Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド > Oracle Business Intelligenceにおけるセキュアな通信の有効化 > Oracle Business IntelligenceのSSL通信用の構成 >
Oracle BI Presentation ServicesのSSL通信用の構成
Oracle BI Presentation ServicesをSSL通信用に構成するには、instanceconfig.xml構成ファイルのパラメータを変更します。BI Presentation Servicesは、資格証明ストアから証明書と鍵ファイルにアクセスします。BI Presentation Servicesが使用する証明書と鍵のパスは、その資格証明ストアに格納する必要があります。
BI Presentation Servicesの資格証明ストアの証明書および鍵のパスの指定
BI Presentation Servicesがアクセスするすべての証明書および鍵の場所を資格証明ストアに追加します。次に示す手順では、BI Presentation Servicesのデフォルトの資格証明ストアであるXMLファイル(credentialstore.xml)に証明書と鍵を追加します。BI Presentation Servicesの資格証明ストアは、Javaキーストアまたはカスタム・ストアとして定義することもできます。BI Presentation Servicesの資格証明ストアおよびサポートされるストレージ・システムの詳細は、「Oracle BI Presentation Servicesの資格証明ストア」を参照してください。
サーバー証明書、秘密鍵およびCA証明書のパスを資格証明ストア(credentialstore.xml)に指定するには、次の手順を実行します。credentialstore.xmlファイルのデフォルトの場所を次に示します。
- Windowsの場合: OracleBIData_HOME\web\config
- LinuxまたはUNIXの場合: OracleBIData_HOME/web/config
BI Presentation Servicesの資格証明ストアの証明書および鍵のパスを指定するには
- credentialstore.xmlファイルを開いて編集します。
- 次のような行を追加して、サーバー証明書および秘密鍵ファイルのパスを指定します。
<sawcs:credential type="x509" alias="sawclient"> <sawcs:key encoding="pem" passphraseFile="OracleBI_HOME\ssl\serverpwd.txt" path="OracleBI_HOME\ssl\server-key.pem"/> <sawcs:certificate encoding="pem" path="OracleBI_HOME\ssl\server-cert.pem"/> </sawcs:credential>
注意: 前述の例では、証明書および鍵のパスは別名sawclientの下に格納されます。別名の値を指定することもできます。
- CA証明書ファイルまたは信頼できるCAのディレクトリを指定します。
- CA証明書ファイルを使用する場合は、次の例のような行を追加します。
<sawcs:trustedCertificate alias="cacert" encoding="pem" path="OracleBI_HOME\ssl\cacert.pem"/>
- 信頼できるCA証明書ファイルのパスは、別名cacertの下に格納されます。
- CA証明書のハッシュ・バージョンを使用する場合は、次のような行を追加して、信頼できるCAディレクトリのパスを指定します。
<sawcs:trustedCertificateDir path="OracleBI_HOME\ssl\CA"/>
この例では、信頼できるCAはOracleBI_HOME\sslのCAというディレクトリにあります。
- サーバー証明書、秘密鍵、パスフレーズ・ファイルおよびCA証明書またはファイルのハッシュ・バージョンを、このXMLファイルで指定している場所にコピーします。
BI Presentation ServicesのSSL通信用の構成
instanceconfig.xmlファイルは、OracleBIData_HOME\web\configディレクトリにあります。LinuxまたはUNIXでは、このファイルはOracleBIData_HOME/web/configディレクトリにあります。
Oracle BI Presentation ServicesをSSL通信用に構成するには
- instanceconfig.xmlファイルを開いて編集します。
- 既存の<ScheduleServer>ノードを変更します。
<Alerts> <ScheduleServer ssl="true" credentialAlias="sawclient" certificateVerificationDepth="1" verifyPeers="true"><BI Scheduler Host></ScheduleServer> </Alerts>
- <ServerInstance></ServerInstance>ノード間に次の要素を追加します。
<Listener ssl="true" credentialAlias="sawclient" certificateVerificationDepth="1" verifyPeers="true"> </Listener> <JavaHostProxy> <Hosts> <Host address="<BI Javahost Host>" port="9810" ssl="true" credentialAlias="sawclient" certificateVerificationDepth="1" verifyPeers="true"/> </Hosts> </JavaHostProxy>
- サーバー証明書、秘密鍵およびCAのパスを格納する資格証明ストアを指定します。
<CredentialStore> <CredentialStorage type="file" path="<OracleBIData_HOME\web\config\credentialstore.xml"/> </CredentialStore>
前述の構成例では、BI Presentation Servicesは、別名sawclientを使用して証明書と鍵を取得するように指示されています。証明書と鍵が格納されている、資格証明ストアにおける別名を指定する必要があります。この例では、証明書、秘密鍵およびCAを含むキーストアは、credentialstore.xmlというXMLファイルです。
オンラインのCatalog Manager
オンラインのCatalog Managerでは、Oracle BIのHTTP WebサーバーでSSLが有効化されていると、BI Presentation Servicesへの接続に失敗することがあります。Webサーバーから、SSLサーバー証明書またはCA証明書を、システム変数JAVA_HOMEで指定されたJVMのJavaキーストアにインポートする必要があります。
エクスポートしたWebサーバー証明書をJavaのデフォルトのトラストストアにインポートするには
- JAVA_HOME/jre/lib/securityにあるJavaのデフォルトのトラストストアにナビゲートします。デフォルトのトラストストアはcacertsです。
- Javaのデフォルトのトラストストアと同じ場所に、Webサーバーからエクスポートした証明書をコピーします。
- 次のコマンドを実行して、デフォルトのトラストストアに証明書をインポートします。
keytool -import -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS
注意: Javaトラストストアのデフォルトのパスワードはchangeitです。
Webサーバーの証明書ファイル$WebserverCertFilenameが、別名bicertの下にあるcacertsというJavaのデフォルトのトラストストアにインポートされます。
- Javaプロセスを再起動します。
|