サーバ : コンフィグレーション : SSL
コンフィグレーション オプション 詳細なコンフィグレーション オプション 関連タスク 関連トピック
このページでは、このサーバ インスタンスのさまざまなセキュア ソケット レイヤ (SSL) 設定の表示および定義を行います。これらの設定は、メッセージ送信のセキュリティ管理に 役立ちます。
下位互換性のため、WebLogic Server ではプライベート キーおよび 信頼性のある認証局をファイルにも WebLogic キーストア プロバイダにも 格納できます。ID および信頼に対してこれらのメカニズムのいずれかを使用 する場合は、[ファイルまたはキーストア プロバイダ (非推奨)] オプションを 選択します。
注意 : WebLogic キーストア プロバイダの使用時には、デジタル証明書が ファイルに格納されます。
コンフィグレーション オプション
名前 説明 ID と信頼の場所 SSL が、サーバの ID (証明書およびプライベート キー) とサーバの信頼 (信頼性のある CA) を検出する場所を示します。
KEYSTORES
に設定すると、SSL は (サーバ上でコンフィグレーションされている) サーバのキーストアから ID と信頼を取得します。
FILES_OR_KEYSTORE_PROVIDERS
に設定すると、SSL はまず非推奨のキーストア プロバイダ内を検索して ID および信頼を探します。見つからなかった場合は、SSL の [信頼性のある CA のファイル名]、[サーバ証明書のファイル名]、および [プライベート キーのファイル名] 属性で示されるフラット ファイル内を探します。WebLogic Server バージョン 8.1 以降で作成されるドメインのデフォルト値は、
KEYSTORES
です。WebLogic Server バージョン 8.1 より前のバージョンで作成されたドメインのデフォルト値は、FILES_OR_KEYSTORE_PROVIDERS
です。MBean 属性:
SSLMBean.IdentityAndTrustLocations
プライベート キーの場所 プライベート キー ファイルの場所を定義するキーストア 属性。
プライベート キーのファイル名 サーバのプライベート キー ファイル (.der または .pem) が置かれた絶対ディレクトリ。
パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内にプライベート キーを格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。デプロイメントをよりセキュアにするために、プライベート キーをキーストアに保存することをお勧めします。
ファイルの拡張子 (.der または .pem) は、ファイルの読み込み方法を示します。
MBean 属性:
SSLMBean.ServerKeyFileName
プライベート キーのエリアス サーバのプライベート キーの格納および取得に使用する文字列エリアスを 定義するキーストア属性。
MBean 属性:
SSLMBean.ServerPrivateKeyAlias
プライベート キーのパスフレーズ サーバのプライベート キーの取得に使用するパスフレーズを定義するキーストア属性。
MBean 属性:
SSLMBean.ServerPrivateKeyPassPhrase
証明書の場所 信頼性のある証明書の場所を定義するキーストア 属性。
サーバ証明書のファイル名 サーバのデジタル証明書ファイル (.der または .pem) が置かれた絶対ディレクトリ。
パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内にデジタル証明書を格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。
WebLogic Server では、ファイルの拡張子 (.der または .pem) によってファイルの内容の読み込み方法を判別します。
MBean 属性:
SSLMBean.ServerCertificateFileName
信頼性のある認証局 認証局の場所を定義するキーストア 属性。
MBean 属性:
ServerMBean.CustomTrustKeyStoreFileName
信頼性のある CA のファイル名 サーバによって信頼される認証局を指定するファイルが置かれた絶対ディレクトリ。
パス名は、絶対パスまたはサーバの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内に信頼性のある認証局を格納するセキュリティ コンフィグレーションとの下位互換性のために提供されています。
この属性で指定するファイルには、単一のデジタル証明書を含めることも、複数のデジタル証明書を含めることもできます。WebLogic Server では、ファイルの拡張子 (.der または .pem) によってファイルの内容の読み込み方法を判別します。
MBean 属性:
SSLMBean.TrustedCAFileName
詳細なコンフィグレーション オプション
名前 説明 ホスト名の検証 (このサーバが別のアプリケーション サーバへのクライアントとして動作している場合に) インストール済みの weblogic.security.SSL.HostnameVerifier インタフェースの実装を無視するかどうかを指定します。
MBean 属性:
SSLMBean.HostnameVerificationIgnored
カスタム ホスト名の検証 weblogic.security.SSL.HostnameVerifier インタフェースを実装するクラスの名前。
このクラスは、URL からのホスト名を持つホストへの接続を許可するかどうかを確認します。このクラスは、介在者の攻撃を防ぐために使用します。weblogic.security.SSL.HostnameVerifier は、WebLogic Server が SSL ハンドシェーク時にクライアントに対して呼び出す verify() メソッドを持っています。
MBean 属性:
SSLMBean.HostnameVerifier
セキュアな値:
weblogic.security.SSL.HostnameVerifier
エクスポート キーの有効期間 WebLogic Server がドメスティック サーバとエクスポータブル クライアントとの間で、新規のキーを生成する前に、エクスポータブル キーを使用できる回数を示します。新規のキーを生成する前のキーの使用回数が少ないほど、WebLogic Server のセキュリティは向上します。
MBean 属性:
SSLMBean.ExportKeyLifespan
最小値:
1
最大値:
2147483647
サーバの証明書を使用 クライアントで、HTTPS を介した接続の開始時に、クライアント ID としてサーバの証明書およびキーを使用する必要があるかどうかを指定します。
MBean 属性:
SSLMBean.UseServerCerts
相互クライアント証明書の動作 使用する SSL の形式。
デフォルトでは、一方向 SSL ([クライアント証明書を要求しない] の値によって示唆される) を使用するようにコンフィグレーションされています。[クライアント証明書を要求 (強制しない)] を選択すると、双方向 SSL が有効化されます。このオプションにより、サーバはクライアントからの証明書を要求しますが、クライアントが証明書を提示しなくても、接続は継続します。[クライアント証明書を要求 (強制する)] を選択しても双方向 SSL が有効化され、クライアントに対して証明書の提示が要求されます。ただし、証明書が提示されない場合、SSL 接続は終了します。
MBean 属性:
SSLMBean.TwoWaySSLEnabled
セキュアな値:
true
証明書認証プロバイダ WebLogic Server のこのリリースでは非推奨となっている、weblogic.security.acl.CertAuthenticator クラスを実装する Java クラスの名前。このフィールドは互換性セキュリティを保つためのみのものであり、レルム アダプタ認証プロバイダがコンフィグレーションされている場合にのみ使用されます。
weblogic.security.acl.CertAuthenticator クラスは、クライアントのデジタル証明書を WebLogic Server ユーザにマップします。このクラスには、WebLogic Server がクライアントによって提示されたデジタル証明書を検証した後で呼び出す authenticate() メソッドがあります。
MBean 属性:
SSLMBean.CertAuthenticator
セキュアな値:
weblogic.security.acl.CertAuthenticator
SSL 拒否ロギングを有効化 SSL 接続が拒否された場合に、警告メッセージをサーバ ログに記録するかどうかを示します。
MBean 属性:
SSLMBean.SSLRejectionLoggingEnabled
非暗号化 Null 暗号を許可 AllowUnEncryptedNullCipher が有効かどうかをテストします
NullCipher 機能については、
setAllowUnencryptedNullCipher(boolean enable)
を参照してください。MBean 属性:
SSLMBean.AllowUnencryptedNullCipher
着信証明書の検証 着信 SSL のクライアント証明書の検証ルールを示します。
この属性は、2 方向 SSL を使用するポートおよびネットワーク チャネルにのみ適用されます。
MBean 属性:
SSLMBean.InboundCertificateValidation
発信証明書の検証 発信 SSL のサーバ証明書の検証ルールを示します。
この属性は、常に WebLogic Server (すなわち、ノード マネージャと通信している管理サーバ) の一部である発信 SSL に適用されます。発信 SSL を使用しているサーバのアプリケーション コードには適用されません。ただし、アプリケーション コードが、発信 SSL 検証を使うようコンフィグレーションされている
weblogic.security.SSL.ServerTrustManager
を使用している場合は、この限りではありません。MBean 属性:
SSLMBean.OutboundCertificateValidation