SSLツールは、Oracle Service Registryのクライアント側にSSLを設定するのに役立ちます。一般的な使用方法は、次のとおりです。
sslTool [command [options]]
SSLツールのコマンドは、次のとおりです。
serverInfo: SSLサーバーのセキュリティ要件を出力し、ファイルにサーバー証明書を保存します。
encrypt: プレーン・テキストで提供されるパスワードを、暗号化された形式で出力します。 暗号化されたパスワードは、Oracle Service Registryの構成ファイルで使用されます。
pstoreEI: JavaキーストアをOracle Service Registryの保護されているストアにエクスポートしたり、このストアにインポートします。 キーストアとして、PKCS12とJKSの両方がサポートされています。 指定したキーストアのタイプは、インポート時に自動的に検出されます。
コマンドの後に--helpオプションを続けてSSLツールを実行すると、そのコマンドについての詳細な説明が出力されます。 最も一般的な使用方法については、「SSLツールの例」を参照してください。
SSLサーバーのセキュリティ要件を出力するには、次の手順を実行します。
sslTool serverInfo --url https://localhost:8443
SSLサーバーのセキュリティ要件を出力してサーバーの証明書を保存するには、次の手順を実行します。
sslTool serverInfo --url https://localhost:8443 --certFile /tmp/sever.cer
Oracle Service Registry構成ファイルに使用する暗号化されたパスワードを出力するには、次の手順を実行します。
sslTool encrypt --password changeit
JavaキーストアからOracle Service Registryのクライアントの保護されているストアにキー・エントリをインポートするには、次の手順を実行します。
sslTool pstoreEI -i --keystore /tmp/java.keystore
--storepass changeit --alias mykey --keypass changeit
--pstore ../conf/clientconf.xml
--pstoreAlias registryclient --pstoreKeypass changeit2
Oracle Service Registryの保護されているストアからJavaキーストアにキー・エントリをエクスポートするには、次の手順を実行します。
sslTool pstoreEI -e --keystore /tmp/java.keystore2
--storepass changeit --alias mykey --keypass changeit
--pstore ../conf/clientconf.xml
--pstoreAlias registryclient --pstoreKeypass changeit2
SSLクライアントIDをレジストリ・クライアントに関連付ける方法については、「クライアント例」を参照してください。 この場合は、レジストリのクライアントの保護されているストア(レジストリのインストール・ディレクトリにあるconf/clientconf.xmlファイル)にキー・エントリをインポートして、クライアント・アプリケーションを実行するスクリプトにいくつかのシステム・プロパティを追加する必要があります。
レジストリが他のレジストリに対するクライアントとして機能する場合もあります。 次の場合があります。
クラスタリングされたOracle Service Registryでのノード間の通信
Oracle Service RegistryサーバーへのSSLクライアントIDの関連付けは、レジストリのインストール・ディレクトリにあるapp/uddi/conf/security.xmlファイル(またはデプロイされるレジストリ用にデプロイされるパッケージ)に、destinationConfig要素を追加して行うことができます。 例1に、destinationConfig要素の例を使用したsecurity.xmlの一部を示します。
例1 レジストリ・サーバーへのクライアントIDの関連付け
<?xml version="1.0" encoding="UTF-8"?>
<config name="security" savingPeriod="5000">
...
<security>
...
</security>
<!-- For communication with other nodes in the cluster -->
<destinationConfig>
<alias>clusterClient</alias>
<password_coded>gNFDFWMNdkU=</password_coded>
<destination proxyName="com.systinet.uddi.configurator.cluster.ConfiguratorManagerStub"/>
<destination proxyName="com.systinet.uddi.configurator.cluster.ConfiguratorListenerStub"/>
</destinationConfig>
<!-- For communication via registry client to services accessible
at URLs that start with https://pc1.example.com or https://pc2.example.com -->
<destinationConfig>
<alias>otherClient</alias>
<password_coded>Vr+i+UzC2WLJXWg0ih6J+Q==</password_coded>
<destination url="https://pc1.example.com/*"/>
<destination url="https://pc2.example.com/*"/>
</destinationConfig>
</config>
前述のdestinationConfig要素は一例です。 destinationConfig要素は、宛先のセットに特定のSSLクライアントIDを関連付けるために使用します。この要素には、次の要素が含まれています。
サーバーの保護されているストアのエイリアス。 サーバーの保護されているストアには、エイリアスと同じ名前のキー・エントリが存在する必要があります。 このキー・エントリは、宛先サーバーにSSLを確立するために使用されるセキュリティ要素に相当します。 Oracle Service Registryのサーバーの保護されているストアは、レジストリのデプロイメント・パッケージのconf/pstore.xmlファイルにあります。 Javaキーストアからキー・エントリをインポートするには、SSLツールの例に示すようにこのファイルを使用します。
password_coded要素。ここには指定したエイリアスで格納された秘密鍵へのアクセスに使用する暗号化されたパスワードが含まれています。 プレーン・テキストで指定したパスワードを暗号化された形式で出力する例については、SSLツールの例を参照してください。
1つ以上のdestination要素。それぞれによって、ルールが指定されます。 ルールには、urlまたはproxyName属性を含めることができます。 ルールが一致するのは、クライアントが、proxyName属性に指定したプロキシ・クラスを使用する場合またはurl属性に指定したURLに接続する場合です。 urlの値の末尾にワイルド・カード*を指定すると、そのワイルド・カードの前に指定した文字列で始まるすべてのURLを一致させるように指定できます。 1つ以上のルールが一致すれば、destinationConfig要素全体の一致とみなされます。
最初に一致したdestinationConfigが使用されます。