33 SSLの構成

この章では、WebCenter Portalアプリケーション(FrameworkアプリケーションおよびSpacesを含む)およびコンポーネントをSSLで保護する方法を説明します。

この章の内容は次のとおりです。

• 第33.1項「SSLを使用したブラウザからSpacesへの接続の保護」

• 第33.2項「SSLを使用したブラウザからFrameworkアプリケーションへの接続の保護」

• 第33.3項「SSLを使用したOracle HTTP ServerからSpacesへの接続の保護」

• 第33.4項「SSLを使用したブラウザからディスカッション・サービスへの接続の保護」

• 第33.5項「SSLを使用したSpacesからポートレット・プロデューサへの接続の保護」

• 第33.6項「SpacesからLDAPアイデンティティ・ストアへの接続の保護」

• 第33.7項「SSLを使用したSpacesからContent Serverへの接続の保護」

• 第33.8項「SSLを使用したSpacesからIMAPおよびSMTPへの接続の保護」

• 第33.9項「SSLを使用したFrameworkアプリケーションからIMAPおよびSMTPへの接続の保護」

• 第33.10項「SSLを使用したOracle SESへの接続の保護」

• 第33.11項「SSLを使用したSpacesからMicrosoft Live Communication ServerおよびOffice Communication Serverへの接続の保護」

• 第33.12項「SSLを使用したSpacesから外部BPELサーバーへの接続の保護」

注意: 次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。 BPELサーバー: ワークリスト・サービス WSRPプロデューサ Microsoft Live Communication Server (LCS): IMPサービス Oracle WebCenter Portalのディスカッション・サーバー: ディスカッションおよびお知らせ

対象読者

この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

33.1 SSLを使用したブラウザからSpacesへの接続の保護

SSLを使用したブラウザからSpacesへの接続の保護は、次の手順で構成されます。

• 第33.1.1項「カスタム・キーストアの作成」

• 第33.1.2項「カスタムIDキーストアおよびJava信頼キーストアの構成」

• 第33.1.3項「SSL接続の構成」

33.1.1 カスタム・キーストアの作成

最初の手順では、Spacesにカスタム・キーストアを生成します。

カスタム・キーストアを作成する手順は次のとおりです。

1. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "dname" -alias alias -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
   

   各要素の意味は次のとおりです。

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com)。

   • aliasは、使用する別名です(例: webcenter_wls)。

   • key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。

   • keystoreは、キーストア名です(例: webcenter_wls.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle WebServices Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートして、Spacesクライアントが各自の信頼ストアに証明書をインポートできるようにします。

   keytool -exportcert -v -alias alias -keystore keystore 
   -storepass keystore_password -rfc -file certificate_file
   

   各要素の意味は次のとおりです。

   • aliasは、Spacesの別名です(例: webcenter_wls)。

   • keystoreは、キーストア名です(例: webcenter_wls.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

   • certificate_fileは、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer)。

4. 使用する信頼ストアを決定します。

   自己署名証明書を使用しているため、それをサーバーの信頼ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動して信頼ストアを決定する必要があります。

   1. WebLogic Server管理コンソールにログインします。

   2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   3. サーバーのリストで、WC_Spacesをクリックします。

   4. 「構成」タブ→「キーストア」サブタブを開きます。

      キーストア設定ペインが表示されます(図33-1を参照)。

      図33-1 キーストア設定ペイン

      
      「図33-1 キーストア設定ペイン」の説明
      
      

   5. 「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます(図33-1を参照)。

      cacertsファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。

5. この信頼ストアに、前述の手順で生成された自己署名証明書をインポートします。

   keytool -importcert -trustcacerts -alias alias -file certificate_file 
   -keystore cacerts -storepass changeit
   

   各要素の意味は次のとおりです。

   • aliasは、Spacesの別名です(例: webcenter_wls)。

   • certificate_fileは、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer)。

   自己署名証明書を信頼するかどうかを尋ねられたら、yesと答えます。

33.1.2 カスタムIDキーストアおよびJava信頼キーストアの構成

次の手順では、Spacesサーバーに、カスタムIDキーストアとJava信頼キーストアを構成します。

IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます(図33-2を参照)。

   図33-2 「サーバーのサマリー」ペイン

   
   「図33-2 「サーバーのサマリー」ペイン」の説明
   
   

3. IDキーストアおよび信頼キーストアを構成するSpacesサーバー(WC_Spaces)をクリックします。

   対象のSpacesサーバーの「設定」ペインが表示されます(図33-3を参照)。

   図33-3 Spacesサーバーの「設定」ペイン

   
   「図33-3 Spacesサーバーの「設定」ペイン」の説明
   
   

4. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます(図33-4を参照)。

   図33-4 「キーストア」ペイン

   
   「図33-4 「キーストア」ペイン」の説明
   
   

5. 「キーストア」として、Custom Identity and Java Standard Trustを選択し、「保存」をクリックします。

6. 「アイデンティティ」の下で、第33.1.1項「カスタム・キーストアの作成」で作成したカスタムIDキーストアのパスとファイル名を入力します。

7. 「カスタムIDキーストアのタイプ」として、JKSと入力します。

8. カスタムIDキーストアのパスワードを入力し、確認のためにもう一度入力します。

9. 「信頼」の下で、Java標準信頼キーストアのパスワード(通常はchangeitに設定)を入力し、確認のためにもう一度入力します。

10. 「保存」をクリックして、エントリを保存します。

11. 「SSL」タブを開きます。

12. 「秘密鍵の別名」に値を入力します(例: webcenter_wls)。

13. 「秘密鍵のパスフレーズ」に値を入力します(例: welcome1)。

14. 「保存」をクリックして、エントリを保存します。

33.1.3 SSL接続の構成

SSL接続を構成する手順:

1. Spacesサーバーの設定ペインで、「構成」タブ→「全般」サブタブを開きます。

   全般構成ペインが表示されます(図33-5を参照)。

   図33-5 全般構成ペイン

   
   「図33-5 全般構成ペイン」の説明
   
   

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます(図33-6を参照)。

   図33-6 SSL構成の詳細設定

   
   「図33-6 SSL構成の詳細設定」の説明
   
   

5. 「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」に設定されていることを確認し、「保存」をクリックします。

6. 「制御」タブを開きます。

   制御設定ペインが表示されます(図33-7を参照)。

   図33-7 制御設定ペイン

   
   「図33-7 制御設定ペイン」の説明
   
   

7. 「SSLの再起動」をクリックします。

8. WebLogic Serverを再起動し、SSL Spaces URLを開きます。

   開発環境またはテスト環境の場合のみ(つまり、本番環境ではない場合)、証明書内のホスト名が実際のホスト名に一致しないときは、サーバーを次のコマンドで起動する必要があります。

   -Dweblogic.security.SSL.ignoreHostnameVerification=true

9. セッションの証明書を受け入れ、ログインします。

33.2 SSLを使用したブラウザからFrameworkアプリケーションへの接続の保護

ブラウザからFrameworkアプリケーションへの接続の保護では、ブラウザからSpacesへの接続の保護と同じ構成手順を使用します。唯一異なる点は、構成が、WC_Spacesサーバーではなく、Frameworkアプリケーションのデプロイをホストしている管理対象サーバーに対して実行されることです。詳細は、第33.1項「SSLを使用したブラウザからSpacesへの接続の保護」を参照してください。

33.3 SSLを使用したOracle HTTP ServerからSpacesへの接続の保護

Oracle HTTP Server (OHS)とSpacesとの間の接続の保護については、次の各項で説明しています。

• 第33.3.1項「IDキーストアおよび信頼キーストアの構成」

• 第33.3.2項「SSL接続の構成」

• 第33.3.3項「Oracle HTTP Serverのインストール」

• 第33.3.4項「SpacesポートからHTTP Serverへのワイヤリング」

• 第33.3.5項「SSL証明書の構成」

33.3.1 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成する手順は、第33.1項「SSLを使用したブラウザからSpacesへの接続の保護」を参照してください。

33.3.2 SSL接続の構成

SSL接続を構成する手順は次のとおりです。

1. Spacesサーバーの設定ペインで、「構成」タブ→「全般」サブタブを開きます。

   全般構成ペインが表示されます(図33-8を参照)。

   図33-8 全般構成ペイン

   
   「図33-8 全般構成ペイン」の説明
   
   

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます(図33-9を参照)。

   図33-9 SSL構成の詳細設定

   
   「図33-9 SSL構成の詳細設定」の説明
   
   

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。

6. 「設定」ペインの「制御」タブを開き、「起動と停止」サブタブを選択します。

7. 「SSLの再起動」をクリックします。

8. SSL Spaces URLを開きます。

9. セッションの証明書を受け入れ、ログインします。

10. WSL管理コンソールで、「チェンジ・センター」ペインの「変更と再起動の表示」をクリックして、影響を受けたサーバーまたはコンポーネントをすべて再起動します。

33.3.3 Oracle HTTP Serverのインストール

Oracle HTTP Serverをインストールする手順は次のとおりです。

1. Web層をインストールします。

   • Webキャッシュは選択しないでください。HTTP Serverのみを選択します。

   • インストール時にWebLogicサーバーを関連付けるチェック・ボックスを選択解除します。

2. WT_ORACLE_HOME/instances/<your_instance>/binディレクトリにナビゲートし、次のコマンドを使用してOHSを起動します。

   ./opmnctl startall
   

3. 次のコマンドを使用して、OHSのステータスを確認します。

   ./opmnctl status -l
   

33.3.4 SpacesポートからHTTP Serverへのワイヤリング

SpacesポートからHTTP Serverにワイヤリングする手順は次のとおりです。

1. ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/mod_wl_ohs.confを開きます。

2. 次のエントリをmod_wl_ohs.confに追加して、SpacesがOHSと連動するようにします。

   <IfModule mod_weblogic.c>
           WebLogicHost host_id
           WebLogicPort port
           Debug OFF
           WLLogFile /tmp/ohs.log
           MatchExpression *.jsp
        </IfModule>
    
        <Location />
          SetHandler weblogic-handler
        </Location>
   

   host_idおよびportをSpacesサーバーIDおよびポート番号に置換します。

3. ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/ssl.confを開きます。

4. 次のエントリをssl.confに追加して、SpacesがOHS SSLポートで実行されるようにします。

   <Location />
           WebLogicHost host_id
           WebLogicPort port
           SetHandler weblogic-handler
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /webcenter>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
         SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   
   <Location /webcenterhelp>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   
   <Location /rsscrawl>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /sesUserAuth>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /rss>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   

   host_idおよびportをWebCenter Portal SSLサーバーIDおよびポート番号(通常は8788)に置換し、SSL_walletをWebLogic SSLウォレット(たとえば、WT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/keystores/default)に置換します。

   
   

   注意: SSLは、Location/ディレクトリ・セクション内ではなく、サーバー・レベルで構成する必要があります。このため、たとえば、次のように構成するのではなく、 <Location /mylocation> WLSSLWallet <walletfile> SecureProxy ON </Location> 次のように構成します。 SecureProxy ON WlSSLWallet <walletfile> つまり、サーバー・レベル(Location/ディレクトリ・セクション外)での構成です。

   
   

5. WT_ORACLE_HOME/instances/<your_instance>/binに移動し、次のコマンドを使用してOHSを起動し、そのステータスを確認します。

   ./opmnctl stopall
    
   ./opmnctl startall
   ./opmnctl status -l
   

33.3.5 SSL証明書の構成

SSL証明書を構成する手順は次のとおりです。

1. WebCenter Portalの証明書を信頼するようにOHSを構成するには、WC_Spaces証明書をOHS信頼ストアにインポートする必要があります。WC_SpacesIDキーストアからこの証明書をエクスポートします。

   keytool -exportcert -v -alias webcenter_wls -keystore webcenter_wls.jks 
   -storepass <password> -rfc -file webcenter_wls.cer
   

2. orapkiを使用して、OHSサイドのウォレットに証明書をインポートします。

   orapki wallet add -wallet . -trusted_cert -cert webcenter_wls.cer -auto_login_only
   

3. OHS証明書を信頼するようにWebCenter Portalを構成するには、OHSウォレットからユーザー証明書をエクスポートして、それをWebLogic信頼ストアに信頼できる証明書としてインポートします。

   orapki wallet export -wallet . -cert cert.txt  -dn 'CN=\"Self-signed Certificate for ohs1 \",OU=EXAMPLEORGUNIT,O=EXAMPLEORG,L=EXAMPLELOCATION,ST=CA,C=US'
   

4. 前述の証明書をWC_Spaces管理対象サーバーの信頼ストアにインポートします。この信頼ストアは、/scratch/wcwlsinstall/0408/wlshome/jrockit_160_05_R27.6.2-20/jre/lib/security/cacertsにあります。

   keytool -file cert.txt -importcert -trustcacerts -alias ohs_cert 
   -keystore cacerts -storepass changeit
   

5. OHSおよびWC_Spacesサーバーを再起動します。

   これで、SSL OHSおよび非SSL OHSにアクセスできるようになりました。

33.4 SSLを使用したブラウザからディスカッション・サービスへの接続の保護

SSLを使用したブラウザからディスカッション・サービスへの接続の保護については、次の各項で説明しています。

• 第33.4.1項「カスタム・キーストアの作成」

• 第33.4.2項「IDキーストアおよび信頼キーストアの構成」

• 第33.4.3項「SSL接続の構成」

33.4.1 カスタム・キーストアの作成

次に示しているように、最初の手順ではカスタム・キーストアを生成します。

1. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "dname" -alias owc_discussions 
   -keypass key_password -keystore owc_discussions.jks -storepass keystore_password -validity days_valid
   

   各要素の意味は次のとおりです。

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=owc_discussions,dc=example,dc=com)。

   • key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle WebServices Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks 
   -storepass keystore_password -rfc -file owc_discussions.cer
   

   各要素の意味は次のとおりです。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

4. 使用する信頼ストアを決定します。

   自己署名証明書を使用しているため、それをサーバーの信頼ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動して信頼ストアを決定する必要があります。

   1. WebLogic Server管理コンソールにログインします。

   2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   3. サーバーのリストで、WC_Collaborationをクリックします。

   4. 「構成」タブ→「キーストア」サブタブを開きます。

      キーストア設定ペインが表示されます(図33-10を参照)。

      図33-10 WC_Collaborationの「キーストア」サブタブ

      
      「図33-10 WC_Collaborationの「キーストア」サブタブ」の説明
      
      

   5. 「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます(図33-1を参照)。

      cacertsファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。

5. この信頼ストアに、前述の手順で生成された自己署名証明書をインポートします。

   keytool -importcert -trustcacerts -alias owc_discussions 
   -file owc_discussions.cer -keystore cacerts -storepass changeit
   

   自己署名証明書を信頼するかを尋ねられたら、yesと答えます。

33.4.2 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます(図33-11を参照)。

   図33-11 「サーバーのサマリー」ペイン

   
   「図33-11 「サーバーのサマリー」ペイン」の説明
   
   

3. IDキーストアおよび信頼キーストアを構成するコラボレーション・サーバー(WC_Collaboration)をクリックします。

   このサービス・サーバーの「設定」ペインが表示されます(図33-12を参照)。

   図33-12 サービス・サーバーの「設定」ペイン

   
   「図33-12 サービス・サーバーの「設定」ペイン」の説明
   
   

4. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます(図33-13を参照)。

   図33-13 「キーストア」ペイン

   
   「図33-13 「キーストア」ペイン」の説明
   
   

5. 「キーストア」として、「カスタム・アイデンティティとJava標準信頼」を選択します。

6. 「アイデンティティ」の下で、キーストアをowc_discussions.jksとして指定します。

7. キーストア・タイプをJKSに設定します。

8. キーストアのパスフレーズ(例: welcome1)を入力し、確認のためにもう一度入力します。

9. 「信頼」の下で、「Java標準信頼キーストアのパスフレーズ」をchangeit(これは固定値)に設定し、「保存」をクリックします。

10. WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「全般」サブタブを開きます。

11. 「SSLポートの有効化」を選択して、目的のポートを指定し、設定を保存します。

12. WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「SSL」サブタブを開きます。

13. 秘密鍵の別名をowc_discussionsに指定し、パスワードをwelcome1に設定します。

14. 「制御」タブを開きます。

    制御設定ペインが表示されます(図33-14を参照)。

    図33-14 制御設定ペイン

    
    「図33-14 制御設定ペイン」の説明
    
    

15. 「SSLの再起動」をクリックします。

33.4.3 SSL接続の構成

SSL接続を構成する手順:

1. サービス・サーバーの「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。

   全般構成ペインが表示されます(図33-15を参照)。

   図33-15 全般構成ペイン

   
   「図33-15 全般構成ペイン」の説明
   
   

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます(図33-16を参照)。

   図33-16 SSL構成の詳細設定

   
   「図33-16 SSL構成の詳細設定」の説明
   
   

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。

6. WC_Collaborationサーバーを再起動して、SSLディスカッションURLをhttps://host:port/owc_discussionsで開きます。

7. セッションの証明書を受け入れ、ログインします。

33.5 SSLを使用したSpacesからポートレット・プロデューサへの接続の保護

SSLを使用したWSRPおよびPDK-Javaポートレット・プロデューサへの接続の保護については、次の各項で説明しています。

• 第33.5.1項「IDキーストアおよび信頼キーストアの構成」

• 第33.5.2項「SSL接続の構成」

• 第33.5.3項「SSL対応WSRPプロデューサの登録およびポートレットの実行」

• 第33.5.4項「SSL対応PDK-Javaプロデューサの登録およびポートレットの実行」

33.5.1 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます(図33-17を参照)。

   図33-17 「サーバーのサマリー」ペイン

   
   「図33-17 「サーバーのサマリー」ペイン」の説明
   
   

3. IDキーストアおよび信頼キーストアを構成するポートレット・サーバー(たとえば、WC_Portlet)をクリックします。

   このポートレット・サーバーの「設定」ペインが表示されます(図33-18を参照)。

   図33-18 ポートレット・サーバーの「設定」ペイン

   
   「図33-18 ポートレット・サーバーの「設定」ペイン」の説明
   
   

4. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます(図33-19を参照)。

   図33-19 「キーストア」ペイン

   
   「図33-19 「キーストア」ペイン」の説明
   
   

5. 「キーストア」として、Custom Identity and Java Standard Trustを選択し、「保存」をクリックします。

6. 「制御」タブを開きます。

   制御設定ペインが表示されます(図33-20を参照)。

   図33-20 制御設定ペイン

   
   「図33-20 制御設定ペイン」の説明
   
   

7. 「SSLの再起動」をクリックします。

33.5.2 SSL接続の構成

SSL接続を構成する手順:

1. 「ドメイン構造」ペインで「環境」を開き、「サーバー」を選択します。

2. SSLを構成するポートレット・サーバー(たとえば、WC_Utilities)をクリックします。

3. 「構成」を選択します。

4. 「SSLリスニング・ポートの有効化」を選択します。

5. リスニング・ポート番号を入力します。

6. 「構成」→「SSL」を選択し、ページの一番下にある「拡張オプション」を開きます。

7. 「相互クライアント証明書の動作」属性を選択し、Client Certs Not Requestedオプションを選択します。

8. 「保存」をクリックします。

9. WebLogic Serverを再起動し、SSL URLを開きます。

10. セッションの証明書を受け入れ、ログインします。

33.5.3 SSL対応WSRPプロデューサの登録およびポートレットの実行

SSL対応WSRPプロデューサを登録し、ポートレットを実行する手順は次のとおりです。

1. カスタム・アイデンティティおよびJava標準信頼ストアを使用するようにSpaces管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts内の証明書も使用します。

2. HTTPSプロデューサURLの証明書をダウンロードし、.PEM形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

3. 次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert -alias portlet_cert -file HOME/portlet_pem -keystore ./cacerts -storepass password
   

   各要素の意味は次のとおりです。

   • portlet_certは、ポートレット証明書の別名です。

   • portlet_pemは、ポートレット証明書ファイルです(例: portlet_cert.pem)。

   • passwordは、キーストアのパスワードです。

4. WC_Spacesを再起動します。

5. 第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。

6. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

   connect('user_name','password, 'host_id:port')
   

   各要素の意味は次のとおりです。

   • user_nameは、WC_Spacesサーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

   • passwordは、WC_Spacesサーバーにアクセスするためのパスワードです。

   • host_idは、管理サーバーのホストIDです。

   • portは、管理サーバーのポート番号です(例: 7001)。

7. registerWSRPProducer WLSTコマンドを実行して、プロデューサを登録します。

   registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl)
   

   各要素の意味は次のとおりです。

   • sslwsrpprodは、SSL対応WSRPプロデューサの名前です。

   • producer_wsdlは、SSL対応WSRPプロデューサのWSDL URLです。

   次に例を示します。

   registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.oracle.com:7004/richtextportlet/portlets/wsrp2?WSDL')
   

8. HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。

9. ページを作成し、ポートレット・リンクに移動します。

10. 登録済のWSRPプロデューサに移動します。

11. ポートレットをページに追加します。

12. ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。

33.5.4 SSL対応PDK-Javaプロデューサの登録およびポートレットの実行

SSL対応PDK-Javaプロデューサを登録し、ポートレットを実行する手順は次のとおりです。

1. デモのアイデンティティおよび信頼ストアを使用するようにSpaces管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts内の証明書も使用します。

2. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

3. 「ドメイン構造」ペインで「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます(図33-21を参照)。

   図33-21 「サーバーのサマリー」ペイン

   
   「図33-21 「サーバーのサマリー」ペイン」の説明
   
   

4. サーバーのリストで、WC_Spacesをクリックします。

   「設定」ペインが表示されます(図33-22を参照)。

   図33-22 「設定」ペイン(WC_Spacesサーバー)

   
   「図33-22 「設定」ペイン(WC_Spacesサーバー)」の説明
   
   

5. 「構成」タブを開き、「キーストア」タブを選択します。

6. 「デモIDとデモ信頼」の値がjksまたは空白のままになっていることを確認します。

7. 「保存」をクリックします。

8. HTTPSプロデューサURLの証明書をダウンロードし、.PEM形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

9. 次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert HOME/portlet_cert.pem -keystore ./cacerts -storepass changeit
   

10. WC_Spacesを再起動します。

11. 第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。

12. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

    connect('user_name','password, 'host_id:port')
    

    各要素の意味は次のとおりです。

    • user_nameは、WC_Spacesサーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

    • passwordは、WC_Spacesサーバーにアクセスするためのパスワードです。

    • host_idは、管理サーバーのホストIDです。

    • portは、管理サーバーのポート番号です(例: 7001)。

13. registerPDKJavaProducerコマンドを実行します。

    registerPDKJavaProducer('webcenter', 'ssljpdkprod', 'producer_wsdl')
    

    各要素の意味は次のとおりです。

    • ssljpdkprodは、SSL対応PDK-Javaプロデューサの名前です。

    • producer_wsdlは、SSL対応PDK-JavaプロデューサのWSDL URLです。

    これによって、Webプロデューサに対して一方向SSLが有効になります。つまり、サーバー・サイド(Webプロデューサ)でのみ証明書が使用されるようになります。Webプロデューサ・コードでは、クライアント認証に共有鍵機能(後述します)も使用されます。

14. HTTPまたはHTTPSのWebCenter Portal URLに移動します。

15. ページを作成し、ポートレット・リンクに移動します。

16. 登録済のPDK-Javaプロデューサに移動します。

17. ポートレットをページに追加します。

18. ページの表示モードに変更して、PDK-Javaポートレットが適切にレンダリングすることを確認します。

33.6 SpacesからLDAPアイデンティティ・ストアへの接続の保護

SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切な認証者により認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、第29章「アイデンティティ・ストアの構成」を参照してください。

注意: プロバイダ固有の情報を入力する場合は、SSLポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。

Oracle WebLogicサーバーにとってCAが不明である場合は、次の各項で説明している2つの追加手順を完了します。

• 第33.6.1項「OID認証局(CA)のエクスポート」

• 第33.6.2項「WebLogicサーバーの設定」

33.6.1 OID認証局(CA)のエクスポート

Oracle WebLogicサーバーにとってCAが不明である場合(ユーザーがコマンドからキーストアのパスワードの入力を求められた場合)、orapkiを使用して証明書を作成する必要があります。次の例は、このコマンドを使用して、証明書serverTrust.certを作成する方法を示しています。

orapki wallet export -wallet CA -dn "CN=myCA" -cert oid_server_trust.cert

33.6.2 WebLogicサーバーの設定

Oracle WebLogicサーバーにとってCAが不明である場合、ユーティリティkeytoolを使用して、Oracle Internet DirectoryのCAをWebLogic信頼ストアにインポートする必要があります。次の例は、keytoolを使用して、ファイルoid_server_trust.certをサーバーの信頼ストアcacertsにインポートする方法を示しています。

keytool -importcert -v -trustcacerts -alias oid_server_trust -file 
oid_server_trust.cer -keystore cacerts -storepass changeit

33.7 SSLを使用したSpacesからContent Serverへの接続の保護

リポジトリへの接続を作成するContent ServerおよびSpacesアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播はセキュアではありません。アイデンティティ伝播のセキュリティを確保するには、Content ServerにSSLを構成する必要もあります。

SSLを使用したContent Serverの保護には、次のタスクが含まれます。

• 第33.7.1項「クライアント・サイドでのキーストアおよびキーの構成」

• 第33.7.2項「サーバー・サイドでのキーストアおよびキーの構成」

• 第33.7.3項「信頼できるクライアントのシグネチャの検証」

• 第33.7.4項「アイデンティティ伝搬の保護」

Content Integration Suite管理ガイド(http://download.oracle.com/docs/cd/E10316_01/ouc.htmで入手可能)のSSLのプロパティに関する項も参照してください。自己署名証明書を使用する場合は、これらの手順を実行してください。

本番環境では、実際の証明書を使用することをお薦めします。実際の証明書を使用するときにキーストアを構成する方法の詳細は、Security Providersコンポーネント管理ガイド(http://download.oracle.com/docs/cd/E10316_01/ouc.htmで入手可能)の「Security Providersの使用」を参照してください。

33.7.1 クライアント・サイドでのキーストアおよびキーの構成

WebCenter Portalアプリケーション(クライアント)サイドでキーストアを構成する手順は次のとおりです。

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 次のkeytoolコマンドを実行して、クライアント・キーストアを生成します。

   keytool -genkey -keyalg RSA -validity 5000 -alias Client private key alias -keystore client-keystore.jks 
   -dname "cn=client" -keypass Private key password -storepass KeyStore password
   

3. キーが正常に作成されたことを確認するために、オプションで次のkeytoolコマンドを実行できます。

   keytool -list -keystore client-keystore.jks -storepass KeyStore password
   

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

   keytool -selfcert -validity 5000 -alias Client private key alias -keystore client-keystore.jks 
   -keypass Private key password -storepass KeyStore password
   

5. 次のkeytoolコマンドを実行して、クライアントの公開鍵をエクスポートします。

   keytool -export -alias Client private key alias -keystore client-keystore.jks 
   -file client.pubkey -keypass Private key password -storepass KeyStore password
   

33.7.2 サーバー・サイドでのキーストアおよびキーの構成

Content Serverサイドでキーストアを構成する手順は次のとおりです。

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 次のkeytoolコマンドを実行して、サーバー・キーストアを生成します。

   keytool -genkey -keyalg RSA -validity 5000 -alias Server public key alias 
   -keystore server-keystore.jks -dname "cn=server" -keypass Private server key password -storepass KeyStore password
   

3. キーが正常に作成されたことを確認するには、次のkeytoolコマンドを実行します。

   keytool -list -keystore server-keystore.jks -keypass Server private key password -storepass KeyStore password
   

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

   keytool -selfcert -validity 5000 -alias Server public key alias -keystore server-keystore.jks 
   -keypass Private server key password -storepass KeyStore password
   

5. 次のkeytoolコマンドを実行して、サーバーの公開鍵をサーバー・キーストアにエクスポートします。

   keytool -export -alias Server public key alias -keystore server-keystore.jks 
   -file server.pubkey -keypass Server private key password -storepass KeyStore password
   

33.7.3 信頼できるクライアントのシグネチャの検証

信頼できるクライアントのシグネチャを検証するには、クライアントの公開鍵をサーバー・キーストアにインポートします。

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 信頼できるクライアントのシグネチャを検証するには、次のkeytoolコマンドを実行して、クライアントの公開鍵をサーバー・キーストアにインポートします。

   keytool -import -alias Client public key alias -file client.pubkey -keystore 
   server-keystore.jks -keypass Private server key password -storepass KeyStore password
   

3. 次のkeytoolコマンドを実行して、サーバーの公開鍵をクライアント・キーストアにインポートします。

   keytool -import -alias Server public key alias -file server.pubkey -keystore 
   client-keystore.jks -keypass Private key password -storepass KeyStore password
   

   キーを自己認証するかどうかを尋ねられたら、Yesと入力します。例33-1に、この手順が正常に完了すると生成されるサンプル出力を示します。

   例33-1 keytoolにより生成されるサンプル出力

   [user@server]$ keytool -import -alias client -file client.pubkey
   -keystore server-keystore.jks -keypass Server private key password -storepass Keystore password
   Owner: CN=client
   Issuer: CN=client
   Serial number: serial number, for example, 123a19cb
   Valid from: Date, Year, and Time until: Date, Year, and Time
   Certificate fingerprints:
           ...
   Trust this certificate? [no]:  yes
   Certificate was added to keystore.
   

33.7.4 アイデンティティ伝搬の保護

アイデンティティ伝播を保護するには、Content ServerにSSLを構成する必要があります。

1. 管理者としてContent Serverにログオンします。

2. 「管理」から、「プロバイダ」を選択します。

3. 「新規プロバイダの作成」ページで、sslincomingの「追加」をクリックします。

4. 「受信プロバイダの追加」ページの「プロバイダ名」に、プロバイダの名前(たとえば、sslincomingprovider)を入力します。

   新規プロバイダが設定されたら、そのプロバイダ名を持つディレクトリが、CONTENT_SERVER_HOME/data/providersディレクトリのサブディレクトリとして作成されます。

5. 「プロバイダの説明」に、プロバイダの短い説明(たとえば、SSL Incoming Provider for securing the Content Server)を入力します。

6. 「プロバイダ・クラス」に、sslincomingプロバイダのクラス(たとえば、idc.provider.ssl.SSLSocketIncomingProvider)を入力します。

   
   

   注意: 新規のSSLキープアライブ受信ソケット・プロバイダまたは新規のSSL受信ソケット・プロバイダを追加できます。キープアライブ・ソケットを使用すると、セッションのパフォーマンスが向上するため、ほとんどの実装で推奨されます。

   
   

7. 「接続クラス」に、接続のクラス(たとえば、idc.provider.KeepaliveSocketIncomingConnection)を入力します。

8. 「サーバー・スレッド・クラス」に、サーバー・スレッドのクラス(たとえば、idc.server.KeepaliveIdcServerThread)を入力します。

9. 「サーバー・ポート」に、オープン・サーバー・ポート(たとえば、5555)を入力します。

10. クライアントの認証が必要チェック・ボックスを選択します。

11. 「キーストア・パスワード」に、キーストアにアクセスするためのパスワードを入力します。

12. 「別名」に、キーストアの別名を入力します。

13. 「別名パスワード」に、別名のパスワードを入力します。

14. 「トラストストア・パスワード」に、トラスト・ストアのパスワードを入力します。

15. 「追加」をクリックします。

    新規の受信プロバイダが追加されました。

16. 手順4で作成した新規のプロバイダ・ディレクトリに移動します。

17. 信頼ストアおよびキーストアを指定するには、sslconfig.hdaという名前のファイルを作成します。

18. サーバー・キーストアをサーバーにコピーします。

19. sslconfig.hdaファイルを構成します。例33-2は、信頼ストアおよびキーストアの情報が指定された.hdaファイルの内容を示しています。

    例33-2 サンプルのsslconfig.hdaファイル

    @Properties LocalData
    TruststoreFile=/tmp/ssl/server_keystore
    KeystoreFile=/tmp/ssl/server_keystore
    @end
    

33.8 SSLを使用したSpacesからIMAPおよびSMTPへの接続の保護

メール・サーバーへの接続を再構成する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、信頼ストアに証明書を格納し、信頼ストアを使用するようにSpacesを構成します。

SSLを使用して、SpacesからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。

1. ブラウザを開き、次のコマンドを使用してIMAPサーバーに接続します。

   https://imapserver:ssl_port
   

   次に例を示します。

   https:mailserver.example:993 
   

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、詳細タブをクリックし、「ファイルにコピー...」をクリックします。

   必ずDER encoded binary(X.509)形式を使用してファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicは、.PEM以外の形式を認識しないことに注意してください。

6. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias imap_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 第17.4項「メール・サーバーの登録」で説明しているとおりに、メール・サーバーへの接続を登録します。

8. Spacesを再起動します。

9. Spacesにログインし、メール資格証明を提供します。

33.9 SSLを使用したFrameworkアプリケーションからIMAPおよびSMTPへの接続の保護

SSLを使用して、FrameworkアプリケーションからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。

1. 第33.8項「SSLを使用したSpacesからIMAPおよびSMTPへの接続の保護」の手順7までを実行します。

2. 次のプロパティを信頼ストアに追加します。

   -Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts
   -Djavax.net.ssl.trustStorePassword=changeit
   

   次に例を示します。

   set JAVA_PROPERTIES=-Dplatform.home=%WL_HOME% -Dwls.home=%WLS_HOME% 
   -Dweblogic.home=%WLS_HOME% 
   -Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts 
   -Djavax.net.ssl.trustStorePassword=changeit
   

3. Frameworkアプリケーションを再起動します。

4. アプリケーションにログインし、メール資格証明を提供します。

33.10 SSLを使用したOracle SESへの接続の保護

SESへの接続を登録する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、信頼ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。

HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。

1. ブラウザを使用して、Oracle Secure Enterprise Searchが検索リクエストを有効化するために公開するWebサービスURLにナビゲートします。

   http://host:port/search/query/OracleSearch
   

   次に例を示します。

   https://example.com:7777/search/query/OracleSearch
   

2. ページにカーソルを置いて、マウスで右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

   DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

6. 次のコマンドを使用して、DemoTrustKeyStore.jksまたはJDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias ses_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 第22.4.1「Oracle Secure Enterprise Search Serverの登録」で説明しているとおりに、SESへの接続を登録します。

8. SpacesまたはFrameworkアプリケーションを再起動します。

33.11 SSLを使用したSpacesからMicrosoft Live Communication ServerおよびOffice Communication Serverへの接続の保護

SSLを使用して、SpacesからMicrosoft Live Communication Server (LCS)またはOffice Communication Server 2007 (OCS)への接続を保護するには、次の手順に従って証明書を信頼ストアにインポートし、その信頼ストアを使用するようにSpacesを指定します。SSLを使用したSpacesからMicrosoft Live Communication ServerまたはOffice Communication Serverへの接続の保護は、WS-Securityを使用して機密保護で構成できるため、オプションとなっています。

LCSまたはOCSへの接続を登録する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、証明書を信頼ストアに格納します。

1. ブラウザを開き、通信サーバー(たとえば、https://example.com/RTC)に移動します。

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

5. 次のkeytoolコマンドを使用して、証明書をcacertsにインポートします。

   keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

6. インストール環境で通信サーバーが使用しているcacertsファイルを見つけ、通信サーバーが参照するこのcacertsファイルをこの証明書で更新します。

   keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

7. 第16.3項「インスタント・メッセージおよびプレゼンス・サーバーの登録」で説明しているとおりに、通信サーバーへの接続を登録します。

8. Spacesサーバーを再起動します。

33.12 SSLを使用したSpacesから外部BPELサーバーへの接続の保護

この項では、BPELサーバーが外部SOAドメインにある場合に、SpacesからBPELサーバーへの接続を保護する方法を説明します。

注意: SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、第29.1項「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。

SSLを使用して、Spacesから外部BPELサーバーへの接続を保護する手順は次のとおりです。

1. WebCenter PortalからSOAドメインに公開証明書(webcenter_wls.cer)をコピーします。

2. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

3. 次のkeytoolコマンドを使用して、SOAドメインにカスタム・キーストアを生成し、そのキーストアに名前soa_server1.jksと別名soa_server1を付けます。

   keytool -genkeypair -keyalg RSA -dname dname -alias soa_soa_server1 -keypass 
   key_pass -keystore soa_server1.jks -storepass keystore_password -validity days_valid
   

   各要素の意味は次のとおりです。

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com)。

   • key_passは、新規公開鍵のパスワードです(例: welcome1)。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

4. 次のコマンドを使用して、soa_wls.jksから証明書をエクスポートします。

   keytool -exportcert -v -alias soa_server1 -keystore soa_server1.jks 
   -storepass keystore_password -rfc -file soa_server1.cer
   

   各要素の意味は次のとおりです。

   • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

5. SOAドメインでWebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

6. ナビゲーション・ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます(図33-23を参照)。

   図33-23 「サーバーのサマリー」ペイン

   
   「図33-23 「サーバーのサマリー」ペイン」の説明
   
   

7. 「構成」タブで、サーバーのリストからsoa_server1をクリックします。

   soa_server1の「設定」ページが表示されます(図33-24を参照)。

   図33-24 soa_server1の「設定」ページ

   
   「図33-24 soa_server1の「設定」ページ」の説明
   
   

8. 「キーストア」タブを開きます。

   soa_server1のキーストアの設定が表示されます(図33-25を参照)。

   図33-25 soa_server1のキーストアの設定

   
   「図33-25 soa_server1のキーストアの設定」の説明
   
   

9. 「キーストア」として、Custom Identity and Java Standard Trustを選択します。

10. 前述の手順で作成したキーストア(soa_server1.jks)のパスとファイル名を指定します。

11. 「Java標準信頼キーストア」フィールドに指定したJava標準信頼(cacertsファイル)が含まれるディレクトリに移動して、SOAおよびWebCenter Portal公開証明書をこのファイルにインポートし、サーバーによってこれらの証明書が信頼されるようにします。

    keytool -importcert -trustcacerts -alias webcenter_wls -file webcenter_wls.cer 
    -keystore cacerts -storepass keystore_password
    
    keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer 
    -keystore cacerts -storepass keystore_password
    

    各要素の意味は次のとおりです。

    • keystore_passwordは、キーストアのパスワードです(例: welcome1)。

    証明書を信頼するかを尋ねられたら、yesと答えます。

12. SOAドメインでWLS管理コンソールから「SSL」タブを開きます。

    soa_server1のSSLの設定が表示されます(図33-26を参照)。

    図33-26 soa_server1のSSLの設定

    
    「図33-26 soa_server1のSSLの設定」の説明
    
    

13. 「秘密鍵の別名」としてsoa_server1を指定します。

14. 秘密鍵のパスワード(例: welcome1)を入力し、確認のためにもう一度入力して、「保存」をクリックします。

15. 「全般」タブを開きます。

    soa_server1の全般設定が表示されます(図33-27を参照)。

    図33-27 soa_server1の全般設定

    
    「図33-27 soa_server1の全般設定」の説明
    
    

16. 「リスニング・ポートの有効化」が選択されていないことを確認します。

17. 「SSLリスニング・ポートの有効化」を選択し、「SSLリスニング・ポート」を指定して、「保存」をクリックします。

18. 「制御」タブ→「起動と停止」サブタブを開きます。

    soa_server1の開始/停止の設定が表示されます(図33-28を参照)。

    図33-28 soa_server1の開始/停止の設定

    
    「図33-28 soa_server1の開始/停止の設定」の説明
    
    

19. サーバーのリストからsoa_server1を選択し、「SSLの再起動」をクリックします。

20. SOAドメインでsoa_server1管理対象サーバーを再起動します。

21. 次のkeytoolコマンドを使用して、WebCenter Portalドメインからsoa_server1.cer証明書を信頼できる証明書としてサーバーの信頼ストア(cacerts)にインポートします。

    keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer 
    -keystore cacerts -storepass changeit
    

    証明書を信頼するかを尋ねられたら、yesと答えます。

22. BPEL URLを定義するときに、soa_server1にhost:ssl_port設定を指定して、第23.4.2項「ワークリスト接続の登録」で説明しているとおりにWebCenter Portalドメインにワークリスト接続を追加します。

23. WC_Spaces管理対象サーバーを再起動します。