トランスポート・セキュリティの設定はこの章の主題であり、アイデンティティ・システムとアクセス・システムの両方に共通の管理タスクの1つです。
この章の内容は次のとおりです。
トランスポート・セキュリティ・モードは、クライアントとサーバーなどの2つのポイント間の通信を保護する方法です。保護するために、通信を認証局(CA)で暗号化できます。
Oracle Access Managerには、『Oracle Access Managerインストレーション・ガイド』で詳細に説明しているように、コンポーネント間の通信に対して次の3つのトランスポート・セキュリティ・モードが用意されています。
オープン: 通信を保護するための暗号化は行われません。このモードは、セキュリティが問題になっていない場合に使用します。たとえば、ネットワークが安全であると考えるかぎり、アクセス・ゲートとアクセス・サーバー間の通信をテストする場合に使用します。「オープン」はデフォルト設定です。
簡易: 通信がOracle Access ManagerのCAで暗号化されます。簡易モードは、Transport Layer Security、RFC 2246(TLS v1)を使用して通信を暗号化します。簡易トランスポート・セキュリティ・モード証明書の有効期間のデフォルト値は365日です。このモードは、証明書モードよりも安全性が低くなります。このモードは、セキュリティ上の懸念があり、独自のCAの管理を希望しない場合に使用します。詳細は、「簡易トランスポート・セキュリティ・モードが1年後に期限切れになる」を参照してください。
証明書: 通信が外部のCAで暗号化されます。証明書モードでは、通信がTLS v1を使用して暗号化されます。また、クライアントとサーバー両方の各要素は、接続を確立する際にX.509証明書(base64形式)を提示する必要があります。証明書は、自身で、おそらくサード・パーティのCAから提供する必要があります。
configureAAAServer、setup_oisまたはsetup_accessmanagerユーティリティを実行すると、証明書ストアの形式および名前が自動的にcert8.dbに変更されます。バージョン7.0以上のバージョンは、cert7.db(アップグレードされた環境)とcert8.db(新規インストール環境)の両方の証明書ストアで動作します。UNIXシステムでは、start_configureAAAServer、start_setup_ois、start_setup_access_managerの各ツールを使用します。
注意: すべてのコマンドライン・ユーティリティおよびツールは、製品をインストールしたユーザーとして実行する必要があります(『Oracle Access Managerインストレーション・ガイド』を参照してください)。インストール後にファイルの所有権やアクセス権の変更を試みないことをお薦めします。 |
次の2つのトランスポート・セキュリティ・モードが、Oracle Access Managerコンポーネントとディレクトリ・サーバー間の通信に使用されます。
オープン: ディレクトリ・サーバー通信を保護するための暗号化は行われません。このモードは、セキュリティが問題になっていない場合に使用します。たとえば、ネットワークが安全であると考えるかぎり、アクセス・ゲートとアクセス・サーバー間の通信をテストする場合に使用します。「オープン」はデフォルト設定です。
SSL: ディレクトリ・サーバー通信でSSLを使用します。
トランスポート・セキュリティの指定は、インストール・プロセスの一部です。アイデンティティ・システムまたはアクセス・システムをインストールする際の違いは、表8-1を参照してください。
アイデンティティ・システム | アクセス・システム |
---|---|
|
|
次の項も参照してください。 コンポーネントのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。 |
トランスポート・セキュリティは、次のコンポーネント間で構成できます。
アイデンティティ・システム: すべてのアイデンティティ・サーバーとWebパス・インスタンス間のトランスポート・セキュリティが一致している必要があります。つまり、すべてオープン・モード、すべて簡易モード、またはすべて証明書モードのいずれかである必要があります。
アクセス・システム: すべてのポリシー・マネージャ、アクセス・サーバーおよび関連するWebGate間のトランスポート・セキュリティが一致している必要があります。つまり、すべてオープン・モード、すべて簡易モード、またはすべて証明書モードのいずれかである必要があります。
アクセス・キャッシュ・フラッシングに関する通告: アイデンティティ・サーバーでアクセス・キャッシュ・フラッシングが有効になっている場合、アイデンティティ・サーバーはアクセス・サーバーと通信します。この場合、次の5つのコンポーネント間のトランスポート・セキュリティ・モードはすべて同じモードである必要があります。
アイデンティティ・サーバーおよびWebパス・インスタンス
ポリシー・マネージャ、アクセス・サーバーおよび関連するWebGate
キャッシュの管理の詳細は、このマニュアルの「キャッシュの管理」と『Oracle Access Managerアクセス管理ガイド』の両方を参照してください。キャッシングの詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。
インストール後にトランスポート・セキュリティ・モードを変更する必要がある場合は、システム・コンソールでセキュリティ・モードを変更できます。
アイデンティティ・システム(Webパスおよびアイデンティティ・サーバー): Webパスおよびアイデンティティ・サーバー・インスタンスのトランスポート・セキュリティ・モードは、アイデンティティ・システム・コンソールで選択します。Webパスおよびアイデンティティ・サーバー・インスタンスを構成する前に、使用するトランスポート・セキュリティ・モードのタイプを決定します。この場合も、すべてのコンポーネント間でトランスポート・セキュリティが一致している必要があります。これらは、すべてオープン、すべて簡易またはすべて証明書である必要があります。
アクセス・システム(ポリシー・マネージャ、アクセス・ゲートおよびアクセス・サーバー): アクセス・システムでアクセス・ゲートおよびアクセス・サーバー・インスタンスを構成する際に、アクセス・システムのトランスポート・セキュリティ・モードを選択します。アクセス・ゲートおよびアクセス・サーバー・インスタンスを構成する前に、使用するトランスポート・セキュリティ・モードのタイプを決定します。この場合も、すべてのアクセス・システム・コンポーネント間でトランスポート・セキュリティが一致している必要があります。つまり、すべてオープン・モード、すべて簡易モード、またはすべて証明書モードのいずれかである必要があります。
システム・コンソールでモードを変更した後で、次の項で説明されているプロセスに従います。
インストール後に、コンポーネントとディレクトリ・サーバー間のセキュリティ・モードを変更できます。
アイデンティティ・サーバーまたはアクセス・サーバーとディレクトリ・サーバー: ディレクトリ・サーバーとアイデンティティ・サーバーまたはアクセス・サーバー間のトランスポート・セキュリティは、オープン・モードまたはSSLモードにすることができます。このトランスポート・セキュリティ・モードは、インストール時に指定します。SSLを選択した場合は、SSL証明書の場所も指定します。ディレクトリ・サーバーは、指定したセキュリティ・モード情報で自動的に更新されます。
ディレクトリ・サーバーのSSLを構成する場合は、Oracle Access Managerがサーバー認証のみサポートすることに注意してください。クライアント認証はサポートされません。クライアント認証はサポートされません。Oracle Access Managerは、製品設定時にインポートしたルートCA証明書に照らしてサーバー証明書を検証します。
ポリシー・マネージャは、ディレクトリ・サーバーに対して読取りおよび書込みを行うWebコンポーネントです。ポリシー・マネージャとディレクトリ・サーバー間のトランスポート・セキュリティも指定します。図8-1に、Oracle Access Manager Webコンポーネントおよびサーバーと、Oracle Access Managerコンポーネントおよびディレクトリ・サーバーとの間でサポートされるトランスポート・セキュリティ・モードを示します。
SSLモードで稼働しているすべてのコンポーネントのディレクトリ・プロファイルは、これらのコンポーネントが最初に異なるモードで構成された場合でも共有できます。たとえば、アイデンティティ・サーバーとアクセス・サーバーがオープン・モードでディレクトリにインストールされ、ポリシー・マネージャがディレクトリ・サーバーに対してSSLを有効にしてインストールされたとします。この場合、cert8.dbファイルおよびkey3.dbファイルは、ディレクトリ・サーバーと通信するコンポーネントごとに存在する必要があり、component_install_dir\identity|access\oblix\configディレクトリに置かれている必要があります。これらのファイルが存在しない場合は、他の既存のコンポーネント・フォルダからコピーするか、この章で説明するようにgenCert(ポリシー・マネージャ)またはその他のユーティリティを実行して生成します。
ここでは、ルート証明書、リクエストおよびその他の証明書ファイルについて説明します。インストール時にコンポーネント間で証明書トランスポート・セキュリティ・モードを選択した場合は、ルート証明書を作成およびインストールする必要があります。ルート証明書は、認証局へのCSRなど、リクエストに署名する証明書を送信する際に生成される証明書のチェーンです。このリクエストは、xxx_req.pemファイルの形式です。ルート証明書は、xxx_chain.pemというファイルとして格納します。xxx_chain.pemファイルを証明書サーバーからダウンロードし、次のディレクトリにキーおよびcert.pemファイルとともに格納してから、製品構成時にその場所を指定します。
Component_install_dir\identity|access\oblix\config
ほとんどのコンポーネントでは、製品設定時に証明書をインストールします。genCertユーティリティを使用して証明書をポリシー・マネージャにインストールします。このユーティリティのコマンドは次のとおりです。
genCert -i <install Dir> -m <cert | simple> -P <password> -c <request | install>
次に例を示します。
genCert -i c:\COREid\webcomponent\access\oblix\tools\gencert -m cert -P <password> -c install
承認された証明書は、コンポーネント・インストーラからアクセスできる任意の場所に保存できます。たとえば、/oblix/configに保存できます。
注意: 下位CAによって生成された証明書を使用する場合は、ルートCAの証明書が下位CA証明書とともにxxx_chain.pemに存在している必要があります。適切な検証および正常なアイデンティティ・システム設定を行うには、両方の証明書が存在している必要があります。 |
WebGateの証明書リクエストでは、証明書リクエスト・ファイルaaa_req.pemが生成されます。このWebGate証明書リクエストを、AAAサーバーによって信頼されているルートCAに送信する必要があります。ルートCAは、WebGate証明書を返します。この証明書は、WebGateのインストール中またはインストール後にインストールできます。
次の各項では、証明書モードと、証明書のリクエストおよびインストールについて説明します。
インストール環境のすべてのアイデンティティ・サーバーおよびWebパス・インスタンスは、同じトランスポート・セキュリティ・モードで実行する必要があります。インストール時に異なるコンポーネントに異なるモードを指定した場合は、それらを変更する必要があります。
タスクの概要: アイデンティティ・システムのトランスポート・セキュリティの変更
簡易モードまたは証明書モードに変更する場合は、証明書準備のプロセスを完了します。
「Webパスのトランスポート・セキュリティ・モードを変更する手順」の手順を実行します。
注意: Webパスおよびアイデンティティ・サーバーは、両方のトランスポート・セキュリティ・モードを変更するまで相互に通信できません。 |
アイデンティティ・サーバーのトランスポート・セキュリティ・モードを変更する手順
簡易モードまたは証明書モードに変更する場合は、証明書準備プロセスを完了します。
アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「アイデンティティ・サーバー」をクリックします。
変更するサーバーのリンクをクリックし、「変更」をクリックします。
選択するトランスポート・セキュリティ・モードに該当するボタンをクリックします。
「オープン」、「簡易」または「証明書」モードを選択できます。
「保存」をクリックします。
アイデンティティ・サーバーを再起動します。
Webパスのトランスポート・セキュリティ・モードを変更する手順
簡易モードまたは証明書モードに変更する場合は、証明書準備を完了します。
アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「Webパス」をクリックします。
変更するWebパスを選択し、「変更」をクリックします。
トランスポート・セキュリティ・モードを変更します。
「オープン」、「簡易」または「証明書」モードを選択できます。
「保存」をクリックします。
Webパスを停止し、アイデンティティ・サーバーを再起動してからWebパスを再起動します。
インストール後にトランスポート・セキュリティ・モードを変更する場合は、アイデンティティ・システム・コンソールで新しいモードを指定してから、適切な構成ファイルでモードを変更します。
各コンポーネントについて、必要に応じて表8-2に示す手順を繰り返します。
表8-2 アイデンティティ・システムのトランスポート・セキュリティ・モードの変更
新しいセキュリティ・モード | タスクの概要 |
---|---|
オープン |
アイデンティティ・システム・コンソールでオープン・モードを指定します(詳細は、「アイデンティティ・システムのトランスポート・セキュリティの変更」を参照してください)。 |
簡易 |
|
証明書 |
|
注意: アイデンティティ・システム・コンポーネントがオープン・モードまたは証明書モードを使用している場合は特に、コンポーネントを実行しているコンピュータのクロックが同期している必要があります。アイデンティティ・サーバー・コンピュータのクロックがWebパス・コンピュータのクロックよりも進んでいるかぎり、数秒の差異は許容されます。それ以外の場合は、証明書のタイム・スタンプが無効になり、すべてのリクエストが拒否されます。システム・クロックの同期の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
簡易モードに変更する場合は、最初にOracle Access Managerの内部CAを通じて証明書を生成する必要があります。次のように、コンポーネントごとに関連するユーティリティを使用する必要があります。
アイデンティティ・サーバー: Windowsのsetup_ois.exeユーティリティ(またはUNIXのstart_setup_ois)。場所はIdentityServer_install_dir/identity/oblix/tools/setup。
Webパス: Windowsのsetup_webpass.exeユーティリティ(またはUNIXのstart_setup_webpass)。場所はWebPass_install_dir/identity/oblix/tools/setup。
CAを通じて証明書を生成する手順
コマンド・プロンプト・ウィンドウを開き、次のディレクトリに移動します。
IdentityServer_install_dir/identity/oblix/tools/setup
IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。setupは、このタスクに必要なユーティリティが含まれるディレクトリです。
変更しているコンポーネントに応じて、次のコマンドの1つを実行します。
表8-3 設定コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
start_setup_ois -i IdentityServer_install_dir/identity -m Webパス: start_setup_webpass -i WebPass_install_dir/identity -m |
Windows |
アイデンティティ・サーバー: setup_ois.exe -i IdentityServer_install_dir\identity -m Webパス: setup_webpass.exe -i WebPass_install_dir\identity -m(WebPass_install_dirはWebパスがインストールされているディレクトリです。) |
簡易モードまたは証明書モードの入力を求められます。
simpleと入力し、[Enter]を押します。
このパスワードは、インストール環境のすべてのアイデンティティ・サーバーおよびWebパス・インスタンスで同じである必要があります。
証明書モードに変更する場合は、アイデンティティ・サーバーのインストール後に次の操作を行う必要があります。
証明書リクエストを生成して、外部CAから証明書を取得します。
署名された証明書を受信後にインストールします。
次のように、コンポーネントごとに関連するユーティリティを使用する必要があります。
アイデンティティ・サーバー: Windowsのsetup_ois.exeユーティリティ(またはUNIXのstart_setup_ois)。場所はIdentityServer_install_dir/identity/oblix/tools/setup。
Webパス: Windowsのsetup_webpass.exeユーティリティ(またはUNIXのstart_setup_webpass)。場所はWebPass_install_dir/identity/oblix/tools/setup。
証明書モードの証明書リクエストを生成する手順
コマンド・プロンプト・ウィンドウを開き、次のディレクトリに変更します。
IdentityServer_install_dir/identity/oblix/tools/setup
IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。setupは、そのコンポーネントに適したユーティリティが含まれるディレクトリです。
表8-4のコマンドの1つを実行します。
表8-4 アイデンティティ・システムの証明書リクエスト・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アイデンティティ・サーバー: start_setup_ois -i IdentityServer_install_dir/identity -m Webパス: start_setup_webpass -i WebPass_install_dir/identity -m WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
Windows |
アイデンティティ・サーバー: setup_ois.exe -i IdentityServer_install_dir\identity -m Webパス: setup_webpass.exe -i WebPass_install_dir\identity -m WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
簡易モードまたは証明書モードの入力を求められます。
certと入力し、[Enter]を押します。
新しい証明書をリクエストしていることを指定します。
プロンプトに情報を入力します。
2文字の国コード(デフォルトはUS)
都道府県名
市区町村または地域
組織名(企業など)
組織単位名(部門など)
共通名(ホスト名など)
連絡先電子メール・アドレス
[Enter]を押します。
メッセージが表示されます。たとえば、アイデンティティ・サーバーの証明書の場合は次のとおりです。
「証明書リクエストはファイルIdentityServer_install_dir/identity/oblix/config/ois_req.pemに存在します」
setup_oisユーティリティにより、ois_key.pem(秘密鍵を含む)とois_req.pemの2つのファイルがこのディレクトリに作成されます。
認証局によって署名されるようにois_req.pemファイルを送信します。
コマンド・プロンプト・ウィンドウを開き、適切なディレクトリに変更します。次に例を示します。
IdentityServer_install_dir/identity/oblix/tools/setup
IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。
表8-5のコマンドの1つを実行します。
表8-5 アイデンティティ・システムの証明書インストール・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アイデンティティ・サーバー: start_setup_ois -i IdentityServer_install_dir/identity -m Webパス: start_setup_webpass -i WebPass_install_dir/identity -m WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
Windows |
アイデンティティ・サーバー: setup_ois.exe -i IdentityServer_install_dir\identity -m IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。 Webパス: setup_webpass.exe -i WebPass_install_dir\identity -m WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
簡易モードまたは証明書モードの入力を求められます。
certと入力し、[Enter]を押します。
証明書をインストールしていることを指定します。
次のファイルの場所を指定します。
ois_key.pem
ois_cert.pem
ois_chain.pem
Oracle Access Managerで生成された以前のリクエストの証明書をインストールした場合は、プロンプトが表示されたときにois_key.pemのデフォルト値を使用します。
注意: 下位CAによって生成された証明書を使用する場合は、ルートCAの証明書が下位CA証明書とともにois_chain.pemに存在している必要があります。適切な検証および正常なアイデンティティ・システム設定を行うには、両方の証明書が存在している必要があります。 |
証明書がインストールされます。
アクセス・ゲートまたはアクセス・サーバーのトランスポート・セキュリティ・モードを変更する前に、アクセス・システム・コンソールでコンポーネントのトランスポート・セキュリティ・モードを更新します。アクセス・システム・コンソールからポリシー・マネージャのトランスポート・セキュリティ・モードを更新することはできません。オープン・モードから別のモードに変更する場合は、表8-2の手順に従います。オープン・モードに変更する場合は、他のアクセス・ゲートおよびアクセス・サーバーがオープン・モードで稼働していることがポリシー・マネージャによって自動的に検出されるため、ポリシー・マネージャのモードを変更する必要はありません。
アクセス・サーバーのトランスポート・セキュリティ・モードを指定する手順
アクセス・システム・コンソールで、「アクセス・システム構成」、「アクセス・サーバー構成」にナビゲートします。
変更するアクセス・サーバーを選択し、「変更」をクリックします。
トランスポート・セキュリティに該当するラジオ・ボタンを選択し、「保存」をクリックします。
アクセス・サーバーを再起動します。
アクセス・ゲートのトランスポート・セキュリティ・モードを指定する手順
アクセス・システム・コンソールで、「アクセス・システム構成」、「アクセス・ゲート構成」にナビゲートします。
変更するアクセス・ゲートを選択し、「変更」をクリックします。
トランスポート・セキュリティに該当するラジオ・ボタンを選択し、「保存」をクリックします。
アクセス・ゲートをホストしているWebサーバーを再起動します。
アクセス・システム・コンソールで変更を指定した後で、アクセス・システム・コンポーネントのトランスポート・セキュリティ・モードを変更できます。モードの変更のプロセスは、変更しているセキュリティ・モードによって決まります。アクセス・サーバーのセキュリティ・モードを変更する場合は、このアクセス・サーバーを指しているすべてのポリシー・マネージャおよびアクセス・ゲートのセキュリティ・モードを変更して、新しいセキュリティ・モードに一致させます。1つ以上のアクセス・サーバーのセキュリティ・モードを変更する場合は、「トランスポート・セキュリティ・モード変更確認ページ」が表示されることがあります。このページは、アクセス・サーバーで使用されるセキュリティ・モードと1つ以上のアクセス・ゲート間の非互換性を通知します。
注意: アクセス・ゲート/WebGateおよびポリシー・マネージャのモードを構成する前に、アクセス・サーバー・セキュリティ・モードを構成します。 |
表8-6に、セキュリティ・モードごとに実行するプロセスをリストします。必要に応じて、インストール済のコンポーネントごとにこれらの手順を繰り返してください。
表8-6 アクセス・システムのトランスポート・セキュリティ・モードの変更
新しいセキュリティ・モード | タスクの概要 |
---|---|
オープン |
アクセス・サーバー:
アクセス・ゲート/WebGate:
ポリシー・マネージャ:
|
簡易 |
アクセス・サーバー:
アクセス・ゲート/WebGate:
ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは次のディレクトリにあります。 PolicyManager_install_dir\access\oblix\tools\gencert PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。gencertは、genCertユーティリティが含まれるディレクトリです。 |
証明書 |
アクセス・サーバー:
アクセス・ゲート/WebGate:
ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは次のディレクトリにあります。 PolicyManager_install_dir\access\oblix\tools\gencert PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。gencertは、genCertユーティリティが含まれるディレクトリです。 |
トランスポート・セキュリティ・モードを簡易または証明書からオープンに変更する場合は、適切な構成プログラムを実行します。コンポーネントに応じて、次の構成プログラムを使用する必要があります。
アクセス・サーバー: WindowsのconfigureAAAServer(またはUNIXのstart_configureAAAServer)。場所はAccessServer_install_dir/access/oblix/tools/configureAAAServer。
WebGate: WindowsのconfigureWebGate(またはUNIXのstart_configureWebGate)。場所はWebGate_install_dir/access/oblix/tools/configureWebGate。
ポリシー・マネージャ: gencert。場所はPolicyManager_install_dir/access/oblix/tools/gencert。
次のディレクトリを新規フォルダに移動します。
component_install_dir/access/oblix/config/simple(簡易モードの場合)
または
component_install_dir/access/oblix/config/*.pemおよびpassword.xml(証明書モードの場合)
component_install_dirは、アクセス・システム・コンポーネントがインストールされているディレクトリです。たとえば、ポリシー・マネージャ、アクセス・サーバーまたはWebGateです。
これにより、以前の構成を保存し、必要に応じてその構成に戻すことができます。
表8-7のコマンドの1つを実行します。
表8-7 アクセス・システム・コマンド: オープン・モードへの変更
オペレーティング・システム | コマンド |
---|---|
UNIX |
start_configureAAAServer reconfig AccessServer_install_dir/access(AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。) アクセス・ゲート: start_configureAccessGate -i AccessGate_install_dir/access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 注意: Oracle Access ManagerでLinux NPTLを使用する場合は、「NPTLの要件およびインストール後のタスク」を参照してください。 WebGate: start_configureWebGate -i WebGate_install_dir/access -t WebGate -R(WebGate_install_dirは、WebGateがインストールされている場所です。) ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは次のディレクトリにあります。 PolicyManager_install_dir/access/oblix/tools/gencert PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
Windows |
アクセス・サーバー: configureAAAServer.exe reconfig AccessServer_install_dir\access -R(AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。) アクセス・ゲート: configureAccessGate.exe -i AccessGate_install_dir\access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 WebGate: configureWebGate.exe -i WebGate_install_dir\access -t WebGate -R(WebGate_install_dirは、WebGateがインストールされている場所です。) ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは次のディレクトリにあります。 PolicyManager_install_dir\access\oblix\tools\gencert PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
簡易モードを実装する場合は、外部CAの証明書をリクエストまたはインストールする必要はありません。Oracle Access Managerに、固有の内部CAが付属しています。
次のファイルを新規フォルダに移動します。
AccessSystem_install_dir/access/oblix/config/*.pem
および
AccessSystem_install_dir/access/oblix/config/password.xml(証明書モードの場合)
AccessSystem_install_dirは、アクセス・システム・コンポーネントがインストールされているディレクトリです。たとえば、ポリシー・マネージャ、アクセス・サーバーまたはWebGateです。
これにより、古い構成のバックアップ・ファイルが作成されます。
Oracle Access Managerの内部CAを通じて証明書を生成します。
コマンド・プロンプト・ウィンドウを開き、適切なAccessSystem_install_dir/access/oblix/tools/UtilityDirectoryに変更します。
この場合:
UtilityDirectoryは、変更するコンポーネントのユーティリティ(configureAAAserver、configureWebGateまたはポリシー・マネージャのgenCert)が含まれるディレクトリです。
次に例を示します。
cd COREid/WebComponent/access/oblix/tools/configureWebGate
表8-8のコマンドの1つを実行します。
表8-8 アクセス・システム・コマンド: 簡易モードへの変更
オペレーティング・システム | コマンド |
---|---|
UNIX |
start_configureAAAServer reconfig AccessServer_install_dir/access AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: start_configureAccessGate -i AccessGate_install_dir/access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 注意: Oracle Access ManagerでLinux NPTLを使用する場合は、「NPTLの要件およびインストール後のタスク」を参照してください。 WebGate: start_configureWebGate -i WebGate_install_dir/access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、PolicyManager_install_dir\access\oblix\tools\gencertディレクトリにあります。PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
Windows |
アクセス・サーバー: configureAAAServer.exe reconfig AccessServer_install_dir\access -R AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: configureAccessGate.exe -i AccessGate_install_dir\access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 WebGate: configureWebGate.exe -i WebGate_install_dir\access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、ディレクトリPolicyManager_install_dir\access\oblix\tools\gencertにあります。 PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
オープン、簡易または証明書モードの入力を求めるプロンプトが表示された場合は、「簡易」モードを選択し、[Enter]を押します。
グローバル・パスフレーズを指定し、確認します。
このパスワードは、すべてのアクセス・サーバー、アクセス・ゲートおよびWebGateで同じである必要があります。グローバル・パスフレーズの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
警告: ポリシー・マネージャの簡易モード・パスワードが変更された場合、またはアクセス・システムが簡易モードから証明書モードに変更された場合は、ポリシー・マネージャを再インストールする必要があります。 |
次の手順では、証明書トランスポート・セキュリティ・モードへの変更について説明します。
注意: WebGateの証明書リクエストでは、証明書リクエスト・ファイルaaa_req.pemが生成されます。このWebGate証明書リクエストを、AAAサーバーによって信頼されているルートCAに送信する必要があります。ルートCAは、WebGate証明書を返します。この証明書は、WebGateのインストール中またはインストール後にインストールできます。 |
次のディレクトリを新規フォルダに移動します。
AccessSystem_install_dir/access/oblix/config/simple(簡易モードの場合)
これにより、古い構成のバックアップが作成されます。
証明書リクエストを生成します。
コマンド・プロンプト・ウィンドウを開き、次のディレクトリに変更します。
AccessSystem_install_dir/access/oblix/tools/UtilityDirectory
AccessSystem_install_dirはアクセス・システム・コンポーネントがインストールされているディレクトリで、UtilityDirectoryは変更しているコンポーネントのツール(configureAAAServer、configureWebGate、configureAccessGateまたはgenCert(genCertはポリシー・マネージャで使用される))が含まれるディレクトリです。
次に例を示します。
cd COREid/WebComponent/access/oblix/tools/genCert
変更しているコンポーネントに応じて、表8-9のコマンドの1つを実行します。
表8-9 アクセス・システムの証明書リクエスト・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アクセス・サーバー: start_configureAAAServer reconfig AccessServer_install_dir/access AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: start_configureAccessGate -i AccessGate_install_dir/access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 注意: Oracle Access ManagerでLinux NPTLを使用する場合は、「NPTLの要件およびインストール後のタスク」を参照してください。 WebGate: start_configureWebGate -i WebGate_install_dir/access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、ディレクトリPolicyManager_install_dir\access\oblix\tools\gencertにあります。 PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
Windows |
アクセス・サーバー: configureAAAServer.exe reconfig AccessServer_install_dir\access -R AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: configureAccessGate.exe -i AccessGate_install_dir\access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 WebGate: configureWebGate.exe -i WebGate_install_dir\access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、ディレクトリPolicyManager_install_dir\access\oblix\tools\gencertにあります。 PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
モードのプロンプトが表示されたら、「証明書」を選択して[Enter]を押します。
証明書をリクエストしていることを指定します。
次のような情報を求めるプロンプトに回答します。
2文字の国コード(デフォルトはUS)
都道府県名
市区町村または地域
組織名(企業など)
組織単位名(部門など)
共通名(ホスト・コンピュータ名にする必要があります)
連絡先電子メール・アドレス
[Enter]を押します。
証明書リクエストがファイルAccessServer_install_dir/access/oblix/config/aaa_req.pemにあることを示すメッセージが表示されます。
setup_aaaユーティリティは実際にこのディレクトリに次の2つのファイルを作成します。
aaa_key.pem(秘密鍵を含む)およびaaa_req.pem。
リクエストに署名するためにaaa_req.pemファイルを認証局に送信します。
承認された証明書を、インストーラがアクセスできるファイルに保存します。
インストーラがアクセスできる.pemファイルにCAチェーンをbase64コード形式で保存します。
CAから証明書を受信した後で、署名された証明書をインストールします。
コマンド・プロンプト・ウィンドウを開き、AccessSystem_install_dir/access/oblix/tools/componentDirectoryに変更します。
AccessSystem_install_dirはアクセス・システムがインストールされているディレクトリで、componentDirectoryは変更しているコンポーネント(configureAAAserver、configureWebGate、configureAccessGateまたはgenCert(genCertはポリシー・マネージャで使用されるユーティリティ))のディレクトリです。
次に例を示します。
cd COREid/access/oblix/tools/configureAAAServer
表8-10のコマンドの1つを実行します。
表8-10 アクセス・システムの証明書インストール・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アクセス・サーバー: start_configureAAAServer reconfig AccessServer_install_dir/access AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: start_configureAccessGate -i AccessGate_install_dir/access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 注意: Oracle Access ManagerでLinux NPTLを使用する場合は、「NPTLの要件およびインストール後のタスク」を参照してください。 WebGate: start_configureWebGate -i WebGate_install_dir/access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、ディレクトリPolicyManager_install_dir\access\oblix\tools\gencertにあります。 PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
Windows |
アクセス・サーバー: configureAAAServer.exe reconfig AccessServer_install_dir\access -R AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: configureAccessGate.exe -i AccessGate_install_dir\access -t AccessGate -R AccessGate_install_dirは、アクセス・ゲートがインストールされているディレクトリです。 WebGate: configureWebGate.exe -i WebGate_install_dir\access -t WebGate -R WebGate_install_dirは、WebGateがインストールされているディレクトリです。 ポリシー・マネージャ: genCertユーティリティを実行して新規モードを指定します。genCertユーティリティは、ディレクトリPolicyManager_install_dir\access\oblix\tools\gencertにあります。 PolicyManager_install_dirは、ポリシー・マネージャがインストールされているディレクトリです。 |
簡易モードまたは証明書モードの入力を求めるプロンプトが表示された場合は、Certと入力し、[Enter]を押します。
証明書をインストールしていることを指定します。
キー、サーバー証明書およびCAチェーン・ファイルの場所を指定します。
aaa_key.pem
aaa_cert.pem
aaa_chain.pem
aaaは、ファイルについて指定する名前です(証明書ファイルおよびチェーン・ファイルにのみ適用されます)。
警告: WebGate証明書リクエストでは、証明書リクエスト・ファイルaaa_req.pemが生成されます。この証明書リクエストを、AAAサーバーによって信頼されているルートCAに送信する必要があります。ルートCAは、WebGate証明書を返します。この証明書は、WebGateのインストール中またはインストール後にインストールできます。 |
Oracle Access Managerで生成された以前のリクエストの証明書をインストールした場合は、プロンプトが表示されたときにaaa_key.pemのデフォルト値を使用します。
証明書がインストールされます。
アクセス・ゲートまたはアクセス・サーバーを適宜再起動します。
アイデンティティ・サーバーおよびアクセス・サーバーをインストールする場合は、これらの各サーバーとディレクトリ・サーバー間でオープン・モードまたはSSLモードを指定できます。インストール後にトランスポート・セキュリティ・モードを変更するには、アイデンティティ・サーバーまたはアクセス・サーバーを適宜再構成する必要があります。再構成時に、ディレクトリ・サーバーとアイデンティティ・サーバーまたはアクセス・サーバー間のセキュリティ・モードを変更できます。
注意: インストール後のディレクトリ証明書の追加の詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。 |
アイデンティティ・サーバーとディレクトリ・サーバー間のトランスポート・セキュリティを変更する手順
コマンドラインから、プラットフォームに適したsetup_oisツールを検索します。
UNIXでの例は次のとおりです。
IdentityServer_install_dir
/identity/oblix/tools/setup
コマンド・プロンプトで、適切な実行可能ファイルを実行します。
UNIXでの例は次のとおりです。
start_setup_ois -i
アイデンティティ・サーバーの設定に必要な手順がガイドされます。
アイデンティティ・サーバーとディレクトリ・サーバー間にSSLが必要かどうかを確認されたら、y(はい)またはn(いいえ)を選択します。
注意: SSLを選択した場合、CA証明書の場所を求められたらそのフルパスを指定します。 |
残りの手順を実行して、再構成プロセスを完了します。
ポリシー・マネージャとディレクトリ・サーバー間のトランスポート・セキュリティをSSLに変更する手順
コマンドラインから、プラットフォームに適したsetup_access_managerツールを検索します。
UNIXでの例は次のとおりです。
PolicyManager_install_dir/access/oblix/tools/setup_am
注意: ポリシー・マネージャとディレクトリ・サーバー間のSSLの設定に使用されるcert8.dbは、setup_access_managerコマンドのみで作成されます。 |
コマンド・プロンプトで、適切な実行可能ファイルを実行してcert8.dbファイルを作成します。
UNIXでの例は次のとおりです。
./start_setup_access_manager -i <install_dir> -C <rootCA_cert_file_path>
ポリシー・マネージャの設定に必要な手順がガイドされます。ポリシー・マネージャとディレクトリ・サーバー間のSSLを設定する際には、Windowsのsetup_access_manager(またはUNIXのstart_setup_access_manager)を使用する必要があります。genCertユーティリティは、トランスポート・セキュリティ・モードが簡易または証明書に設定されているコンポーネントの証明書の作成または更新のみに使用されます。
ディレクトリ・サーバーのルートCA証明書を含むファイルのフルパスを求められたら、それを指定します。
残りの手順を実行して、再構成プロセスを完了します。
アクセス・サーバーとディレクトリ・サーバー間のトランスポート・セキュリティを変更する手順
コマンドラインから、configureAAAServerツールが置かれているフォルダにナビゲートします。
AccessServer_install_dir/access/oblix/tools/configureAAAServer
注意: UNIXシステムでは、start_configureAAAServerツールを使用します。 |
コマンドラインで、次の実行可能ファイルを実行します。
configureAAAServer install
AccessServer_install_dir
/access
1(Y)を選択してアクセス・サーバーを再構成します。
アクセス・サーバーの設定に必要な手順がガイドされます。アクセス・サーバーのインストール時と同じ必須情報を指定します(トランスポート・セキュリティ・モードを含む)。
ディレクトリ・サーバーのモードの指定を求められたら、「オープン」または「SSL」を選択します。
SSLを選択した場合は、CA証明書の場所のフルパスを指定します。
残りの手順を実行して、再構成プロセスを完了します。
相互に通信している場合、コンポーネントはパスワードベースのメカニズムを使用して相互に認証します。
簡易モード: 簡易モードでは、アイデンティティ・システムまたはアクセス・システムのすべてのコンポーネントが、インストール環境内で同じパスワードを使用する必要があります。Oracle Access Managerは、Transport Layer Security(TLS)により要求される証明書を生成します。任意のインストール環境で、有効な証明書を生成できます。
各コンポーネントが介入なしに開始できるように、ローカル・ファイルにパスワードを格納できます。または、起動時にコンポーネントがパスワードのプロンプトを表示するようにできます。プロンプトでは、各要素を手動で起動し、パスワードを入力するようシステム管理者に要求します。
証明書モード: 証明書モードでは、各コンポーネントの秘密鍵ファイルのパスワードが必要です。コンポーネントごとに異なるパスワードを使用できます。
簡易モードと同様に、パスワードをローカル・ファイルに格納して、各コンポーネントを介入なしに起動することも、起動時にコンポーネントがパスワードのプロンプトを表示するようにすることもできます。プロンプトでは、各コンポーネントを手動で起動し、パスワードを入力するようシステム管理者に要求します。
証明書トランスポート・セキュリティ・モードまたは簡易トランスポート・セキュリティ・モードのパスワードは変更できます。
コマンド・プロンプト・ウィンドウを開き、IdentityServer_install_dir/identity/oblix/tools/setupディレクトリに変更します。IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。
次に例を示します。
cd COREid/identity/oblix/tools/setup
表8-11のコマンドの1つを実行します。
表8-11 証明書パスワードを変更するためのアイデンティティ・システム・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アイデンティティ・サーバー: start_setup_ois -i IdentityServer_install_dir/identity -k IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。 Webパス: start_setup_webpass -i WebPass_install_dir/identity -k WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
Windows |
アイデンティティ・サーバー: setup_ois.exe -i IdentityServer_install_dir\identity -k IdentityServer_install_dirは、アイデンティティ・サーバーがインストールされているディレクトリです。 Webパス: setup_webpass.exe -i WebPass_install_dir\identity -k WebPass_install_dirは、Webパスがインストールされているディレクトリです。 |
このコンポーネントが使用しているトランスポート・セキュリティ・モードを指定します。
旧パスワードを指定します。
新規パスワードを指定し、確認します。
アイデンティティ・サーバーを再起動します。
コマンド・プロンプト・ウィンドウを開き、AccessSystem_install_dir/access/oblix/tools/UtilityDirectoryに変更します。
AccessSystem_install_dirはアクセス・システムがインストールされているディレクトリで、UtilityDirectoryは変更しているコンポーネントのディレクトリです。次に例を示します。
cd COREid/access/oblix/tools/configureAccessGate
表8-12のコマンドの1つを実行します。
表8-12 証明書パスワードを変更するためのアクセス・システム・コマンド
オペレーティング・システム | コマンド |
---|---|
UNIX |
アクセス・サーバー: start_configureAAAServer chpasswd AccessServer_install_dir/access AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: start_configureAccessGate -i AccessGate_install_dir/access -t AccessGate -k AccessGate_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 注意: Oracle Access ManagerでLinux NPTLを使用する場合は、「NPTLの要件およびインストール後のタスク」を参照してください。 WebGate: start_configureWebGate -i WebGate_install_dir/access -t WebGate -k WebGate_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 |
Windows |
アクセス・サーバー: configureAAAServer.exe chpasswd AccessServer_install_dir\access AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 アクセス・ゲート: configureAccessGate.exe -i AccessGate_install_dir\access -t AccessGate -k AccessGate_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 WebGate: configureWebGate.exe -i WebGate_install_dir\access -t WebGate -k WebGate_install_dirは、アクセス・サーバーがインストールされているディレクトリです。 |
このコンポーネントが使用しているトランスポート・セキュリティ・モードを指定します。
旧パスワードを指定します。
新規パスワードを指定し、確認します。
アクセス・サーバーを再起動します。
Oracle Access Managerは、ユーザー・データ、構成データまたはポリシー・データ用のディレクトリ・サーバーとコンポーネント間のトランスポート・セキュリティに対して、ディレクトリ・サーバー・タイプごとに1つのCA証明書を認識します。
実装で、ユーザー・データ、構成データまたはポリシー・データに別々のディレクトリ・サーバーがある場合は、それぞれに異なるCA証明書を使用できます。このため、実装では最大3つのCA証明書を使用できます。ユーザー・ディレクトリに1つ、構成ディレクトリに1つ、ポリシー・ディレクトリに1つを使用します。
警告: インストール環境で、異なる認証局の証明書を使用してSSLを確立したレプリケート・ディレクトリまたは複数のディレクトリを使用する場合は、各種証明書をcert8.dbファイルに手動でインポートする必要があります。cert8.dbファイルは独自のMozilla形式で暗号化および格納されます。 |
ディレクトリ・サーバーCA証明書の追加の詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
アクセス・サーバーのトランスポート・セキュリティ・モードは、コマンドラインから変更できます。簡易モードでは、アクセス・ゲートまたはWebGateとアクセス・サーバーが相互に通信するには、これらが同じパスワードを持っている必要があります。
トランスポート・セキュリティ・モードのパスワードを変更する手順
次の実行可能ファイルを実行します。
configureAAAServer chpasswd
AccessServer_install_dir
AccessServer_install_dirは、アクセス・サーバーがインストールされているディレクトリです。
プロンプトが表示されたら、次の項目を指定します。
アクセス・サーバーが構成されているトランスポート・セキュリティ・モード
旧パスワード
新パスワード
アクセス・サーバーを再起動します。
詳細は、「トランスポート・セキュリティ・モードについて」を参照してください。