30 Oracle Fusion MiddlewareでのSSL構成

この章では、Oracle Fusion MiddlewareでのSSL構成に関連する問題について説明します。内容は次のとおりです。

• 30.1項「一般的な問題および回避方法」

• 30.2項「構成の問題および回避方法」

30.1 一般的な問題および回避方法

この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。

• 30.1.1項「orapkiコマンドライン・ツールがOracle SOA SuiteおよびOracle WebCenter環境で機能しない」

• 30.1.2項「Oracleウォレットのかわりのユーザー証明書」

• 30.1.3項「ウォレットのインポート時の間違ったメッセージまたはエラー」

30.1.1 orapkiコマンドライン・ツールがOracle SOA SuiteおよびOracle WebCenter環境で機能しない

orapki PKIコマンドライン・ツールがOracle SOA SuiteおよびOracle WebCenterインストールで機能しません。

次の手順に従ってこの問題を解決します。

• この問題用の個別パッチを適用します。

• 環境変数JRE_HOMEがJavaランタイム環境を指すよう設定します。

  orapkiツールでJava実行可能ファイルを見つけられるようJRE_HOME変数を設定する必要があります。

30.1.2 Oracleウォレットのかわりのユーザー証明書

Oracle HTTP Server、Oracle Web CacheおよびOracle Internet Directoryで使用されるOracleウォレットおよびOracle Virtual Directoryで使用されるキーストアには、2010年1月7日15:59:59（PST）に期限満了するVerisignルート・キー（シリアル#: 02:ad:66:7e:4e:45:fe:5e:57:6f:3c:98:19:5e:dd:c0）が含まれています。

このルート・キーで署名されたユーザー証明書を使用している場合、認証局（CA）によって署名されたかわりのユーザー証明書を取得し、CAのルート・キーをOracleウォレットにインポートする必要があります。

ルート・キーをOracleウォレットにインポートする手順は、Oracle Fusion Middlewareの管理者ガイドを参照してください。

30.1.3 ウォレットのインポート時の間違ったメッセージまたはエラー

問題1

ウォレットのインポート時に無効なウォレット・パスワードを指定すると、Fusion Middleware Controlに間違ったメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成できません。」は正しくありません。かわりに、パスワードが間違っていることがユーザーに通知され、有効なパスワードが要求される必要があります。

問題2

パスワード保護されたウォレットを自動ログイン・ウォレットとしてインポートしようとすると、Fusion Middleware Controlに間違ったメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成できません。」は完全な情報を示していません。かわりに、パスワード保護されたウォレットのインポートにはパスワードが必要であることがユーザーに通知される必要があります。

問題3

Fusion Middleware ControlまたはWLSTを使用して自動ログイン・ウォレットをパスワード保護されたウォレットとしてインポートしようとすると、NullPointerExceptionエラーが表示されます。

30.2 構成の問題および回避方法

この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。

• 30.2.1項「DERエンコードされた証明書をインポートするツール」

• 30.2.2項「WLSTまたはFusion Middleware Controlで作成されていないキーストアの使用」

• 30.2.3項「コンポーネントですべてのサポートされている暗号が有効になる場合がある」

30.2.1 DERエンコードされた証明書をインポートするツール

DERエンコードされた証明書または信頼できる証明書のOracleウォレットまたはJKSキーストアへのインポートに、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドライン・ツールは使用できません。

かわりに、この用途に使用できる他のツールを使用します。

• DERエンコードされた証明書または信頼できる証明書のOracleウォレットへのインポートには、次のものを使用します。

  • Oracle Wallet Manager、または

  • orapkiコマンドライン・ツール

• DERエンコードされた証明書または信頼できる証明書のJKSキーストアへのインポートには、keytoolユーティリティを使用します。

30.2.2 WLSTまたはFusion Middleware Controlで作成されていないキーストアの使用

OracleウォレットまたはJKSキーストアがorapkiやkeytoolなどのツールを使用して作成された場合、使用前にインポートする必要があります。具体的には次のとおりです。

• Oracle HTTP Server、Oracle WebcacheおよびOracle Internet Directoryでは、ウォレットがorapkiまたはOracle Wallet Managerを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importWalletコマンドを使用してインポートする必要があります。

• Oracle Virtual Directoryでは、キーストアがkeytoolを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importKeyStoreコマンドを使用してインポートする必要があります。

30.2.3 コンポーネントですべてのサポートされている暗号が有効になる場合がある

暗号が明示的に構成されていない場合、11gリリース1（11.1.1）の一部のコンポーネントでDH_Anon（Diffie-Hellman匿名）暗号を含む、サポートされているすべてのSSL暗号が有効になることに注意してください。

この時点では、次のように暗号を設定することがわかっているコンポーネントはOracle HTTP Serverのみです。

DH_Anonが希望でない場合、希望する暗号でコンポーネントを構成します。