Oracle HTTP Serverに関する手順

ウォレットの作成およびOracle HTTP Serverの証明書のインストール

デフォルトのウォレットは、Oracle HTTP Serverとともに自動的にインストールされます。デプロイメント内の各Oracle HTTP Serverに、実際のウォレットを構成する必要があります。

ノート: 11.2.x以降では、Oracle Wallet ManagerはOracle HTTP Serverとともにインストールされません。Oracle Wallet Managerは、Oracle Database Clientをインストールした場合のみインストールされます。ウォレットの作成と証明書のインポートには、Database Clientで入手可能なウォレット・マネージャを使用する必要があります。Oracle HTTP ServerをSSL用に構成している場合は、必ず、使用するEPM System製品のインストールの一環としてOracle Database Client 64ビットをインストールしてください。

Oracle HTTP Serverの証明書を作成し、インストールするには:

  1. Oracle HTTP Serverのホストとなる各マシンで、Wallet Managerを起動します。

    「スタート」「すべてのプログラム」「Oracle-OHxxxxxx」「統合管理ツール」「Wallet Manager」を選択します。

    xxxxxxOracle HTTP Serverインスタンス番号です。

  2. 新規で空のウォレットを作成します。

    1. Oracle Wallet Managerで、「ウォレット」「新規」を選択します。

    2. 「はい」をクリックしてデフォルトのウォレット・ディレクトリを作成するか、「いいえ」をクリックして選択した場所にウォレット・ファイルを作成します。

    3. 「新規ウォレット」画面の「ウォレット・パスワード」および「パスワードの確認」に、使用するパスワードを入力します。

    4. 「OK」をクリックします。

    5. 確認のダイアログ・ボックスで、「いいえ」をクリックします。

  3. オプション: Oracle HTTP Serverにとって既知のCAを使用していない場合、ルートCA証明書をウォレットにインポートします。

    1. Oracle Wallet Managerで、「信頼できる証明書」を右クリックして「信頼できる証明書のインポート」を選択します。

    2. ルートCA証明書を参照して選択します。

    3. 「オープン」を選択します。

  4. 証明書要求を作成します。

    1. Oracle Wallet Managerで、「証明書: [空]」を右クリックして「証明書リクエストの追加」を選択します。

    2. 証明書要求の作成で、必要な情報を入力します。

      共通名について、システムのhostsファイルで使用可能な完全修飾サーバー別名(たとえば、epm.myCompany.comまたはepminternal.myCompany.com)を入力します。

    3. 「OK」をクリックします。

    4. 確認のダイアログ・ボックスで、「OK」をクリックします。

    5. 作成した証明書要求を右クリックして、「証明書リクエストのエクスポート」を選択します。

    6. 証明書要求ファイルの名前を指定します。

  5. 証明書要求ファイルを使用して、署名付き証明書をCAから取得します。

  6. 署名付き証明書をインポートします。

    1. Oracle Wallet Managerで、署名付き証明書の取得に使用した証明書要求を右クリックし、「ユーザー証明書のインポート」を選択します。

    2. 「証明書のインポート」で、「OK」をクリックして証明書をファイルからインポートします。

    3. 「証明書のインポート」で、証明書ファイルを選択して「オープン」をクリックします。

  7. ウォレットを便利な場所(EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystemなど)に保存します。

  8. 「ウォレット」「自動ログイン」を選択して自動ログインをアクティブ化します。

ORAPKIを使用したOracle Walletの設定(Linux上)

ORAPKIコマンドラインを使用してOracle Walletを設定するには、次のステップを実行します:

  1. ウォレットのフォルダを作成します: 
    $ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
  2. orapkiユーティリティの場所をパスに追加します: 
    $ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
  3. 証明書を保持するウォレットを作成します: 
    >$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login
    コマンドラインにパスワードが指定されていない場合は、ウォレット・パスワードの入力および再入力が要求されます。-walletに指定した場所にウォレットが作成されます。
  4. 証明書署名要求(CSR)を生成し、ウォレットに追加します: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
  5. ルートおよび中間証明書を信頼できるキーストアに追加します 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
  6. CA (証明機関)を使用して、CSR (証明書署名要求)に署名します。Oracle Walletから証明書要求をエクスポートするには: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
  7. 署名付きCSRをウォレットにインポートします: 
        $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
  8. ウォレットのコンテンツを表示するには: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]

Oracle HTTP ServerSSL使用可能化

Oracle HTTP Serverをホストする各マシンでWebサーバーを再構成した後、作成したウォレットの場所で、デフォルト・ウォレットの場所を置き換え、Oracle HTTP Server構成ファイルを更新します。

SSL用にOracle HTTP Serverを構成するには:

  1. デプロイメント内の各Oracle HTTP Serverホスト・マシン上のWebサーバーを再構成します。

  2. このインスタンスのEPM Systemコンフィグレータを開始します。

  3. 構成タスクの選択画面で、次のステップを完了し、「次へ」をクリックします。

    1. すべて選択解除で、選択をクリアします。

    2. Hyperion Foundationタスク・グループを展開し、「Webサーバーの構成」を選択します。

  4. 「Webサーバーの構成」で、「次へ」をクリックします。

  5. 「確認」で、「次へ」をクリックします。

  6. 「要約」で、「終了」をクリックします。

  7. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.confを開きます。

  8. 次に示すように、使用するSSLポートがOHS Listen portの下にリストされていることを確認します。

    SSL通信ポートとして19443を使用する場合、エントリは次のようになります。

    Listen 19443

  9. SSLSessionCacheパラメータ値をnoneに設定します。

  10. デプロイメント内の各Oracle HTTP Serverの構成設定を更新します。

    1. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.confを開きます。

    2. SSLWalletディレクティブを見つけ、その値を、証明書をインストールしたウォレットを示すように変更します。ウォレットをEPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystemに作成した場合、SSLWalletディレクティブは次のようになります:

      SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"

    3. ssl.confを保存して閉じます。

  11. デプロイメント内の各Oracle HTTP Servermod_wl_ohs.confを更新します。

    1. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.confを開きます。

    2. WLSSLWalletディレクティブが、SSL証明書が格納されているOracle Walletを示していることを確認します。

      WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet

      例: C:/Oracle/Middleware/ohs/bin/wallets/myWallet

    3. SecureProxyディレクティブの値はONに設定します。

      SecureProxy ON

    4. デプロイされたOracle Enterprise Performance Management SystemコンポーネントのLocationMatch定義は、次のOracle Hyperion Shared Servicesの例と同じようにします。この例では、SSLポート28443を使用するmyserver1およびmyserver2上のOracle WebLogic Serverクラスタを想定しています:

      <LocationMatch /interop/>
    SetHandler weblogic-handler
    pathTrim /
    WeblogicCluster myServer1:28443,myServer2:28443
    WLProxySSL ON
</LocationMatch>

    5. mod_wl_ohs.confを保存して閉じます。