この章では、Oracle Fusion MiddlewareでのSSL構成に関連する問題について説明します。内容は次のとおりです。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
orapki
PKIコマンドライン・ツールがOracle SOA SuiteおよびOracle WebCenterインストールで機能しません。
次の手順に従ってこの問題を解決します。
この問題用の個別パッチを適用します。
環境変数JRE_HOME
がJavaランタイム環境を指すよう設定します。
orapki
ツールでJava実行可能ファイルを見つけられるようJRE_HOME
変数を設定する必要があります。
Oracle HTTP Server、Oracle Web CacheおよびOracle Internet Directoryで使用されるOracleウォレットおよびOracle Virtual Directoryで使用されるキーストアには、2010年1月7日15:59:59(PST)に期限満了するVerisignルート・キー(シリアル#: 02:ad:66:7e:4e:45:fe:5e:57:6f:3c:98:19:5e:dd:c0)が含まれています。
このルート・キーで署名されたユーザー証明書を使用している場合、認証局(CA)によって署名されたかわりのユーザー証明書を取得し、CAのルート・キーをOracleウォレットにインポートする必要があります。
ルート・キーをOracleウォレットにインポートする手順は、Oracle Fusion Middlewareの管理者ガイドを参照してください。
問題1
ウォレットのインポート時に無効なウォレット・パスワードを指定すると、Fusion Middleware Controlに間違ったメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成できません。」は正しくありません。かわりに、パスワードが間違っていることがユーザーに通知され、有効なパスワードが要求される必要があります。
問題2
パスワード保護されたウォレットを自動ログイン・ウォレットとしてインポートしようとすると、Fusion Middleware Controlに間違ったメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成できません。」は完全な情報を示していません。かわりに、パスワード保護されたウォレットのインポートにはパスワードが必要であることがユーザーに通知される必要があります。
問題3
Fusion Middleware ControlまたはWLSTを使用して自動ログイン・ウォレットをパスワード保護されたウォレットとしてインポートしようとすると、NullPointerExceptionエラーが表示されます。
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
DERエンコードされた証明書または信頼できる証明書のOracleウォレットまたはJKSキーストアへのインポートに、Oracle Enterprise Manager Fusion Middleware ControlまたはWLST
コマンドライン・ツールは使用できません。
かわりに、この用途に使用できる他のツールを使用します。
DERエンコードされた証明書または信頼できる証明書のOracleウォレットへのインポートには、次のものを使用します。
Oracle Wallet Manager、または
orapki
コマンドライン・ツール
DERエンコードされた証明書または信頼できる証明書のJKSキーストアへのインポートには、keytool
ユーティリティを使用します。
OracleウォレットまたはJKSキーストアがorapki
やkeytool
などのツールを使用して作成された場合、使用前にインポートする必要があります。具体的には次のとおりです。
Oracle HTTP Server、Oracle WebcacheおよびOracle Internet Directoryでは、ウォレットがorapki
またはOracle Wallet Managerを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importWallet
コマンドを使用してインポートする必要があります。
Oracle Virtual Directoryでは、キーストアがkeytool
を使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importKeyStore
コマンドを使用してインポートする必要があります。
暗号が明示的に構成されていない場合、11gリリース1(11.1.1)の一部のコンポーネントでDH_Anon
(Diffie-Hellman匿名)暗号を含む、サポートされているすべてのSSL暗号が有効になることに注意してください。
この時点では、次のように暗号を設定することがわかっているコンポーネントはOracle HTTP Serverのみです。
DH_Anon
が希望でない場合、希望する暗号でコンポーネントを構成します。