証明書は<yourScanName>.pem
です。 -
エディタを使用して、お客様の組織の証明/セキュリティ・プロセス用の
CRT
構成ファイルを作成します。この例では、それは
<YOUR_CONFIG2>
という名前です。ご使用の環境では、YOUR_...
またはyourDir
が使用されている構成メンバーすべてを、ローカル・インスタンスからの特定の情報に置き換えます。また、<YOUR_DNS>
の項目を、前のステップでracli list san
を使用して取得した情報に置き換えます。[req] default_bits = 2048 prompt = no default_md = sha256 req_extensions = v3_req distinguished_name = dn [ dn ] C=$args{YOUR_COUNTRY} ST=$args{YOUR_STATE} L=$args{YOUR_LOCATION} O=$args{YOUR_ORGANIZATION} OU=$args{YOUR_ORGANIZATION_UNIT} emailAddress=$args{YOUR_EMAIL_ADDRESS} CN = $list_san->{CN} [ v3_req ] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = \@alt_names [alt_names] DNS.1 = <YOUR_DNS.1> DNS.2 = <YOUR_DNS.2>
-
<YOUR_CONFIG2>.CRT
ファイルをお客様の組織の証明/セキュリティ・プロセスにアップロードします。ノート:
CA組織によってバンドルが生成されたら、次のようにします:- 形式
PEM (OpenSSL)
を選択します。 <YOUR_CONFIG2>
が必要であるため、including CRT file
のオプションを確認します。
- 形式
-
お客様の組織の証明/セキュリティ・プロセスから、パッケージ全体を、
<yourDir>
で指定されている場所にダウンロードします。この例では、その名前が<yourDownload>.crt
であると仮定します。信頼できる証明書
<yourDownload>.pem
は、そのパッケージ内にあり、後のステップで署名付き証明書を生成するために、このパッケージから使用されます。 -
リカバリ・アプライアンスで
admin_user
またはroot
として、このコマンドを実行してキー・ファイルを生成します。この例では、それはyourScanName.key
です。openssl genrsa --passout pass:<yourPassword> --out <yourDir>/<yourScanName>.key 2048
-
pkcs12
形式を使用して信頼できる証明書によって署名された証明書を取得します。openssl pkcs12 --export --in <yourDir>/<yourDownload>.crt --inkey <yourDir>/<yourScanName>.key --certfile <yourDir>/<yourDownload>.pem --passin pass:<yourPassword> --passout pass:<yourPassword> --out <yourDir>/<yourScanName>.p12
-
署名付き証明書をTLSウォレットにインポートします。
racli add certificate --signed_cert=<yourDir>/<yourScanName>.p12
-
信頼できる証明書をTLSウォレットにインポートします。
racli add certificate --trust_cert=<yourDir>/<yourScanName>.pem
-
証明書をインポートした後、"
racli list certificate
"を使用して、証明書がraa_certs
データベース表にあることを確認します。# racli list certificate Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log Wed Mar 29 11:46:49 2023: Start: List Certificate Serial: 9A15CB4B76BBC52D Expire Time: 2024-03-28 Certificate Type: trusted_cert Serial: 95B9181340F644F0 Expire Time: 2024-03-28 Certificate Type: signed_cert Wed Mar 29 11:46:49 2023: End: List Certificate
-
「リカバリ・アプライアンスでのTLSデータ・セキュリティの構成」、「クライアントでのTLSデータ・セキュリティの構成」の順に進みます。