My Oracle Support Banner

Oracle HTTP Server と WebCache 11g/12c のためのワイルドカード、SNI と SAN SSL証明書 の サポート状況 (Doc ID 2231441.1)

Last updated on FEBRUARY 21, 2018

適用範囲:

Oracle HTTP Server - バージョン 11.1.1.1.0 以降
Oracle Fusion Middleware - バージョン 11.1.1.1.0 以降
Web Cache - バージョン 11.1.1.1.0 から 11.1.1.9.0 [リリース Oracle11g]
この文書の内容はすべてのプラットフォームに適用されます。

詳細

Overview

もし、ワイルドカード、Server Name Indication (SNI)、Subject Alternate Name (SAN) 証明書 が、Oracle HTTP Server (或いは、Oracle Walletを使用している製品)にてサポートされるなら、疑問があります。Oracle HTTP Server と Oracle Web Cache のための SSL 証明書は、Oracle Walletを使用して設定されており、Oracle Wallet technologyによってもたらされる機能と同じものがサポートされるべきです。これらの製品のどんな機能を使用しているときでも SSL を適切に処理によりサポートするには、協同的な動作が必要とされます。

この新しい文書の目的は、11g と 12c リリースにおける 新しい業界の機能のワイルドカード、SNI、SAN 証明書のサポートの進捗を追跡するためにあります。

アクション

ワイルドカード証明書

10g(これは歴史的にOracleによってサポートされていない)のためには <Note 291774.1> 参照のこと。 "ワイルドカード証明書"(ポピュラーな業界用語です)のサポートは、Oracle Wallet Manager (或いはorapki) 11g (これは最初は Oracle Database 11g にてリリースされています) と共に開始され、Oracle Walletによって可能となっています。これは、新しい証明書要求は、CNやOU内で'*'を使用するか 0 引数のリクエストにて生成されるかもしれないことを意味しています。証明書ベンダーがその証明書を生成するようになったら、あなたは、Oracle Fusion Middleware 11gにて設定するかもしれません。ワイルドカード証明書の使用は、11.1.1.6 以降 (error correction policies 参照のこと)から開始されるでしょう。

注意 ワイルドカード(アンオフィシャルな業界用語)のための文書は存在しないかもしれません、しかし、最新のWallet Manager と orapki ツールは、"CN=*.<domain>.com" というシンタックスを受け入れます。

セキュリティ予防策: "*"のみを持つ証明書は、安全ではありません、それはどんなアイデンティにもマップできてしまうからです。一方、一つのドメイン下で複数の保護されたバーチャルホストを1つのホストでホストティングする場合、"*.oracle.com"のようなCNの証明書が実際に使用されます。この機能は、ワイルドカード証明書と共に、同じ証明書/鍵を使用して、異なるIPやポートの2つの別々のリスナーを持つことを管理者に許容します。("ワイルドカード"は、業界用語です、そして、ベンダーはマーケティングのために何か他の呼び方をするかもしれません) あなたの環境とビジネス要求におけるこのアプローチを実装することによるセキュリティに対して引き起こすあろう結果を理解して、この機能を使用してください。

更新: Chrome 58 released an update where a "NET::ERR_CERT_COMMON_NAME_INVALID" 警告が発生するように更新されたChrome 58がリリースされました。Chrome は、現在、ワイルドカード証明書のためにSAN (SubjectAltName) 拡張の使用を強制します。後述のSAN 証明書サポートのセクションを参照のこと。

Server Name Indication (SNI)

Apacheとの比較はしばしば作成されます。Oracle HTTP Server 11g は、Apache 2.2 ベースであり、Apache 2.2.22 は ネームベースのSSL バーチャルホストを許容する SNI サポートを有するmod_sslを使用します。

Oracleは、mod_ossl を使用し、それは SNIサポートを含みません。1つの ER が登録されています。12.2.1.3時点で実装されていません。

https://docs.oracle.com/middleware/12213/webtier/administer-ohs/workwith.htm#HSADM858

"
制限事項
Oracle HTTP Server は Server Name Indication (SNI) 拡張をサポートしません。SNIサポートがないことは、いくつかのSubjectAltName拡張エントリーのある証明書を使用することによって1つ以上のSSLを使用するvirtual hostをセットアップする際、最初のvirtual hostのために設定されたvhost毎のmod_osslのみが考慮されます。
"... (例が続く)

 

Subject Alternate Name (SAN)

SAN 証明書のよい解説はこちら:
https://www.digicert.com/subject-alternative-name.htm

SAN 証明書はテストされ、それによると Oracle HTTP Server 11g と12cの早期バージョンでは動くかもしれないが、しかし、成否混合した結果でした。 複数のBugが登録されており、コードは実際のところSAN証明書をサポートしておらず、異なる解決していない問題をもたらしていると判明しました。それは、これらのバージョン上ではサポートされません。

SAN証明書のサポートはOHS 12.2.1.3 以降にて実装されました。orapki、WLST、FMW Controlの管理に関連して下記の文書が提供されました:

* Fusion Middleware Administering Oracle HTTP Server

Create Certificate Request with SAN Extension by Using orapki Utility
https://docs.oracle.com/middleware/12213/webtier/administer-ohs/workwith.htm#GUID-31D9DE0F-FBC0-4035-BCF4-3E08EDEE37BD

* Fusion Middleware WLST Command Reference for Infrastructure Security

generateKeyPair  - see ext_san argument
https://docs.oracle.com/middleware/12213/opss/IDMCR/keystore_service_wlst.htm#GUID-C6A7FED7-FCFC-420B-8BB5-F3A34D59C952

* Fusion Middleware Securing Applications with Oracle Platform Security Services

Managing Certificates with WLST - see ext_san argument under "Task 1, Generating a Key Pair":
https://docs.oracle.com/middleware/12213/opss/JISEC/kssadm.htm#GUID-DF72CAAE-3D04-4ED2-9807-C81904E74D92

Managing Certificates with Fusion Middleware Control - see new dialog for Subject Alternative Name when generating a keypair:
https://docs.oracle.com/middleware/12213/opss/JISEC/kssadm.htm#GUID-D8164693-48A0-4909-94DF-6BABDE476868

WebLogic Serverのためには、Note 1075505.1 - Support for SAN (Subject Alternative Name) for WebLogic Server SSL Certificates を参照ください。

 

 

[更新履歴]
2017/02/17 本文書を公開
2017/06/07 情報の更新
2017/06/15 情報の更新
2017/09/11 情報の更新
2018/02/22 情報の更新

本文書利用上のご注意

====================
本文書は英語の文書(2225494.1 最終メジャー更新日2018年2月22日)の日本語翻訳版です。
英語の文書のメジャー更新に応じて本文書を随時更新いたします。

コンタクト

To view full details, sign in with your My Oracle Support account.

Don't have a My Oracle Support account? Click to get started!


My Oracle Support provides customers with access to over a million knowledge articles and a vibrant support community of peers and Oracle experts.