目次索引     

Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド > Oracle Business Intelligenceにおけるセキュアな通信の有効化 >

Oracle Business IntelligenceのSSL通信用の構成

SSL関連のパラメータを設定することにより、SSLを介して通信するようにOracle BIコンポーネントを構成できます。

表10は、SSL通信用にBIコンポーネントを構成する際に使用されるパラメータの説明と値の例を示します。

表10 Oracle BIコンポーネントで使用するSSLパラメータ
パラメータ
説明

Certificate File

証明書ファイルです。BI ServerやBI SchedulerなどSSLサーバーとして機能するコンポーネントの場合、これがサーバー証明書のファイル名になります。たとえば、server-cert.pemなどです。BI ODBCクライアント・データソースなどのクライアント・コンポーネントの場合、これがクライアント証明書のファイル名になります。たとえば、client-cert.pemなどです。

Private Key File

秘密鍵ファイルです。サーバー・コンポーネントでは、これがサーバー秘密鍵ファイルの名前になります。たとえば、server-key.pemなどです。クライアント・コンポーネントでは、これがクライアント秘密鍵ファイルの名前になります。たとえば、client-key.pemなどです。

Passphrase FileまたはPassphrase Program

秘密鍵の復号化に必要なパスフレーズの取得に使用します。パスフレーズを含むファイルまたはパスフレーズを出力するプログラムのいずれかを指定します。

CA Certificate FileまたはCA Certificate Directory

これら2つのパラメータは、CA証明書ファイルを参照します。Verify PeerがTrueに設定されている場合、このCAを使用してサーバーまたはクライアント証明書を検証します。CA Certificate FileまたはCA Certificate Directoryのいずれかのパラメータを設定します。CA Certificate Fileパラメータでは、信頼できるCA証明書の名前とパスを指定します。CA Certificate Directoryには、信頼できるCAのハッシュ・バージョンを含めます。

Verify Peer

Trueに設定すると、BIコンポーネントは、接続している他のコンポーネントが有効な証明書を持っているかどうかを検証します(つまり、相互認証が行われます)。値をFalseに設定すると、任意のピアとの接続が許可されます。

Certificate Verification Depth

証明連鎖の深さです。深さが1の場合は、信頼できるいずれかのCAによって証明書が署名される必要があることを示します。深さが2の場合は、別のCAによって認証されたCAによって証明書が署名されていることを示します。

Trusted Peer Distinguished Names

接続が許可される、識別名(DN)によって名前の付けられた個々のクライアントの指定に使用します。DNは、証明書の公開鍵に一致する秘密鍵を持つエンティティを識別します。

Cipher Status

許可される暗号スイートのリスト。OpenSSLのドキュメントを参照してください。たとえば、SSL_CIPHER_LIST="EXP-DES-56-SHA"などです。

最小のセキュリティ・シナリオとほぼ最大のセキュリティ・シナリオ

次の2つの構成シナリオが定義されています。

  • 最小のセキュリティ・シナリオ。

    Oracle BI ServerまたはOracle BI Cluster Controllerなどのサーバー・コンポーネントにおける最小のセキュリティ・シナリオでは、次の条件が満たされます。

    • SSLを有効化するパラメータがTrueに設定されます。
    • Certificate Fileパラメータ、Private Key Fileパラメータ、およびPassphrase FileまたはPassphrase Programのいずれかのパラメータも設定されます。証明書ファイル、秘密鍵ファイルおよびパスフレーズ・ファイル(またはプログラム)はマシン上におかれます。

      BI ODBCクライアントなどのクライアント・コンポーネントにおける最小のセキュリティ・シナリオでは、SSLを有効化するパラメータがTrueに設定されます。

  • ほぼ最大のセキュリティ・シナリオ。

    サーバー・コンポーネントにおけるほぼ最大のセキュリティ・シナリオでは、最小セキュリティ・シナリオの設定に加えて、次の条件が満たされます。

    • CA Certificate FileパラメータまたはCAのハッシュ・バージョンを含むディレクトリを指定するパラメータが設定されます。
    • Verify PeerがTrueに設定され、Trusted Peer Distinguished Namesが指定されます。
    • Certificate Verification Depthに1が指定されます。CAもマシン上におかれます。

      クライアント・コンポーネントにおけるほぼ最大のセキュリティ・シナリオの条件は次のとおりです。

    • SSLパラメータがTrueに設定されます。
    • クライアントのCertificate Fileパラメータ、Private Key FileパラメータおよびPassphrase Fileパラメータが設定されます
    • CA Certificate FileパラメータまたはCAのハッシュ・バージョンを含むディレクトリを指定するパラメータが設定されます。
    • Verify PeerがTrueに設定されます。
    • Trusted Peer Distinguished Namesが指定されます。
    • Certificate Verification Depthに1が指定されます。
    • 証明書ファイル、秘密鍵ファイル、パスフレーズ・ファイルおよびCAはマシン上におかれます。

注意: BIコンポーネントのSSL通信を有効化する前に、デプロイしたOracle BIの機能を構成し、すべてのOracle BIコンポーネント(Oracle BI Reporting and Publishing機能を使用する場合はBI Publisherを含む)が正しく動作および機能することを確認することを強くお薦めします。その後、実装するセキュリティ・シナリオ(最小または最大)を判断します。

この構成作業は、各BIコンポーネントの単一のインスタンスを構成するためのものです。BIコンポーネントのインスタンスが複数デプロイされている場合は、各コンポーネントのすべてのインスタンスに対して構成作業を実行します。または、BIコンポーネントのインスタンスを1つ構成し、その構成ファイル、証明書、鍵およびストアを別のインスタンスに適切にコピーして、必要に応じて、構成ファイルにマシン固有の変更を加えることもできます。

注意: 構成を実行する前に、BIサービスおよびプロセスをすべてシャットダウンします。構成が完了したら、サービスとプロセスを再起動して変更を適用します。

  
Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド Copyright © 2006, Oracle. All rights reserved.