Oracle Application Server Certificate Authorityは、組織で指定したポリシーを自動的に施行
して、証明書の発行、失効または更新の要求に適用します。Oracle Application Server
Certificate Authorityで提供されるポリシー・ルールは、標準的な必要事項をサポートしま
す。ただし、Oracle Application Server Certificate AuthorityのWebベースのインタフェー スの「構成管理」タブを使用したり、サイトの必要性に応じたカスタム・ポリシー・プラグ インを追加することによって、管理者が構成することもできます。管理者は、必要に応じて これらのポリシーを無効にして回避することもできます。
この章では、カスタム・ポリシー・プラグインを開発するツールなど、Oracle Application
Server Certificate Authorityのポリシー管理コンポーネントについて説明します。
この章の内容は、次のとおりです。
■ 定義
■ ポリシー管理の概要
■ Oracle Application Server Certificate Authorityのポリシー
■ Oracle Application Server Certificate Authorityの「ポリシー」サブタブ
■ ポリシー・ルールの条件
■ カスタム・ポリシー・プラグインの開発
定義
定義 定義 定義 定義
ポリシー管理の概要 ポリシー管理の概要 ポリシー管理の概要 ポリシー管理の概要
ポリシー管理とは、組織的な制約を施行するためにOracle Application Server Certificate
Authority管理者が選択したポリシー(ルールのセット)の定式化および適用を意味します。
制約には、鍵のアルゴリズム、鍵のサイズおよび有効期間をユーザーが選択するための項目 などがあります。
管理者は、Oracle Application Server Certificate Authorityで提供されたポリシーを使用し て、次の操作を定義できます。
■ Oracle Application Server Certificate Authority(OCA)が、受信した要求(証明書の発 行、失効および更新)を評価する方法
■ CAが証明書のパラメータ(有効期間や鍵の長さなど)に適用する制限、またはサブ ジェクト名および使用方法が同じ証明書を複数発行する際に適用する制限
Oracle Application Server Certificate AuthorityのWebベースのインタフェースで、「構成管 理」タブの編集機能を使用して、ポリシー・ルールの有効化、無効化または変更を行うこと ができます。「Oracle Application Server Certificate Authorityの「ポリシー」サブタブ」の 項を参照してください。
表表表
表5-1 OracleAS Certificate Authorityでのポリシーの概念、用語および定義でのポリシーの概念、用語および定義でのポリシーの概念、用語および定義でのポリシーの概念、用語および定義 概念または用語
概念または用語概念または用語
概念または用語 定義定義定義定義 ポリシー・ルールまたは
ポリシー Oracle Application Server Certificate Authorityにおけるポリ シー・ルールとは、証明書や要求などに適用されるパラメータ値 のデフォルトおよび範囲のセットです。たとえば、有効期間のポ リシー・ルールには、365日(最小有効期間)、730日(デフォル ト)および3650日(最大有効期間)を指定できます。
ポリシー・ルールには、ルールの用途を制限または変更する条件 を含めることもできます。条件を指定しない場合、更新などの特 定の操作へのポリシー・ルールが、すべての要求に適用されます。
条件 Oracle Application Server Certificate Authorityにおける条件と は、証明書または証明書要求のタイプを識別するために作成する 式および対応する値です。証明書または証明書要求のタイプが条 件式と一致すると、要求の妥当性を評価するために、ポリシーの デフォルト値のかわりに、これらの対応する値が使用されます。
条件が使用できるのはOCAのデフォルト・ポリシーのみで、「カ スタム・ポリシー・プラグインの開発」の項で説明するカスタ ム・ポリシーでは使用できません。
例: Type=="client"、Type=="server"またはType=="*"
プラグイン ポリシー・ルールを実装するJavaクラス
ポリシー管理の概要
新しいルールを作成したり、ルールを具体化するポリシー・プラグインを開発することもで きます。各ルールは、管理者が選択した評価または制限を実装するポリシー・プラグイン
(Javaクラス)に具体化されます。ポリシー・ルールとポリシー・プラグインは、1対1で マッピングされます。Oracle Application Server Certificate Authorityのデフォルトのプラグ インは、一般的に必要なほぼすべてのポリシー構成を対象としています。ポリシー・プラグ インを作成する場合、5-30ページの「カスタム・ポリシー・プラグインの開発」で説明する ように、管理者は適切なプログラミング手法に従い、Oracle Application Server Certificate
Authorityパッケージが提供するAPIを使用する必要があります。
サイト固有のポリシーを定義する新しいプラグインを開発した後、同じ「ポリシー」サブタ ブを使用して、そのプラグインに名前を付け、Oracle Application Server Certificate
Authorityに登録することができます。プラグインを有効にすると、Oracle Application
Server Certificate Authorityは、プラグインに定義されているとおりに新しいルールを施行
します。
ポリシー・ルールは、Oracle Application Server Certificate Authorityエンジンのポリシー・
プロセッサ・モジュールによって施行されます。このプロセッサ・モジュールは、すべての 有効なルールを順次施行します。有効化されていないルール、または無効化されたルールは 施行されません。「ポリシー」サブタブの各操作の「ポリシー・ルール」ページで指定した 順序が使用されます。つまり、プロセッサ・モジュールは、各操作の「ポリシー・ルール」
ページで指定した順に、ポリシー・プラグインをコールします。受信したあらゆる要求は、
操作のタイプ(要求、更新、失効など)に対応する、適切で有効なすべてのポリシー・ルー ルの対象となります。ルールが有効で、受信した要求と条件が一致しない場合、その要求は 拒否されます。
各ポリシー・ルールは、証明書の発行、失効または更新の要求のうち、1つ以上の属性に関 係します。たとえば、ある属性は、RSAアルゴリズムで使用する鍵の最小サイズおよび最大 サイズに関係します。関係するデフォルト・ポリシーは、このようなすべての属性が、アル ゴリズムの有効範囲内にあることを検証します。
ポリシーは、管理インタフェースの「ポリシー」サブタブを使用したWebベースのインタ フェースを介して管理されます。
条件を含むポリシー処理の詳細は、「ポリシー・ルールの条件」の項を参照してください。
Oracle Application Server Certificate Authorityのポリシー
Oracle Application Server Certificate Authority のポリシー のポリシー のポリシー のポリシー
Oracle Application Server Certificate Authorityでは、制約固有のポリシー・ルールを提供し
ています。このポリシー・ルールは、証明書の登録、失効または更新の受信要求をポリ シー・プロセッサが評価する際に使用します。各ルールの範囲内で、Oracle Application
Server Certificate Authorityを構成して、特定の属性について、受信した要求を検証できま
す。また、これらの属性を受け入れたり、変更したり、要求を拒否することもできます。
ポリシー・ルールが有効な場合、Oracle認証局サーバーによって、処理中の証明書要求に ルールが適用されます。
表5-2に、制約固有のデフォルトのポリシー・ルールを示します。最初の列に、各ポリ シー・ルールについての参照先を示します。