「サーバー 「サーバー
「サーバー / 下位 下位 下位 下位 CA 証明書」タブ 証明書」タブ 証明書」タブ 証明書」タブ
どのサーバーの管理者も、サーバー証明書を取得して、他のサーバーまたはユーザーに対す るそのサーバーのPKI認証を有効にできます。そのためには、Oracle Wallet Manager(また はサード・パーティによる同等ツール)を使用して生成されるPKCS #10要求フォームが必 要です。『Oracle Application Server 10gセキュリティ・ガイド』のOracle Wallet Manager に関する章を参照してください。
「サーバー証明書」タブ・ページで、次の手順を実行します。
1. ホームページで「サーバー/下位CA証明書」タブを選択して、「サーバー証明書」
フォームを表示します。
2. 「証明書の要求」ボタンをクリックします。
3. 「サーバー/下位CA証明書要求」フォームに、Oracle Wallet Managerが以前生成し た、必要事項が入力されたPKCS #10要求フォームを貼り付けて、必要な証明書のタイ プを選択します。SSL、暗号化、署名、コード署名またはCA署名のサーバー証明書を 要求できます。下位CAとして使用するには、登録フォームの証明書の使用方法に
「CA署名」を指定します。表示されるドロップダウン・リストの選択肢から、要求した 証明書の有効期間も選択します。
4. 適切な情報を入力し、管理者にフォームを送信します。
管理者がこの要求を承認するまで、サーバーの管理者は認証を取得できません。
下位 下位 下位
下位 CA 証明書 証明書 証明書 証明書
1つの企業内で異なる大陸に部門が存在するなど、単一のCAでは実用的でない場合は、
PKI構造内に複数のCAを保持することができます。階層的なPKIでは、ルートCAは、す べてのユーザーによって信頼されている単一のCAです。ルートCAの公開鍵は、セキュリ ティ・ドメインに対する信頼できるパスの開始位置として機能します。
Oracle Application Server Certificate Authorityは、ルートCAとなる場合と、第三者CAか ら下位CA証明書を取得する場合があります。Oracle Application Server Certificate
Authorityが、別のCAの証明書署名を認証することで、下位CAを作成することもできま
す。下位CAがさらに下位レベルのCAに対して証明書を発行する場合、いわゆる証明連鎖 が生まれます。いずれかの下位CAが署名した個々の証明書には、ルートCAまでのすべて のCAの証明書が表示されている必要があります。それぞれの認証局の証明書は上位のCA によって署名されているため、特定の証明書の妥当性を検証するには、認証局のパスをルー トCAまでトレースします。
ブラウザへの証明書失効リスト(CRL)のインポート
下位CA証明書を取得するには、次の手順を実行します。
1. ホームページで「サーバー/下位CA証明書」タブを選択して、「下位CA証明書」
フォームを表示します。
2. 「証明書の要求」ボタンをクリックします。
3. 「下位CA証明書要求」フォームで適切な情報を入力した後、証明書の使用方法のタイ プに「CA署名」を選択して、管理者にフォームを送信します。
要求者は、管理者がこの要求を承認するまで、証明書を取得できません。
CA 証明書のダウンロード 証明書のダウンロード 証明書のダウンロード 証明書のダウンロード
Netscapeの場合、「証明書の要求」をクリックすると、Oracle Application Server Certificate
Authorityによって、一連のダイアログ・ボックスが表示されます。これらのダイアログ・
ボックスには、OCA証明書の受付けに必要な操作の説明が表示されます。表示されるそれ ぞれのダイアログ・ボックスで「次へ」をクリックし、最後のダイアログ・ボックスでは
「終了」をクリックします。CA証明書がブラウザに自動的にダウンロードされます。
Internet Explorerの場合は、CA証明書のインポートを承認するか拒否するかを確認する
メッセージが表示されるだけです。証明書を取得しない場合でも、このCAが証明書を発行 しているサーバーを信頼するためだけに承認できます。ブラウザによって、証明書を保存す るかどうか、または現在の位置から開くかどうかを確認するメッセージが表示されます。ブ ラウザにCA証明書をインポートする場合は、「このファイルを上記の場所から開く」を選 択して「OK」をクリックします。次に表示されるウィンドウで「証明書のインストール」
を選択し、証明書のインポートを承認して、ブラウザのリポジトリにCA証明書を格納しま す。
ブラウザへの証明書失効リスト(
ブラウザへの証明書失効リスト( ブラウザへの証明書失効リスト(
ブラウザへの証明書失効リスト(CRL)のインポート )のインポート )のインポート )のインポート
ブラウザに証明書失効リスト(CRL)をインポートすると、個人または企業から提供された 証明書が失効している場合に警告を表示できます。失効した証明書を使用すると、偽装の問 題がある可能性、あるいは提供または使用している製品に問題がある可能性が示される場合 があります。警告が表示されることによって、不適切である可能性がある操作を回避できま す。
この操作は、ブラウザによって異なる手順が必要になります。
■ Netscapeの場合
■ Internet Explorer(IE)の場合
ブラウザへの証明書失効リスト(CRL)のインポート
Netscape の場合 の場合 の場合 の場合
Oracle Application Server Certificate Authorityの「ユーザー証明書」タブから、次の操作を
実行します。
1. 「CRLのダウンロード」ボタンをクリックします。
「CRLのダウンロード」フォームが表示されます。
2. 「ブラウザへのCRLのインポート」をクリックします。
CRLがインポートされます。
CRLは、「セキュリティ」→「署名者」→「CRLの表示/編集」で参照できます。
すでにCRLを取得していて、そのCRLがダウンロード中のCRL以降まで有効の場合は、
ダウンロードしようとしているCRLが、ブラウザにすでに存在するCRLより有効期間が短 いことを示す小さなダイアログ・ボックスが表示されます。
また、次の操作を実行することもできます。
■ 「CRLのバイナリでのダウンロード」というラベルが付いたボタンをクリックして、格 納するディレクトリを選択し、CRLのバイナリ・コピーをダウンロードする。
■ 「Base64形式でのCRLのダウンロード」というラベルが付いたボタンをクリックして、
ダウンロード先のディレクトリを選択し、BASE64形式でコピーをダウンロードする。
Internet Explorer ( ( ( ( IE )の場合 )の場合 )の場合 )の場合
IEの場合、CRLはブラウザに直接インポートされません。CA証明書をインポートする場合 と同様、IEでは、「ディスクに保存する」または「このファイルを上記の場所から開く」の どちらを選択するかを確認するメッセージが表示されます。後者を選択すると、CRLはイン ポートされません。「ディスクに保存する」を選択した場合は、次の操作を実行します。
1. 「ツール」メニューから、「インターネットオプション」→「コンテンツ」→「証明書」
を選択します。
2. 「インポート」を選択します。
3. CRLを選択します。
CRLがインポートされたというメッセージが表示されます。
ブラウザへの新規発行の証明書のインポート