| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
前 |
次 |
この章では、Secure Socket Layer (SSL)を介した通信を行えるようにOracle BIコンポーネントを構成する方法について説明します。
Oracle Business IntelligenceのSSL Everywhere機能を使用すると、コンポーネント間のセキュアな通信が可能になります。デプロイメント全体でセキュアなHTTP通信が行われるように、Oracle Business Intelligenceコンポーネント間、およびOracle WebLogic Server間でのSSL通信を構成できます。この項では、データベースやWebサーバーといった外部サービスとのセキュアな通信の構成については説明しません。Oracle WebLogic Serverに対してSSLを構成する方法は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
この章には次の項が含まれます:
表5-1は、一般的なSSL構成タスクの一覧と、それぞれの詳細情報の参照先となるリンクを示します。
表5-1 タスク・マップ: Oracle Business IntelligenceのSSL通信の構成
| タスク | 説明 | 情報 |
|---|---|---|
|
Oracle Business IntelligenceでのSSL通信について理解します。 |
コンポーネントとアプリケーション・サーバー間でのSSL通信がどのように動作するかを理解します。 |
|
|
Oracle WebLogic Server管理対象サーバー間でのSSL通信を構成します。 |
Oracle Business Intelligenceに対してSSL通信を有効にするには、HTTPSを使用するように、事前にWebサーバーを構成しておく必要があります。 |
第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」 Oracle Fusion Middleware管理者ガイドのOracle Fusion MiddlewareでのSSL構成に関する項 |
|
コンポーネント間のSSL通信を構成します。 |
Oracle Business Intelligenceコンポーネント間のSSL通信を構成します。 |
|
SSLは、ネットワーク全体のアプリケーション間でセキュアな通信を有効にするための暗号プロトコルです。SSL通信を有効にすることで、メッセージの暗号化、データ整合性、認証など、いくつもの機能による利益を享受できます。メッセージを暗号化することで、認可されたユーザーだけがこれにアクセスできるという機密保護を徹底できます。データ整合性は、メッセージが改ざんされることなく、元の状態のままで受信されることを保証します。認証は、メッセージの送信者が実際にその人物であることを保証します。この項には次のトピックが含まれます:
SSLの概念、および公開鍵による暗号化の詳細は、『Oracle Fusion Middleware管理者ガイド』のSSLの動作に関する項を参照してください。
デフォルトでは、Oracle Business IntelligenceコンポーネントはTCP/IPを使用して相互通信します。Oracle Business Intelligenceコンポーネント間でSSLを構成すると、セキュアなネットワーク通信が可能になります。
Oracle Business Intelligenceコンポーネントは通信する際、一度に1つのプロトコルしか使用できません。あるコンポーネント間で単純なTCP/IP通信を行いながら、別のコンポーネント間でSSLを使用することはできません。セキュアな通信を有効にするには、次のOracle Business Intelligenceコンポーネントのすべてのインスタンスを、SSLを使用して通信するように構成する必要があります。
Oracle BIサーバー
Oracle BIプレゼンテーション・サービス
Oracle BI JavaHost
Oracle BIスケジューラ
Oracle BIジョブ・マネージャ
Oracle BIクラスタ・コントローラ
Oracle BIサーバーのクライアント(Oracle BI ODBCクライアントなど)
SSLを使用する場合は、セッションのネゴシエーション用に、サーバーが公開鍵と秘密鍵を保有している必要があります。公開鍵は、サーバー証明書によって使用可能になります。証明書には、サーバーを識別する情報も含まれます。秘密鍵はサーバーによって保護されます。
Oracle Business Intelligenceインストール全体のSSLは、1つの中央地点から構成されます。証明書が作成され、すべてのOracle Business IntelligenceコンポーネントがSSLを使用するように構成されます。SSLによって、次のデフォルトのセキュリティ・レベルが構成されます。
SSL暗号化が有効化されています。
SSL相互認証は有効化されません。SSL相互認証が有効にされないため、クライアントが各自のSSL秘密鍵を所有する必要はありません。セキュリティに関するすべてのコンポーネント間通信リンクは、BISystemUser資格証明、またはユーザーの資格証明によって認証されます。
デフォルトの暗号スイートを使用します。デフォルト以外の暗号スイートを使用する方法は、第5.5項「高度なSSL構成オプション」を参照してください。
スケールアウトの際、一元管理されたSSL構成は、追加されたすべての新規コンポーネントに自動的に伝搬されます。
より高度なセキュリティが必要な場合は、SSLによる一元的な構成を、手動構成によって強化または置換できる場合もあります。これは、相当複雑な処理となります。SSLを手動で構成する方法の詳細は、Oracleサポートにお問合せください。詳細は、「Oracleサポートへのアクセス」を参照してください。
SSLを使用したセキュアな通信には、認証局(CA)による署名のある証明書が必要です。内部での通信には、SSL Everywhere機能により、プライベートな認証局および証明書が作成されます。ユーザーのWebブラウザはプライベートな認証局を認識しないため、内部証明書は外部に向けたWebサーバーでは使用できません。したがって、Webサーバーには、外部で認知された認証局によって署名されたWebサーバー証明書を用意する必要があります。Oracle Business IntelligenceコンポーネントがWebサーバー証明書を認識できるように、集中SSL構成には、外部認証局のルート証明書を使用する必要があります。
この項では、Fusion Middleware Control(推奨される方法)を使用するか手動でコンポーネント間のSSL通信を構成する方法を説明します。次のトピックがあります。
この項では、Fusion Middleware ControlおよびOracle WebLogic Server管理コンソールを使用して、コンポーネント間のSSL通信を設定する方法について説明します。
|
注意: この方法ではピア(つまり、BIシステム・コンポーネント間の双方向SSL)は検証されず、Weblogicサーバーで使用される証明書は、常にデモ用のCA証明書を使用して署名されているものとみなされます。 |
Fusion Middleware ControlおよびOracle WebLogic Server管理コンソールを使用して、コンポーネント間のSSL通信を構成するには:
コンポーネント間のSSL通信を有効にする前に、WebサーバーでSSLを構成する必要があります。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「セキュリティ」ページに移動して、「SSL」タブを表示します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックします。
「中間層の通信にSSLを使用」チェック・ボックスが無効な場合:
このチェック・ボックスが警告(「WebLogicのSSLリスニング・ポートが有効ではありません。このポートが有効になるまでOracle BIのSSLを有効にできません。」)とともに無効にされている場合、次のいずれかの項目が該当する可能性があります。
Oracle WebLogic Server管理コンソールで「SSLリスニング・ポート有効」チェック・ボックスが有効になっているが、管理サーバーおよびすべての管理対象サーバー(インストール・タイプによって異なる)を再起動しなければならない可能性がある。
『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceコンポーネントの起動と停止に関する項を使用して、管理サーバーとすべての管理対象サーバーを再起動します。
Oracle WebLogic Server管理コンソールで「SSLリスニング・ポート有効」チェック・ボックスが有効でない。
手順は次のとおりです。
「SSLを構成するには、Oracle WebLogic Server管理者コンソールに移動します。」をクリックし、Oracle WebLogic ServerでSSLリスニング・ポートを構成します。
Oracle WebLogic Server管理コンソールのログイン・ページが表示されます。
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「AdminServerの設定」ページ→「一般」タブに移動します。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「リスニング・ポートの有効化」チェック・ボックスを選択解除します。
「SSLリスニング・ポートの有効化」チェック・ボックスを選択します。
チェンジ・センターで、変更のアクティブ化をクリックします。
管理サーバーとすべての管理対象サーバーを再起動します。
|
注意: 管理対象サーバーのインストールはインストール・タイプに応じて異なります。簡易インストールでは管理サーバー、エンタープライズ・インストールでは管理サーバーと管理対象サーバー、クラスタ・インストールでは管理サーバーと1つ以上の管理対象サーバーがインストールされます。 |
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
Fusion Middleware Controlの「SSL」タブを表示します。
「中間層の通信にSSLを使用」チェック・ボックスが選択可能な場合は選択します。
このチェック・ボックスを選択すると、SSLがOracle Business Intelligenceコンポーネント間の通信手段として有効になります。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
Fusion Middleware Controlを使用してOracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
「内部SSL通信ステータスを確認するためのSSLレポートを表示します。」リンクをクリックして、SSLのステータスを表示します。
または、第5.3.4.6項「MBeanブラウザの使用によるSSLステータスの確認」を参照してください。
このリンクはSSLが有効な場合のみ表示されます。
SMTPサーバーのサーバー証明書を取得する必要があります。
Fusion Middleware Controlを使用してSMTPサーバーのSSLを構成するには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「Business Intelligence概要」ページに移動します。
「デプロイメント」ページの「メール」タブを表示します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックして、構成をロックします。
「Secure Socket Layer (SSL)」の各フィールドを、次のように処理します。
「接続セキュリティ」ドロップダウン・リストからオプションを選択します。これにより、他のフィールドがアクティブになります。
CA証明書ソースの指定: 「ディレクトリ」または「ファイル」を選択します。
CA証明書ディレクトリ: CA証明書を含むディレクトリを指定します。
CA証明書ファイル: CA証明書のファイル名を指定します。
SSL証明書検証の深さ: 証明書に適用する検証レベルを指定します。
SSL暗号リスト: SMTPサーバーがサポートする暗号スイート名に一致する暗号のリストを指定します。たとえば、RSA+RC4+SHAなどです。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
Oracle Business IntelligenceのSSL通信を有効にする前に、(クラスタ内のすべての管理対象サーバーに対して)HTTPSを使用するようにWebLogicリスニング・ポートを構成する必要があります。Oracle WebLogic Serverに対してSSLを構成する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
Oracle WebLogic Serverで実行されるOracle Business Intelligence Javaコンポーネントの一部は、Oracle WebLogic Serverで実行される他のWebサービスを起動します。このため、次のJavaプロパティを設定して、Oracle WebLogic Serverが自身を信頼するように構成する必要があります。
javax.net.ssl.trustStore
javax.net.ssl.trustStorePassword
これらのプロパティを設定するには、次のファイルを編集します。
Linuxの場合:
MW_HOME/user/projects/domains/bifoundation_domain/bin/setDomainEnv.sh
Windowsの場合:
MW_HOME\user\projects\domains\bifoundation_domain\bin\setDomainEnv.cmd
各プロパティは、JAVA_OPTIONS値の末尾に追加します。パス内の\記号はすべて、もう1つの\記号でエスケープする必要があります。
たとえば、デモのOracle WebLogic Server証明書を使用する場合は、次のように編集します。
Linuxの場合(すべて1行に表示):
JAVA_OPTIONS="${JAVA_OPTIONS} -Djavax.net.ssl.trustStore=MW_Home/wlsserver_10.3/server/lib/DemoTrust.jks -Djavax.net.ssl.trustStorePassword="
Windowsの場合(すべて1行に表示):
set JAVA_OPTIONS=%JAVA_OPTIONS% -Djavax.net.ssl.trustStore="MW_Home\wlserver_10.3\server\lib\DemoTrust.jks" -Djavax.net.ssl.trustStorePassword=""
この手順を省略すると、ログインに失敗します。
ベスト・プラクティスは、HTTPリスナーを無効にし、HTTPSリスナーだけを残すことです。HTTPリスナーを無効にした後は、Oracle WebLogic Serverを再起動する必要があります。Oracle WebLogic Serverを再起動しないと、Oracle Business Intelligenceへのログインは失敗します。
トラスト・ストアの場所の指定が不適切だと、SOA用Webサービスで、次のようなエラー・メッセージが表示されます。
java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
この項では、MBeanブラウザを使用してコンポーネント間のSSL通信を手動で構成する方法について説明します。第5.3.1項「Fusion Middleware ControlおよびOracle WebLogic Server管理コンソールの使用によるコンポーネント間のSSL通信の構成」を使用することをお薦めします。
表5-2は、コンポーネント間のSSL通信を手動で構成するタスク(MBeanブラウザの使用を含む)と、それぞれの詳細情報の参照先となるリンクを示します。
|
注意: Oracle Business Intelligenceに対してSSLを有効にするには、事前にWebサーバーのSSLを構成しておく必要があります。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。 |
表5-2 タスク・マップ: MBeanブラウザの使用によるコンポーネント間のSSL通信の手動構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
構成をロックします。 |
変更を加える前に、BIDomain MBeanを使用してドメイン構成をロックします。 |
|
|
SSL証明書を生成します。 |
BIDomain.BIInstance.SecurityConfiguration MBeanを使用して、SSL証明書を生成します。 |
|
|
SSL構成の変更をコミットします。 |
BIDomain MBeanを使用して、SSL構成の変更をコミットします。 |
|
|
資格証明ストアのSSL証明書を検証します。 |
SSL証明書が資格証明ストアに保存されているかどうかを検証します。 |
|
|
SSL構成を有効にし、Oracle Business Intelligenceコンポーネントを再起動します。 |
BIDomain.BIInstance.SecurityConfiguration MBeanを使用してコンポーネント間のSSL構成を有効にし、変更を適用するため、各コンポーネントを再起動します。 |
|
|
コンポーネント間のSSL通信が有効であることを確認します。 |
SSLレポートを実行し、ステータスを確認します。 |
第5.3.4.6項「MBeanブラウザの使用によるSSLステータスの確認」 |
|
メール・サーバーのSSL通信を構成します。 |
メール・サーバーのSSL通信を構成します。 |
第5.3.2項「Fusion Middleware Controlの使用によるSMTPサーバーのSSLの構成」 |
|
期限切れのSSL証明書を更新します。 |
期限切れのSSL証明書を更新し、新規証明書で置換します。 |
|
コンポーネント間の内部SSL通信は、Oracle Business IntelligenceマネージドBean (MBeans)を使用して手動で構成できます。MBeanは、分散環境において管理可能なJMXリソース(アプリケーションなど)を表すJavaオブジェクトです。
Oracle Business Intelligenceコンポーネント間のSSL通信を手動で構成するには、Fusion Middleware ControlのシステムMBeanブラウザを使用します。システムMBeanブラウザは、Fusion Middleware ControlにOracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインからアクセスされます。たとえばbifoundation_domainなどです。
Fusion Middleware Controlの使用およびナビゲートの詳細は、『Oracle Fusion Middleware管理者ガイド』のFusion Middleware Control内でのナビゲートに関する項を参照してください。
コンポーネント間のSSLを構成するには、変更を加える前に構成をロックする必要があります。構成のロックには、BIDomain MBeanを使用します。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインで、Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインに移動します。このドメインを選択します。たとえばbifoundation_domainなどです。
「WebLogicドメイン」メニューから「システムMBeanブラウザ」を選択します。
MBeanナビゲーション・ツリーで「アプリケーション定義のMBean」ノードを開き、oracle.biee.adminノードを開いてbifoundation_domainノードを開きます。
目的のBIDomainノードを見つけて開き、2つのBIDomain MBeanを表示します。次に、各MBean上にカーソルを合せるか、または「MBean情報の表示」をクリックして、それぞれのフルネームを表示します。
oracle.biee.admin:type=BIDomain, group=Service
oracle.biee.admin:type=BIDomain, group=Config
MBeanナビゲーション・ツリーから、フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているBIDomain MBeanを選択します。
「操作」タブを選択して、「ロック」を選択します。
「起動」をクリックします。
構成がロックされたことを示す確認メッセージが表示されます。次の手順では、SSL証明書を生成します。詳細は、第5.3.4.2項「SSL証明書の生成」を参照してください。
内部SSL通信を行うには、サーバー証明書、サーバー公開鍵および秘密鍵を生成する必要があります。Oracle Business Intelligenceは、内部通信のみにおいてプライベートCA(認証局)として機能します。SSL証明書の生成には、BIDomain.BIInstance.SecurityConfiguration MBeanが使用されます。
構成をロックします。
詳細は、第5.3.4.1項「構成のロック」を参照してください。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインでファームを開き、「WebLogicドメイン」を開いて、「bifoundation_domain」を選択します。
「WebLogicドメイン」メニューを表示して、「システムMBeanブラウザ」を選択します。
「システムMBeanブラウザ」ページが表示されます。
MBeanナビゲーション・ツリーで「アプリケーション定義のMBean」ノードを開き、oracle.biee.adminノードを開いてbifoundation_domainノードを開きます。
BIDomain.BIInstance.SecurityConfigurationノードを特定して開きます。
BIDomain.BIInstance.SecurityConfiguration MBeanが表示されます。
BIDomain.BIInstance.SecurityConfiguration MBeanを選択します。
右側のペインに、MBeanの構成オプションが表示されます。
「属性」タブを選択し、SSLCertificatesGenerated属性を特定します。値falseは、SSL証明書が生成されていないことを示します。以前に証明書が生成されている場合は、手順を続行し、これらを新規証明書で置換できます。
「操作」タブを選択します。
「generateSSLCertificates」操作を選択します。
BIDomain.BIInstance.SecurityConfiguration MBeanのgenerateSSLCertificates属性の各パラメータが表示されます。
次のパラメータの値を指定します。
passphrase: 7文字以上にする必要があります。SSLパスフレーズは様々な証明書、および最も重要となる秘密鍵を保護します。このパスフレーズは忘れないようにしてください。たとえば、パスフレーズは、BIサーバー証明書の検証を必要とするコマンドライン・ツールを使用してBIサーバーに接続する場合などに必要となります。
webServerCACertificatePath: Webサーバー証明書の署名に使用した認証局(CA)の、CAルート証明書までのパスを入力します。個別のWebサーバー証明書は入力しないでください。サポートされるタイプは.der.および.pemです。Oracle WebLogic Serverのデフォルトのデモ認証局の場合は、<MW_HOME>/wlserver_10.3/server/lib/CertGenCA.derと入力します。
certificateEncoding: サポートされるタイプは.der.および.pemです。Oracle WebLogic Serverのデフォルトを使用する場合は、derと入力します。
「起動」をクリックします。
操作が正常に実行されたかどうかを示す確認メッセージが表示されます。成功した場合は、入力したCA証明書が検証され、証明書生成リクエストがキューに入れられます。次の手順は変更のコミットであり、これによって証明書の作成、およびドメイン全体への配布が完了します。詳細は、第5.3.4.3項「SSL構成変更のコミット」を参照してください。
SSL構成変更をコミットするには、BIDomain MBeanを使用します。
|
注意: Oracle Business Intelligenceに対してSSLを有効にするには、事前にWebサーバーのSSLを構成しておく必要があります。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。 |
システムMBeanブラウザから、BIDomain MBeanにナビゲートします。フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているMBeanを使用します。
BIDomain MBeanへのナビゲートの詳細は、第5.3.4.1項「構成のロック」のステップ1 - 5を参照してください。
フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているBIDomain MBeanを選択します。
「操作」タブを選択して、「simpleCommit」を選択します。
「起動」をクリックします。
コミット操作が成功したかどうかを示す確認メッセージが表示されます。
次の手順では、SSL資格証明が資格証明ストア内に保存されていることを検証します。詳細は、第5.3.4.4項「資格証明ストアのSSL資格証明の検証」を参照してください。
コミット操作に失敗した場合は、次のようなエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件にもなっているSSLの有効化が行われていないことを示しています。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。この前提条件が整ってから、コミット操作を再実行します。
SSL資格証明は、Oracle Business Intelligenceの資格証明ストアに保存されます。
資格証明ストアのSSL資格証明を検証するには:
必要に応じて、Fusion Middleware Controlのターゲット・ナビゲーション・ペインでファームを開き、「WebLogicドメイン」を開いて、「bifoundation_domain」を選択します。
「WebLogicドメイン」メニューで、「セキュリティ」→「資格証明」を選択します。
oracle.bi.enterprise資格証明マップを開き、SSL資格証明が資格証明ストアに保存されているかどうかを検証します。成功すると、oracle.bi.enterprise資格証明マップに次のSSL資格証明が表示されます。
ssl.java.private.key
ssl.java.public.certificate
config.version
また、各証明書は、MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\biinstances\coreapplication\sslの各ミドルウェア・ホームにもコピーされます。各証明書ファイルは次のとおりです。
cacert.pem: プライベートCAの証明書。BIサーバーの証明書を検証しようとするコマンドライン・ツールは、このファイルをポイントします。
webservercacert.pem: Webサーバー証明書に署名したパブリックCAの証明書。これはgenerateSSLCertificate操作で登録されたCA証明書のコピーであり、.pem形式です。
javaserver.keystore: すべての証明書を、Javaクライアントによる使用に適した形式で保持。内容は次のとおりです。
| 別名 | 証明書 |
|---|---|
|
javaservercert |
サーバー |
|
javaserverkey |
キー |
|
internalcacertificate |
秘密鍵 |
|
webservercacertificate |
WebサーバーCA |
server-key.pem: opensslサーバーの秘密鍵。
次の手順では、SSL構成変更を有効にします。詳細は、第5.3.4.5項「SSL構成の有効化」を参照してください。
SSLを有効にするには、事前に構成をロックする必要があります。
|
注意: SSL構成を有効にした後は、Oracle Business Intelligenceコンポーネントを再起動する必要があります。 |
SSL構成を有効にする前に、WebサーバーがHTTPSを使用するように構成されているかどうかを確認します。必要に応じて、次の手順に進む前にWebサーバーを構成します。
Oracle WebLogic Serverに対してSSLを構成する方法の詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。
構成をロックします。
詳細は、第5.3.4.1項「構成のロック」を参照してください。
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
MBeanへのナビゲーション方法は、第5.3.4.2項「SSL証明書の生成」を参照してください。
「属性」タブを選択し、SSLEnabled属性に対して「値」リストから「true」を選択し、「適用」をクリックします。管理サーバーおよびマネージャ・サーバーに対し、SSLリスニング・ポートを有効にする必要があります。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」を参照してください。
BIDomain MBeanにナビゲートし、変更をコミットします。
詳細は、第5.3.4.3項「SSL構成変更のコミット」を参照してください。
これで、コンポーネント間のSSL通信が有効になりました。変更を有効にするため、Oracle Business Intelligenceコンポーネントを再起動する必要があります。
Fusion Middleware Controlの「Oracle Business Intelligence概要」ページから、Oracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動と停止に関する項を参照してください。
BIDomain.BIInstance.SecurityConfiguration MBeanを使用してSSLレポートを実行し、コンポーネント間のSSL通信が動作していることを確認できます。
SSLレポートを実行してステータスを確認するには:
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
MBeanへのナビゲーション方法は、第5.3.4.2項「SSL証明書の生成」を参照してください。SSLレポートを実行する場合は、構成をロックする必要はありません。
「操作」タブを選択して、「runSSLReport」オプションを選択します。
レポートを実行するには、「起動」をクリックします。
コンポーネント間のSSL通信のステータスを表すレポートが表示されます。例5-1「SSLレポートの出力例」を参照してください。
ターゲット・コンポーネントが実行中であることを確認します。
SSLを有効にした後、コンポーネントが再起動されていることを確認します。SSL構成の変更を有効にするには、再起動が必要です。
BIDomain.BIInstanceSecurityConfiguration MBeanのSSLEnabled属性がtrueに設定されていることを確認します。SSLプロパティを変更した場合は、適用およびコミット処理を実行する必要があります。
OracleBIPresentationServicesComponent (1) <machine_name>:9710. SSL ping OK. peer: <machine_name> port: 9710 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US#9879704091745165219, expires Tue might 17 15:23:02 BST 2011 for C=US, O=org, OU=unit, CN=OBIEE Installer CA OracleBIClusterControllerComponent (No instances configured) OracleBISchedulerComponent (1) <machine_name>:9705. SSL ping OK. peer: <machine_name> port: 9705 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US OracleBIJavaHostComponent (1) <machine_name>:9810. SSL ping OK. peer: <machine_name> port: 9810 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #19, expires Tue might 17 15:23:03 BST 2011 for CN=OBIEE Installer Java, OU=Business Intelligence, O=Oracle, C=US OracleBIServerComponent (1) <machine_name>:9703. SSL ping OK. peer: <machine_name> port: 9703 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US SSL ok on 4 out of 4 components.
SSL Everywhereの集中構成によって生成された証明書は、1年後に失効します。証明書の有効期限は、SSLステータス・レポートにリストされます。SSLレポートの実行方法の詳細は、第5.3.4.6項「MBeanブラウザの使用によるSSLステータスの確認」を参照してください。証明書の失効メッセージの表示例は、例5-1「SSLレポートの出力例」を参照してください。
失効間近の証明書を置換するには、第5.3.4.2項「SSL証明書の生成」の手順に従って新規証明書を生成し、Oracle Business Intelligenceコンポーネントを再起動します。
Oracle Business Intelligenceのコンポーネントおよびツールに必要となるその他の構成オプションは、次のとおりです。
BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。
SASchInvokeコマンドを実行するには、次の構文を使用します。
SASchInvoke -u <Admin Name> (-j <job id> | -i <iBot path>) [-m <machine name>[:<port>]] [(-r <replace parameter filename> | -a <append parameter filename>)] [-l [ -c SSL certificate filename> -k <SSL certificate private key filename> [ -w <SSL passphrase> | -q <passphrase file> | -y ]] [-h <SSL cipher list>] [-v [-e <SSL verification depth>] [-d <CA certificate directory>] [-f <CA certificate file>] [-t <SSL trusted peer DNs>] ] ]
このコマンドでは、管理者パスワードの入力を求められます。
SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。
Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用される鍵および証明書は、Javaキーストア・データベースに格納しておく必要があります。
SSLを使用してBIスケジューラ・サーバーと通信するようにOracle BIジョブ・マネージャを構成するには、次の手順を実行します。
Oracle BIジョブ・マネージャを構成するには:
「ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。
ダイアログ・ボックスの「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。
集中SSL構成を使用している場合は、相互認証が設定されないため、このダイアログ・ボックスで追加の値を指定する必要はありません。
「OK」をクリックして終了します。
BI Schedulerが「クライアント証明書が必要」に設定されている場合は、「キー・ストア」と「キー・ストア・パスワード」を次のように設定する必要があります。
キー・ストア=MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\biinstances\coreapplication\ssl\javaserver.keystore.
キー・ストア・パスワード = generateSSLCertificates操作で入力したパスフレーズ。第5.3.4.2項「SSL証明書の生成」のステップ9を参照してください。
「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。
「トラスト・ストア」テキスト・ボックスに、認証局ファイルを保持するキー・ストアのパスおよびファイル名を入力します。
前述の例では、CA証明書は、証明書および秘密鍵の保存場所と同じキー・ストアjavaserver.keystoreに保存されています。
「トラスト・ストア・パスワード」テキスト・ボックスに、ステップ5で入力したキー・ストアのパスワードを入力します。
上記のパラメータで指定した場所に、キー・ストア・ファイルおよびトラスト・ストア・ファイルをコピーします。
Oracle BI用のHTTP WebサーバーでSSLが有効化されていると、オンライン・カタログ・マネージャからOracle BIプレゼンテーション・サービスに接続できない場合があります。WebサーバーからSSLサーバー証明書またはCA証明書をインポートし、システム変数JAVA_HOMEによって指定されているJVM (JRocketなど)のJavaキー・ストアに格納する必要があります。
オンライン・カタログ・マネージャを有効にして接続するには:
MW_HOME/JAVA_HOME/ jre/lib/securityにあるJavaのデフォルトのトラスト・ストアに移動します。
たとえば、mw_home\jrocket_160_17_R28.0.0-679\jre\lib\securityとなります。
デフォルトのトラスト・ストア名はcacertsです。
Webサーバーからエクスポートした証明書を、Javaのデフォルト・トラスト・ストアと同じ場所にコピーします。
次のコマンドを実行して、デフォルトのトラスト・ストアに証明書をインポートします。
keytool -import -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS
このコマンドにより、Webサーバー証明書ファイル$WebserverCertFilenameが、Javaのデフォルトのトラスト・ストアであるcacertsに、bicertという別名でインポートされます。
たとえば、Oracle WebLogic Serverのデフォルトのデモ証明書を使用する場合であれば、証明書へのフルパスであるWLS_HOME/server/lib/CertGenCA.derを使用します。
|
注意: Javaトラスト・ストアのデフォルトのパスワードは「changeit」です。 |
カタログ・マネージャを再起動します。
|
注意: カタログ・マネージャは、セキュアなHTTPS URLを使用して起動する必要があります。 |
SSLが有効化されているBIサーバーに適切に接続するには、管理ツールもSSLを使用して通信するように構成する必要があります。Oracle BIサーバーのデータ・ソースのDSNが必要となります。
SSL経由で通信するように管理ツールを構成するには:
プレゼンテーション・サービスの「 管理 」ページに管理ユーザーとしてログインして、使用されているOracle BIサーバーのデータ・ソースのDSNを確認します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
左上隅の「Oracle BIサーバー・データ・ソース」フィールドを確認します。DSNがcoreapplication_OH<DSNnumber>という形式で一覧表示されています。
管理ツールで、「ファイル」、「開く」、「オンライン」の順に選択し、DSN番号を入力します。リストからDSNを選択します。
リポジトリのユーザー名およびパスワードを入力します。
これで、管理ツールはSSLを使用してBIサーバーに接続されます。
Oracle BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。ODBC DSNに対してSSL通信を有効化する方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のOracle Business Intelligenceとのその他のクライアントの統合に関する項を参照してください。
複数の認証プロバイダを構成している場合に、SSL(一方向SSLのみ)で通信するLDAP認証プロバイダを追加構成するには、仮想化(libOVD)機能で使用される追加キーストアに、該当するLDAPサーバーのルート証明書を配置する必要があります。
複数認証プロバイダの使用時にSSLを構成するには:
|
注意: このタスクを完了する前に、 |
キーストアを作成します。
環境変数ORACLE_HOME、WL_HOMEおよびJAVA_HOMEを設定します。
たとえば次のようにします(Windowsの場合)。
set ORACLE_HOME=<MW_HOME>\Oracle_BI1
set WL_HOME=<MW_HOME>\wlserver_10.3
set JAVA_HOME=<MW_HOME>\jdk160_24
-createKeystoreオプションを使用して、libovdconfig.sh(UNIXの場合)またはlibovdconfig.bat(Windowsの場合)を実行し、キーストアを設定します。
たとえばUNIXでは、シェル・プロンプト開き、<MW_HOME>/oracle_common/binディレクトリに移動します。その上で、次のコマンドを実行します(Oracle Business Intelligenceの管理者ユーザー名とパスワードが求められます)。
./libovdconfig.sh -host <hostname> -port <Admin_Server_Port> -username <BI Admin User> -domainPath <MW_HOME>/user_projects/domains/bifoundation_domain -createKeystore
Windowsでの場所:
<MW_HOME>\oracle_common\bin\libovdconfig.bat
入力を求められたら、Oracle Business Intelligenceの管理者パスワード、およびlibovdconfig.sh -createKeystoreコマンドで作成されたOVDキーストアのパスワード(キーストア・ファイルの保護に使用される新しいパスワード)を入力します。
このコマンドを実行すると、2つの新しい資格証明が、資格証明ストアと、<MW_HOME>\user_projects\domains\bifoundation_domain\config\fmwconfig\ovd\default\keystoresの下のadapters.jksという新しいキーストア・ファイルに表示されます。
ルート証明書をLDAPディレクトリからエクスポートします(方法については、LDAPのドキュメントを参照してください)。
keytoolコマンドを使用して、ルート証明書をlibOVDキーストアにインポートします。
<MW_HOME>/jdk160_24/bin/keytool -import -keystore <MW_HOME>\user_projects\domains\bifoundation_domain\config\fmwconfig\ovd\default\keystores/adapters.jks -storepass <KeyStore password> -alias <alias of your choice> -file <Certificate filename>
WebLogicおよびBIシステムのプロセスを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
デフォルトのSSL構成では、デフォルトの暗号スイートによるネゴシエーションを使用します。組織におけるセキュリティ標準ではデフォルト構成の使用が許容されない場合は、別の暗号スイートを使用するようにシステムを構成できます。デフォルト構成は、SSLステータス・レポートの出力で確認できます。
このような高度なオプションは、SSL Everywhereの一元的な構成では構成されません。かわりに、個々のコンポーネントを手動で構成する必要があります。スケールアウトによって新規コンポーネントを追加した場合は、追加した各コンポーネントを個別に手動構成する必要があります。手動構成では、構成ファイル(.iniおよび.xml)を編集します。これらのファイル・タイプに対する構文上の規則を確認するように注意してください。ファイルが不適切だと、対応するコンポーネントはログ・ファイルにエラーを記録し、起動しなくなります。
手動構成したSSL環境は、デフォルトのSSL構成と共存できます。
SSL暗号スイートを手動構成するには:
第5.3.4項「MBeanブラウザの使用によるコンポーネント間のSSL通信の手動構成」の指示に従い、SSL Everywhereを構成します。
|
注意: 手動で変更を加える前に、通常のロックおよびコミット・サイクルにより、BIDomain.BIInstance.SecurityConfigurationのSSLManualConfig MBeanを起動してください。 |
http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppAの各オプションから、必要なJava暗号スイート名を選択します。
http://www.openssl.org/docs/apps/ciphers.html#CIPHER_LIST_FORMATのリストを使用して、選択した暗号スイートと一致するOpen SSL暗号スイート名を作成します。
たとえば、SSL_RSA_WITH_RC4_128_SHAというJava暗号スイート名は、Open SSLではRSA+RC4+SHAにマップされます。
ORACLE_INSTANCE\config\OracleBIJavaHostComponent\coreapplication_obijhn\ config.xmlにあるJavaHost構成ファイルを編集し、次のサブ要素をJavaHost/Listener/SSL要素に追加します。例:
<EnabledCipherSuites>SSL_RSA_WITH_RC4_128_SHA</EnabledCipherSuites>
クラスタ環境の場合は、ORACLE_INSTANCE/config/OracleBIApplication/coreapplication/NQClusterConfig.INIにあるクラスタ・コントローラの構成ファイルを編集し、次の例に示すように、SSL_CIPHER_LIST値を設定します。
SSL_CIPHER_LIST = "RSA+RC4+SHA";
ORACLE_INSTANCE/config/OracleBIPresentationServicesComponent/coreapplication_obipsn/instanceconfig.xmlにあるプレゼンテーション・サービスの構成ファイルを編集し、属性cipherSuites="RSA+RC4+SHA"をServerInstance要素内のListenerおよびJavaHostProxy要素に追加します。
ORACLE_INSTANCE/config/OracleBISchedulerComponent/coreapplication_obischn/instanceconfig.xmlにあるBIスケジューラの構成ファイルを編集し、次のサブ要素をscheduler/ServerInstance/SSLに追加します。例:
<CipherList>RSA+RC4+SHA</CipherList>
クラスタ環境の場合は、ORACLE_INSTANCE/config/OracleBIApplication/coreapplication/NQClusterConfig.INIにあるクラスタ・コントローラの構成ファイルを編集し、次の例に示すように、SSL_CIPHER_LIST値を設定します。
SSL_CIPHER_LIST = "RSA+RC4+SHA";
すべてのOracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動と停止に関する項を参照してください。
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
SSLステータス・レポートを実行する前に、SSLManualConfig属性がfalseに設定されていることを確認します。
MBeanへのナビゲーション方法は、第5.3.4.2項「SSL証明書の生成」を参照してください。SSLレポートを実行する場合は、構成をロックする必要はありません。
第5.3.4.6項「MBeanブラウザの使用によるSSLステータスの確認」の手順に従い、SSLステータス・レポートを実行して、SSLが有効化されていることを確認します。
