Administration Console オンライン ヘルプ

サーバ : コンフィグレーション : SSL

コンフィグレーション オプション     詳細なコンフィグレーション オプション     関連タスク     関連トピック

このページでは、このサーバ インスタンスのさまざまなセキュア ソケット レイヤ (SSL) 設定の表示および定義を行います。これらの設定は、メッセージ送信のセキュリティ管理に 役立ちます。

下位互換性のため、WebLogic Server ではプライベート キーおよび 信頼性のある認証局をファイルにも WebLogic キーストア プロバイダにも 格納できます。ID および信頼に対してこれらのメカニズムのいずれかを使用 する場合は、[ファイルまたはキーストア プロバイダ (非推奨)] オプションを 選択します。

注意 : WebLogic キーストア プロバイダの使用時には、デジタル証明書が ファイルに格納されます。

コンフィグレーション オプション

名前	説明
ID と信頼の場所	SSL が、サーバの ID (証明書およびプライベート キー) とサーバの信頼 (信頼性のある CA) を検出する場所を示します。 KEYSTORES に設定すると、SSL は (サーバ上でコンフィグレーションされている) サーバのキーストアから ID と信頼を取得します。 FILES_OR_KEYSTORE_PROVIDERS に設定すると、SSL はまず非推奨のキーストア プロバイダ内を検索して ID および信頼を探します。見つからなかった場合は、SSL の [信頼性のある CA のファイル名]、[サーバ証明書のファイル名]、および [プライベート キーのファイル名] 属性で示されるフラット ファイル内を探します。 WebLogic Server バージョン 8.1 以降で作成されるドメインのデフォルト値は、KEYSTORES です。WebLogic Server バージョン 8.1 より前のバージョンで作成されたドメインのデフォルト値は、FILES_OR_KEYSTORE_PROVIDERS です。 MBean 属性: SSLMBean.IdentityAndTrustLocations
プライベート キーの場所	プライベート キー ファイルの場所を定義するキーストア 属性。
プライベート キーのファイル名	サーバのプライベート キー ファイル (.der または .pem) が置かれた絶対ディレクトリ。 パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内にプライベート キーを格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。デプロイメントをよりセキュアにするために、プライベート キーをキーストアに保存することをお勧めします。 ファイルの拡張子 (.der または .pem) は、ファイルの読み込み方法を示します。 MBean 属性: SSLMBean.ServerKeyFileName
プライベート キーのエリアス	サーバのプライベート キーの格納および取得に使用する文字列エリアスを 定義するキーストア属性。 MBean 属性: SSLMBean.ServerPrivateKeyAlias
プライベート キーのパスフレーズ	サーバのプライベート キーの取得に使用するパスフレーズを定義するキーストア属性。 MBean 属性: SSLMBean.ServerPrivateKeyPassPhrase 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
証明書の場所	信頼性のある証明書の場所を定義するキーストア 属性。
サーバ証明書のファイル名	サーバのデジタル証明書ファイル (.der または .pem) が置かれた絶対ディレクトリ。 パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内にデジタル証明書を格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。 WebLogic Server では、ファイルの拡張子 (.der または .pem) によってファイルの内容の読み込み方法を判別します。 MBean 属性: SSLMBean.ServerCertificateFileName
信頼性のある認証局	認証局の場所を定義するキーストア 属性。 MBean 属性: ServerMBean.CustomTrustKeyStoreFileName
信頼性のある CA のファイル名	サーバによって信頼される認証局を指定するファイルが置かれた絶対ディレクトリ。 パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内に信頼性のある認証局を格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。 この属性で指定するファイルには、単一のデジタル証明書を含めることも、複数のデジタル証明書を含めることもできます。WebLogic Server では、ファイルの拡張子 (.der または .pem) によってファイルの内容の読み込み方法を判別します。 MBean 属性: SSLMBean.TrustedCAFileName

詳細なコンフィグレーション オプション

名前	説明
ホスト名の検証	(このサーバが別のアプリケーション サーバへのクライアントとして動作している場合に) インストール済みの weblogic.security.SSL.HostnameVerifier インタフェースの実装を無視するかどうかを指定します。 MBean 属性: SSLMBean.HostnameVerificationIgnored 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
カスタム ホスト名の検証	weblogic.security.SSL.HostnameVerifier インタフェースを実装するクラスの名前。 このクラスは、URL からのホスト名を持つホストへの接続を許可するかどうかを確認します。このクラスは、介在者の攻撃を防ぐために使用します。weblogic.security.SSL.HostnameVerifier は、WebLogic Server が SSL ハンドシェーク時にクライアントに対して呼び出す verify() メソッドを持っています。 MBean 属性: SSLMBean.HostnameVerifier セキュアな値: weblogic.security.SSL.HostnameVerifier 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
エクスポート キーの有効期間	WebLogic Server がドメスティック サーバとエクスポータブル クライアントとの間で、新規のキーを生成する前に、エクスポータブル キーを使用できる回数を示します。新規のキーを生成する前のキーの使用回数が少ないほど、WebLogic Server のセキュリティは向上します。 MBean 属性: SSLMBean.ExportKeyLifespan 最小値: 1 最大値: 2147483647
サーバの証明書を使用	クライアントで、HTTPS を介した接続の開始時に、クライアント ID としてサーバの証明書およびキーを使用する必要があるかどうかを指定します。 MBean 属性: SSLMBean.UseServerCerts 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
相互クライアント証明書の動作	使用する SSL の形式。 デフォルトでは、一方向 SSL ([クライアント証明書を要求しない] の値によって示唆される) を使用するようにコンフィグレーションされています。[クライアント証明書を要求 (強制しない)] を選択すると、双方向 SSL が有効化されます。このオプションにより、サーバはクライアントからの証明書を要求しますが、クライアントが証明書を提示しなくても、接続は継続します。[クライアント証明書を要求 (強制する)] を選択しても双方向 SSL が有効化され、クライアントに対して証明書の提示が要求されます。ただし、証明書が提示されない場合、SSL 接続は終了します。 MBean 属性: SSLMBean.TwoWaySSLEnabled セキュアな値: true
証明書認証プロバイダ	WebLogic Server のこのリリースでは非推奨となっている、weblogic.security.acl.CertAuthenticator クラスを実装する Java クラスの名前。このフィールドは互換性セキュリティを保つためのみのものであり、レルム アダプタ認証プロバイダがコンフィグレーションされている場合にのみ使用されます。 weblogic.security.acl.CertAuthenticator クラスは、クライアントのデジタル証明書を WebLogic Server ユーザにマップします。このクラスには、WebLogic Server がクライアントによって提示されたデジタル証明書を検証した後で呼び出す authenticate() メソッドがあります。 MBean 属性: SSLMBean.CertAuthenticator セキュアな値: weblogic.security.acl.CertAuthenticator 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
SSL 拒否ロギングを有効化	SSL 接続が拒否された場合に、警告メッセージをサーバ ログに記録するかどうかを示します。 MBean 属性: SSLMBean.SSLRejectionLoggingEnabled
非暗号化 Null 暗号を許可	AllowUnEncryptedNullCipher が有効かどうかをテストします NullCipher 機能については、setAllowUnencryptedNullCipher(boolean enable) を参照してください。 MBean 属性: SSLMBean.AllowUnencryptedNullCipher 変更は、モジュールの再デプロイ後またはサーバの再起動後に有効になります。
着信証明書の検証	着信 SSL のクライアント証明書の検証ルールを示します。 この属性は、2 方向 SSL を使用するポートおよびネットワーク チャネルにのみ適用されます。 MBean 属性: SSLMBean.InboundCertificateValidation
発信証明書の検証	発信 SSL のサーバ証明書の検証ルールを示します。 この属性は、常に WebLogic Server (すなわち、ノード マネージャと通信している管理サーバ) の一部である発信 SSL に適用されます。発信 SSL を使用しているサーバのアプリケーション コードには適用されません。ただし、アプリケーション コードが、発信 SSL 検証を使うようコンフィグレーションされている weblogic.security.SSL.ServerTrustManager を使用している場合は、この限りではありません。 MBean 属性: SSLMBean.OutboundCertificateValidation

関連タスク

• ID および信頼のコンフィグレーション
• SSL の設定
• ホスト名検証の有効化の確認
• カスタム ホスト名検証のコンフィグレーション
• 双方向 SSL のコンフィグレーション

関連トピック

• Oracle WebLogic Server のセキュリティについて
• ID と信頼のコンフィグレーション
• SSL のコンフィグレーション