Oracle Application Server Certificate AuthorityのWebベースの管理インタフェースは、次 に示す3つの大きな事項を対象としています。各事項は、ホームページのタブからアクセス できます。
■ 発行済証明書に関する事項: 証明書の発行、失効および更新の要求、および証明書失効 リスト(CRL)
■ 構成に関する事項: Oracle Application Server Certificate Authorityのアクション用パラ メータおよび証明書のセキュリティ・ポリシーを実装するためのパラメータ
■ Oracle Application Server Certificate Authorityアクティビティのログの表示
この章では、認証局運用規程に指定する内容とあわせて、前述の2つ目と3つ目の事項(構 成管理およびログの表示)について説明します。
この章の内容は、次のとおりです。
■ 管理インタフェースの構成
■ 「構成管理」タブ
■ 「ログの表示」タブ
■ 認証局運用規程の作成および更新
管理インタフェースの構成
管理インタフェースの構成 管理インタフェースの構成 管理インタフェースの構成 管理インタフェースの構成
次の図に示すように、Oracle Application Server Certificate Authorityのグラフィカル・ユー ザー・インタフェース(GUI)のホームページには、この他に3つのタブがあります。
これらの3つのサブタブを使用して、証明書または認証局の構成を管理する特定のタスクを 実行できます。
■ 「認証管理」タブについては、第3章で説明しています。特に「証明書の管理」の項を参 照してください。
■ 「構成管理」タブについては、この章で説明しています。
■ 「ログの表示」タブについては、この章で説明しています。
「構成管理」タブ
「構成管理」タブ
「構成管理」タブ 「構成管理」タブ
「構成管理」タブ
「構成管理」タブは、Oracle Application Server Certificate AuthorityのWeb環境に初めてア クセスする際に選択可能な4つの項目のうちの1つです。ホームページで「構成管理」タブ をクリックすると、1つ目のサブタブが表示されます。各サブタブでは、Oracle Application
Server Certificate Authorityの構成管理機能が分類されています。
次の項で、これらのサブタブの内容および使用方法について説明します。
■ 構成タスクの概要
■ 「通知」サブタブ
■ 「一般」サブタブ
■ Oracle Application Server Certificate Authorityの「ポリシー」サブタブおよびポリシー 操作については、第5章「Oracle Application Server Certificate Authorityでのポリシー 管理」で説明しています。
「構成管理」タブ
構成タスクの概要 構成タスクの概要 構成タスクの概要 構成タスクの概要
表4-1、表4-2および表4-3に、「構成管理」の「通知」、「一般」および「ポリシー」という 各サブタブで実行するタスクを示します。
表 表表
表4-1 「構成管理」の「通知」サブタブのタスクおよび説明「構成管理」の「通知」サブタブのタスクおよび説明「構成管理」の「通知」サブタブのタスクおよび説明 「構成管理」の「通知」サブタブのタスクおよび説明
「通知」サブタブ
「通知」サブタブ
「通知」サブタブ
「通知」サブタブのタスクおよびデータのタスクおよびデータのタスクおよびデータのタスクおよびデータ 参照先参照先参照先参照先 アラートと通知の宛先となるサーバー名および電子メール・アドレスを指定する。
表示するアラート・タイプを指定する。
CRLの生成間隔、CRLの検証間隔およびディレクトリの同期間隔を指定する。
■ メール詳細
■ アラート
■ スケジュールされた ジョブ
表 表表
表4-2 「構成管理」の「一般」サブタブのタスクおよび説明「構成管理」の「一般」サブタブのタスクおよび説明「構成管理」の「一般」サブタブのタスクおよび説明「構成管理」の「一般」サブタブのタスクおよび説明
「一般」サブタブ
「一般」サブタブ
「一般」サブタブ
「一般」サブタブのタスクおよびデータのタスクおよびデータのタスクおよびデータのタスクおよびデータ 参照先参照先参照先参照先 Oracle Internet Directoryとあわせて、SSL通信チャネルまたは非
SSL通信チャネルを、証明書の公開に使用することを指定する。
■ 証明書の公開
証明書の管理のために、エンド・ユーザーがSSL認証およびSSO 認証を使用できることを指定する。
■ SSL認証およびSSO認証
ロギングまたはトレース(両方を実行すること、あるいはどちらも
実行しないこと)を指定する。 ■
ロギングおよびトレース
登録情報に示されるDNコンポーネントのデフォルト値を指定す る。
■ デフォルトのベースDNコンポーネント
データベースおよびディレクトリの構成パラメータを表示する。 ■ データベースの設定, ディレクトリの設定
表 表表
表4-3 「構成管理」の「ポリシー」サブタブのタスクおよび説明「構成管理」の「ポリシー」サブタブのタスクおよび説明「構成管理」の「ポリシー」サブタブのタスクおよび説明「構成管理」の「ポリシー」サブタブのタスクおよび説明 Oracle Application Server Certificate Authorityの「ポリの「ポリの「ポリの「ポリ シー」サブタブ
シー」サブタブシー」サブタブ
シー」サブタブのタスクおよびデータ(のタスクおよびデータ(のタスクおよびデータ(第のタスクおよびデータ(第第第5章章章章))))
参照先参照先 参照先参照先
使用可能な操作(証明書の要求、失効、更新など)に適用可 能なポリシーを参照する。
ポリシーの編集、有効化、無効化、削除、追加および並び替 え。
■ 製品に付属の証明書要求ポリシー
■ 製品に付属の証明書失効ポリシー
■ 製品に付属の証明書更新ポリシー
■ ポリシー操作
「構成管理」タブ
「通知」サブタブ
「通知」サブタブ 「通知」サブタブ
「通知」サブタブ
「通知」パラメータでは、管理者への通知電子メールをトリガーするイベント、通知電子 メールの生成方法およびこれらのイベントを検出する頻度を制御します。
「通知」構成パラメータの変更を有効にするには、Oracle Application Server Certificate
Authorityを再起動する必要があります。
メール詳細 メール詳細 メール詳細 メール詳細
「メール」パラメータを使用すると、管理者として指定した電子メール・アドレスおよび OCAユーザー(必要に応じて判断される)に、暗号または平文による電子メール通知を送 信できるようになります。その際、指定したサーバー、送信者およびテンプレートが使用さ れます。「通知」サブタブ画面で、次の項目を指定します。
インストール後は、「テンプレートの有効化」の下のヒントに、テンプレート・ディレクト リへの正確なパスが表示されます。たとえば、インストール時に$Oracle_Homeを
/private/sitename/usernameに定義した場合は、このヒントには
「/private/sitename/username/oca/emailに格納されているテンプレートが使用されます。」
と表示されます。
関連項目 関連項目関連項目
関連項目: 第6章「OracleAS Certificate Authority の管理: 高度なトピッ ク」の「CA SSL WalletおよびCA SMIME Walletの再生成」の項
「構成管理」タブ
アラート アラート アラート アラート
「アラート」パラメータを使用すると、次の場合にアラートを受信するかどうかを指定でき ます。
■ 証明書の保留要求の数が、ここで指定したキューのしきい値を超え、指定したスケ ジュールで検証が行われる場合。
■ CRLの自動生成に失敗した場合。たとえば、データベースまたはOracle Internet
Directoryが一時的に使用できない場合、CRLの自動生成に失敗します。他にも、メモ
リー、入出力または接続性に関連する、予期しないランタイム・エラーまたは構成エ ラーが発生した場合も、CRLの自動生成に失敗します。
「通知」サブタブ画面で、次の項目を指定します。
スケジュールされたジョブ スケジュールされたジョブ スケジュールされたジョブ スケジュールされたジョブ
「スケジュールされたジョブ」パラメータを使用すると、自動ジョブについて次の項目を選 択できます。
■ CRLを自動生成するかどうかと、その頻度。この機能によって、失効または期限切れに なった証明書の検出にCRLを使用するアプリケーションをサポートする処理を、定期 的かつ確実に実行できます。
■ ディレクトリを同期化するかどうかと、その頻度。この機能によって、Oracle Internet
Directoryに格納されている証明書の情報が、適切なタイミングで定期的に更新されま
す。ディレクトリが一時的に停止している間に証明書を発行(または失効や期限切れ)
した場合でも、同期化中は公開(または削除)されます。
「通知」サブタブ画面で、次の項目を指定します。
「構成管理」タブ
電子メールのテンプレート 電子メールのテンプレート 電子メールのテンプレート 電子メールのテンプレート
管理者は「通知」サブタブの「メール詳細」で該当のチェック・ボックスを選択することに よって、テンプレートを有効化できます。その後、電子メールのアラートおよび通知の本文 をテンプレートとして指定し、カスタマイズできます。これらのテンプレートは次のディレ クトリに格納されています。
$ORACLE_HOME/oca/templates/email
次に示すトークンを使用して電子メールの書式を設定することで、特定の情報を提供できま す。これらのトークンは電子メールの送信前に置換されます。表4-4に、通知、電子メール の書式のファイル名、およびサポートされているトークンを示します。
表 表表
表4-4 通知、テンプレート、および電子メールのカスタマイズに使用できるトークン通知、テンプレート、および電子メールのカスタマイズに使用できるトークン通知、テンプレート、および電子メールのカスタマイズに使用できるトークン通知、テンプレート、および電子メールのカスタマイズに使用できるトークン 通知
通知通知
通知 テンプレートのファイル名テンプレートのファイル名テンプレートのファイル名テンプレートのファイル名 サポートされているトークンサポートされているトークンサポートされているトークンサポートされているトークン CertificateRequestNotify reqacc.txt #NAME#、#REQUESTID#、
#SUBJECTDN#、#PHONE#、
#EMAIL#
RequestApprovalNotify reqapp.txt #NAME#、#REQUESTID#、
#SUBJECTDN#、
#SERIALNUM#、
#OCAURL#、#PHONE#、
#EMAIL#、#VALIDITY#
RequestRejectionNotify reqrej.txt #NAME#、#REQUESTID#、
#SUBJECTDN#、#PHONE#、
#EMAIL#
PendingRequestsAlert pendreq.txt #NAME#、
#NUMBERREQUESTS#
CRLAutoGenFailureAlert crlfail.txt #NAME#