のエンド・ユーザー・インタフェース のエンド・ユーザー・インタフェース のエンド・ユーザー・インタフェース
「エンド・ユーザー」は、ユーザーのみでなく、サーバーとアプリケーション間の認証を容 易にするために証明書を取得するサーバー・エンティティも表します。
エンド・ユーザーおよび管理者がOracle Application Server Certificate Authorityサーバー と対話する際には、別々のHTMLインタフェースを使用できます。エンド・ユーザーは、
これらのHTMLインタフェースを使用して、証明書に関連する個人的な操作を実行でき、
管理者は証明書を管理できます。
この章の内容は、次のとおりです。
■ ユーザー・インタフェースへのアクセス
■ エンド・ユーザー用のタブおよび処理
■ 「ユーザー証明書」タブ
■ 証明書の検索、更新および失効
■ 「サーバー/下位CA証明書」タブ
■ 下位CA証明書
■ CA証明書のダウンロード
■ ブラウザへの証明書失効リスト(CRL)のインポート
■ ファイル・システムへの証明書失効リスト(CRL)のダウンロード
■ ブラウザへの新規発行の証明書のインポート
■ ブラウザからのWalletのエクスポート(バックアップ)
■ ファイル・システムからの証明書のインポート
NetscapeおよびInternet Explorerの両方がサポートされます。
ユーザー・インタフェースへのアクセス
ユーザー・インタフェースへのアクセス ユーザー・インタフェースへのアクセス ユーザー・インタフェースへのアクセス ユーザー・インタフェースへのアクセス
Oracle Application Server Certificate Authorityのエンド・ユーザー・インタフェースのホー
ムページにアクセスするには、Webブラウザを起動して、インストールの最後に表示された 管理サーバーのURLおよびポート番号を入力します。たとえば、次のように入力します。
https://Oracle_HTTP_host:ssl_port/oca/user
次のような、Oracle Application Server Certificate Authorityのユーザー・ホームページが表 示されます。
このページに説明されているとおり、このWebベースのインタフェースを使用して、証明 書の要求や、証明書または証明書要求の更新、失効または検索を行うことができます。これ らの機能を使用するには、「ユーザー証明書」タブと「サーバー/下位CA証明書」タブの いずれかをクリックします。
エンド・ユーザー用のタブおよび処理
また、「ここをクリック」リンクを使用して、認証局の証明書または最新の証明書失効リス ト(CRL)をブラウザにインポートすることもできます。
同様に、管理者は、管理者用の「ここをクリック」リンクを使用して、追加使用の目的で、
ファイル・システムにCA証明書またはCRLをダウンロードできます。
エンド・ユーザー用のタブおよび処理 エンド・ユーザー用のタブおよび処理 エンド・ユーザー用のタブおよび処理 エンド・ユーザー用のタブおよび処理
Oracle Application Server Certificate AuthorityのWebベースのインタフェースでは、次に 示すとおり、エンド・ユーザーは認証局と2つのタイプの対話を実行できます。
「ユーザー証明書」タブでは、次の処理を行うことができます。
■ Oracle Application Server Certificate Authorityに対して、ユーザー自身で認証するこ と。この処理を実行するには、既存のSingle Sign-On(SSO)またはSSL証明書を使用 するか、管理者による手動の認証を要求します。
■ OCA管理者が手動で承認できるように、新しい証明書要求を作成すること(エンド・
ユーザーまたはサーバーの場合)。
■ 証明書の自動的な要求および受信(SSLユーザーおよびSSOユーザーの場合)。
■ 証明書のインポート、表示、失効または更新。
■ 認証方式の変更。
■ CA証明書のダウンロード。
■ 最新の証明書失効リスト(CRL)のダウンロード。
表7-1に、Oracle Application Server Certificate Authorityがサポートしている証明書のタイ プと、それぞれについての簡単な説明を示します。
表 表表
表7-1 証明書のタイプおよび使用方法証明書のタイプおよび使用方法証明書のタイプおよび使用方法証明書のタイプおよび使用方法 証明書のタイプ
証明書のタイプ証明書のタイプ
証明書のタイプ 意味および使用方法意味および使用方法意味および使用方法意味および使用方法
暗号化 他のユーザーが公開鍵で暗号化したメッセージを送信できるようにし、それによって、
自分だけが秘密鍵を使用してメッセージを解読できるようにします。
署名 秘密鍵でメッセージ・ダイジェストに署名することで、他のユーザーは公開鍵を使用 して、このユーザーがメッセージを送信したこと、およびその内容が変更されていな いことを検証できます。
コード署名 秘密鍵でソフトウェアに署名することで、クライアントは公開鍵を使用して、この ユーザーがソフトウェアの配布元であることを検証できます。
証明書への署名 発行する証明書に秘密鍵を使用して署名することで、受信者は公開鍵を使用して、証 明書が送信者本人によって署名されていることを検証できます。
SSL 証明書をSSL認証で使用します。
エンド・ユーザー用のタブおよび処理
「サーバー/下位CA証明書」タブでは、次の処理を行うことができます。
■ ID、シリアル番号、一般名などによる、証明書および証明書要求の検索
■ サーバー証明書および下位CA証明書の要求
■ CA証明書または証明書失効リスト(CRL)のインポート
「ユーザー証明書」タブ
「ユーザー証明書」タブ 「ユーザー証明書」タブ
「ユーザー証明書」タブ
このタブを初めて表示するときに、「認証」ページが表示されます。このページでは、
Oracle Application Server Certificate Authorityに対する、ユーザー自身の認証方法を選択で
きます。
表7-2に、使用可能な認証タイプおよび認証方式を示します。
次の項で、これらの認証タイプおよび認証方式について詳しく説明します。
■ Single Sign-On(SSO)認証
■ OracleAS Certificate Authorityが信頼されるブラウザの構成
■ Secure Sockets Layer(SSL)認証
■ 手動認証
■ 証明書の検索、更新および失効
■ 「サーバー/下位CA証明書」タブ
■ 下位CA証明書
表 表表
表7-2 認証タイプ認証タイプ認証タイプ認証タイプ 認証タイプ 認証タイプ認証タイプ
認証タイプ 説明説明説明説明 方式の概要(詳細は次の項を参照)方式の概要(詳細は次の項を参照)方式の概要(詳細は次の項を参照)方式の概要(詳細は次の項を参照)
Single Sign-On
(SSO)
認証は、Single Sign-On Serverに基づ いて自動化されます。通常は、パス ワード・ベースです。
「OracleAS Single Sign-On名およびパスワードの使用」
というラベルが付いたラジオ・ボタンをクリックし、
「送信」をクリックします。
Secure Sockets Layer
(SSL)
認証は、事前に発行されたSSL証明書 に基づいて自動化されます。
「既存の証明書の使用」というラベルが付いたラジオ・
ボタンをクリックし、「送信」をクリックします。
手動 認証は自動化されません。「証明書要 求」フォームに必要事項を入力して送 信し、管理者からの承認を待ちます。
「手動承認/認証を使用します」というラベルが付いた ラジオ・ボタンをクリックし、「送信」をクリックしま す。
関連項目 関連項目関連項目
関連項目: 認証については、第2章を参照してください。
エンド・ユーザー用のタブおよび処理
Single Sign-On( ( ( (SSO)認証 )認証 )認証 )認証
次の手順を実行して、必須のSSO認証情報(ユーザー名やパスワードなど)を提供するこ とにより、SSOユーザーは自動的に証明書を取得したり、証明書を管理できます。
1. 「認証」フォームで、「OracleAS Single Sign-On名およびパスワードの使用」というラベ ルの付いたオプションを選択して、「送信」をクリックします。
SSOのログイン・ページにリダイレクトされます。
2. SSOユーザー名およびパスワードを入力します。有効な証明書を示す「ユーザー証明書
- SSO」フォームが表示され、次の作業を行うことができます。
■ 証明書の取得
■ 選択した証明書の詳細の表示
■ 現行の証明書の更新
■ 現行の証明書の失効
証明書を取得するには、手順3~5を実行します。
3. 「ユーザー証明書 - SSO」フォームの「証明書の要求」をクリックして、「証明書要求」
フォームを表示します。
4. 「証明書要求」フォームで、適切な情報を入力して、フォームを送信します。使用して いるブラウザがNetscapeの場合とInternet Explorerの場合では、表示される選択肢が 少し異なります。
■ Netscapeの場合は、512、1024など、生成される鍵のペアのサイズ(ビット単位)
を示す鍵サイズが表示されます。
注意 注意注意
注意: Netscapeでは、エンド・ユーザーおよび管理者のいずれの場合に
も、鍵のサイズ(512または1024)を選択できます。
Internet Explorer(IE)では、ハードコードされた基本的な512ビットが
使用されます。これは通常、リストの最初に表示される選択肢で、次に拡 張選択肢の1024ビット、その後に他の選択肢が続きます。ただし、IEの バージョンによっては、Gemplusがリストの最初に表示される場合もあり ます。コンピュータにスマートカードのカード・リーダーが装備されてい ない場合は、Gemplusを選択すると、鍵のサイズの解決法が見つからない ためにエラーが表示されます。カード・リーダーが装備されている場合
は、Gemplusスマートカードによって鍵のサイズが判断されます。
エンド・ユーザー用のタブおよび処理
■ Internet Explorerの場合は、暗号化サービス用に選択可能なプロバイダを示すキー
ストアが表示されます。標準の選択肢には、「Microsoft Base Cryptographic Provider」、「Microsoft Enhanced Cryptographic Provider」および「Microsoft
Strong Cryptographic Provider」があり、鍵のサイズは、それぞれ512ビット、
1024ビット、2048ビットに固定されています。また、スマートカードを使用する
場合のGemplusなど、その他の選択肢が表示される場合もあります。要件に応じ
て、サイズを選択します。1024ビット(拡張選択肢)の使用をお薦めします。
■ 有効期間有効期間有効期間有効期間: 証明書の有効期間を日数で指定します。ただし、ValidityRuleポリシーの
「デフォルトの有効期間」に指定されている数値を使用して、Oracle Application
Server Certificate Authorityが自動的に設定するため、SSOユーザーが有効期間に
関する情報を入力する必要はありません。
必要事項を入力したフォームを送信すると、「証明書」フォームが表示され、証明書に 記録された情報が示されます。
5. 情報が正しいことを確認した後、証明書の署名者の名前を書き留めます。この名前は後 で必要です。次に、「ブラウザへのインポート」ボタンをクリックして、ブラウザに証 明書をインポートします。次に示すとおり、NetscapeとInternet Explorerでは、イン ポートが成功したことを伝える方法は異なります。
■ Netscapeの場合は、証明書がインポートされると、ブラウザの左下のステータス・
バーに「ドキュメント: 完了。」と表示されます。この時点で「OK」をクリックし ます。カーソルが砂時計のままでも、処理は完了しています。対応するCA(署名 者)の証明書も、インポートされています。
注意 注意注意
注意: 「ブラウザへのインポート」のかわりに「OK」をクリックすると、
証明書が作成されてOCAリポジトリに格納され、Oracle Internet
Directoryに公開されます。ただし、インポートするまで、証明書はブラ
ウザからサーバーに渡されません。「ブラウザへの新規発行の証明書のイ ンポート」の項を参照してください。
注意 注意注意
注意: 信頼できる証明書にするには、CA証明書の使用方法を編集して、
その認証局が発行した証明書を、ネットワーク・サイト、電子メール・
ユーザー、ソフトウェア開発者のいずれかまたはすべてに対して信頼する と指定します。これらの選択肢のチェック・ボックスは、Netscapeのメ ニュー・バーの「セキュリティ」から表示できます。「Netscapeでの証明 書発行元への信頼」の項を参照してください。