| Oracle Composite Application Monitor and Modelerインストレーションおよび構成ガイド リリース10.2.0.5 B56253-01 |
|
 戻る |
 次へ |
この章では、次のインストール後の要件について説明します。
次のデプロイ後の要件は、IBM WebSphere Application Server上のCAMMデプロイメントに固有です。
ここでの主な目的は、各管理サーバーの署名者証明書をCAMMのトラストストアに追加することです。この手順は、各リソースがサーバーに接続するために必要です。これにより、CAMMでサーバーに対するセキュアな(SSL)接続を作成する際に、そのサーバーを信頼できます。この信頼がないと、SSLハンドシェイクに失敗します。
デフォルトのCAMMトラストストアを使用する場合、サーバーの署名者証明書をAcseraManagerTrust.jksに追加します。この手順では、セキュリティ・サポートとしてデフォルトのkey.p12およびtrust.p12キーストアが使用されていると仮定します。別のトラストストアを使用している場合は、かわりにそのトラストストアを参照してください。
リソースの管理サーバーの署名者証明書をエクスポートします。
管理サーバーがWebSphere Application Server NDのデプロイメント・マネージャである場合、次のパスに存在するデプロイメント・マネージャのtrust.p12から署名者証明書をエクスポートします。
<WAS_HOME>\profiles\Dmgr01\config\cells\<CellName>\trust.p12
管理サーバーがスタンドアロン・サーバーの場合、次のパスに存在するスタンドアロン・サーバーのtrust.p12から署名者証明書をエクスポートします。
<WAS_HOME>\profiles\AppSrv01\config\cells\<CellName>\nodes\<NodeName>\trust.p12
エクスポートするには、次のコマンドを実行します。
JAVA_HOME/bin/keytool -export -keystore <trust path> -storepass WebAS -storetype PKCS12 -alias default_signer -file servercert
注意: PKCS12ストア・タイプをエクスポートする場合、そのフォーマット・タイプがサポートされるIBM JDKからkeytoolを実行してください。
管理サーバーの署名者証明書をCAMMトラストストアにインポートします。
4.4項「マネージャのキーストアへの証明書のインポート」の手順に従って、エクスポート済の証明書をインポートします。
グローバル・セキュリティが有効化されているWebSphereに対してCAMMを実行するには、次の手順を実行します。
次のように、[WAS_HOME]/propertiesのsoap.client.propsおよびsas.client.propsでcom.ibm.ssl.keyStoreおよびcom.ibm.ssl.trustStoreファイルを識別します。
識別したキーストアおよびトラストストアのファイルをCAMMマネージャにコピーします。
4.4項「マネージャのキーストアへの証明書のインポート」の手順に従って、各ファイルをインポートします。
アプリケーション・サーバーの起動時にCAMM EJBでセキュリティ例外が発生した場合は、状況により[WAS_HOME]/properties/server.policyファイルを更新して次の構成を追加する必要があります。
例4-3 server.policy
// Allow the Acsera Agent all permissions
grant codeBase "file:${was.install.root}/AcseraAgent/lib/-" {
permission java.security.AllPermission;
};
// Allow the Acsera Deployer EJBs all permissions
grant codeBase "file:${was.install.root}/installedApps/[node]/[Acsera app name].ear/-" {
permission java.security.AllPermission;
};
通常は、websphereDeployerコマンドの使用により、CAMMデプロイヤEJBが次の形式のアプリケーション名でWebSphereサーバー環境にデプロイされます。
Acsera_<node name>_<server name>
たとえば、a6-7ノードのWebSphere_Portalサーバーにデプロイされるデプロイヤのアプリケーション名は、次のとおりです。
Acsera_a6-7_WebSphere_Portal
Oracle SOA Suiteは、RMIS(RMI over SSL)接続をサポートするように構成できます。この場合、CAMMもこのセキュアな接続を使用するように構成できます。CAMMをこのように構成するには、次の手順を実行します。
Oracle SOA Suiteのインストール環境で、ORACLE_HOME/j2ee/<instance>/config/rmi.xmlの<ssl-config>要素を検索し、keystore属性のパスを識別します。
CAMMマネージャのconfigディレクトリ(em10/configなど)に、識別したキーストア・ファイルをコピーします。
4.4項「マネージャのキーストアへの証明書のインポート」の手順に従って、このキーストア・ファイルをインポートします。
T3Sを使用した接続を処理するようにOracle WebLogic Server 10.0を構成するには、コンソールでキーストア・ファイルの場所を更新する必要があります。
WebLogic Serverコンソールにログインし、表示されている環境サーバーのリストからCAMMで管理する予定のサーバーを選択します。
サーバー・リストからサーバーを選択します。
「キーストア」タブを選択し、「ロードして編集」をクリックしてキーストアを更新します。
次の変更を行います。次のプロパティでキーストアおよびトラストストアのファイル・パスを識別します。
ID
カスタムIDキーストア
信頼
カスタム信頼キーストア: トラスト・ファイルの場所
識別したキーストアおよびトラストストアのファイルをCAMMマネージャにコピーします。
CAMMマネージャのconfigディレクトリ(em10g/configなど)にBEA_HOME/license.beaをコピーします。
4.4項「マネージャのキーストアへの証明書のインポート」の手順に従って、キーストアおよびトラストストアのファイルをインポートします。
Acsera.propertiesファイルで次のプロパティを検索し、次のように設定します。
weblogic.security.TrustKeyStore=CustomTrust weblogic.security.CustomTrustKeyStoreFileName=AcseraManagerTrust.jks weblogic.security.CustomTrustKeyStorePassPhrase=acseramanager
キーストアまたはトラストストアからエントリをインポートするには、次の手順を実行します。その際、ServerStoreFile.jksは、使用しているアプリケーション・サーバーのキーストアまたはトラストストアで置き換えてください。(4.1.1項「WebSphere Application Server 6.1のセキュアな接続のためのCAMMの構成」の手順に従ってWAS 6.1から証明書ファイルをインポートしている場合、手順1と2はスキップしてください。)通常、これらの手順を2回繰り返す必要があります(キーストアに対して1回とトラストストアに対して1回)。
サーバーのキーストアおよびトラストストア・ファイルのキー別名をリストします。
keytool -list -keystore ServerStoreFile.jks –storepass DemoIdentityKeyStorePassPhrase
出力:
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry:
demoidentity, Wed Nov 19 13:34:56 PST 2008, keyEntry,
Certificate fingerprint (MD5): 36:06:C2:44:31:0A:28:FC:06:19:F7:AB:C0:7D:27:6A
中間ファイルにキー・エントリをエクスポートします。
keytool -export -alias demoidentity -keystore ServerStoreFile.jks -storepass DemoIdentityKeyStorePassPhrase -file demo103
出力:
Certificate stored in file <demo103>
CAMMのストア・ファイル(CAMMマネージャのconfigディレクトリのAcseraManagerKey.jksまたはAcseraManagerTrust.jks)にキーをインポートします。
keytool -import -alias demoidentity1 -keystore AcseraManagerKey.jks -storepass acseramanager -file demo103
出力:
Owner: CN=b91, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US
Issuer: CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US
Serial number: 510fb3d4b2872e3a093d436fcbe9b24b
Valid from: Tue Nov 18 13:34:47 PST 2008 until: Sun Nov 19 13:34:47 PST 2023
Certificate fingerprints:
MD5: 36:06:C2:44:31:0A:28:FC:06:19:F7:AB:C0:7D:27:6A
SHA1: BB:85:6D:4C:0B:4A:92:63:CA:5E:E9:A8:54:42:80:2D:0D:BE:7C:91
Trust this certificate? [no]: yes
Certificate was added to keystore
キーが正常にインポートされたことを確認します。
keytool -list -keystore AcseraManagerKey.jks -storepass acseramanager
出力:
Keystore type: jks
Keystore provider: SUN
Your keystore contains 3 entries:
demoidentity1, Wed Apr 01 13:03:21 PST 2009, trustedCertEntry,
Certificate fingerprint (MD5): 36:06:C2:44:31:0A:28:FC:06:19:F7:AB:C0:7D:27:6A
demoidentity, Fri Mar 13 15:15:06 PST 2009, trustedCertEntry,
Certificate fingerprint (MD5): 0B:11:02:B5:44:0D:2A:CC:7F:C5:30:5C:1A:C9:A1:6C
mykey, Thu May 19 16:57:36 PDT 2005, keyEntry,
Certificate fingerprint (MD5): 5D:B0:EC:28:14:33:26:1F:44:F5:BE:DD:A8:50:15:9D
手順1でリストされたキー・エントリごとに手順2〜4を繰り返します。
現在、バンドルされたSun HotSpot JDKとともにCAMMを実行する場合、セキュアな接続用にPKCS12タイプのキーストアおよびトラストストアでCAMMを構成することはできません。IBM JDKには、WebSphere 6.1のデフォルトのkey.p12およびtrust.p12ストアなどのPKCS12キーストアおよびトラストストアによる動作を可能にする組込みの拡張機能があります。また、WebSphere 6.1には、プロパティcom.ibm.ssl.enableSignerExchangePrompt=trueで有効化される自動機能があります。この機能により、クライアントでは、セキュアなWebSphereポートに接続して、サーバーの署名者証明書を自動的にダウンロードすることや、クライアントのトラストストアを更新することができます。ただし、この自動機能は、CAMMをIBM JDKとともに実行する場合にのみ使用できます(現在、CAMMはこの使用方法には対応していません)。このような理由から、セキュアなWebSphere 6.1に接続するには、前述の手順を使用する必要があります。
監視対象のWebLogic ServerがWindowsサービスとしてインストールされている場合、CAMMエージェントをデプロイする自動起動機能の変更を、WebLogicの起動を制御するレジストリ・エントリに手動で適用する必要があります。
変更が必要なパラメータは、次のWindowsレジストリ・キーにあります。
HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\$ServiceName\Parameters
次に、CAMMマネージャの次のファイルを確認します。
deploy/agent/bea/bin/agentoptions.bat(WebLogic 8.1.xの場合) deploy/agent/bea9/bin/agentoptions.bat(WebLogic 9.x以上の場合)
このファイルを調査して、レジストリのパラメータに基づく実行の最終結果を判断します。
%EXT_POST_CLASSPATH%変数で指定されているbeaaj.jarは、サーバーのクラスパスに配置する必要があります。
