7 Webサーバー・プラグインのパラメータ

次の項では、ApacheおよびMicrosoft IISのWebサーバー・プラグインを構成するために使用するパラメータを説明します。

• Webサーバー・プラグインの構成ファイルでのパラメータの入力

• Webサーバー・プラグインの一般的なパラメータ

• Webサーバー・プラグインのSSLパラメータ

Webサーバー・プラグインの構成ファイルでのパラメータの入力

各Webサーバー・プラグインのパラメータは、専用の構成ファイルに入力します。この構成ファイルは各Webサーバーで別々の名前を持ち、ファイルの形式にはそれぞれの規則があります。詳細は、各プラグインの次の項を参照してください。

• 第3章「Apache HTTP Serverプラグインのインストールと構成」

• 第4章「Microsoft IISプラグインのインストールと構成」

Webサーバー・プラグインの一般的なパラメータ

Webサーバー・プラグインの一般的なパラメータを表7-1に示します。パラメータでは大文字/小文字が区別されます。

表7-1 Webサーバー・プラグインの一般的なパラメータ

パラメータ名	デフォルト	説明	適用対象
WebLogicHost(単一の WebLogic Serverにプロキシする場合は必須。)	なし	HTTPリクエストを転送する必要があるWebLogic Serverホスト(またはWebLogic Serverで定義されたものと同じ仮想ホスト名)を示します。WebLogicクラスタを使用している場合、WebLogicHostのかわりにWebLogicClusterパラメータを使用します。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
WebLogicPort (単一のWebLogic Serverにプロキシする場合は必須。)	なし	プラグイン(または他のサーバー)からの接続リクエストをWebLogic Serverホストがリスニングするポート。(プラグインおよびWebLogic Serverの間にSSLを使用している場合、このパラメータにSSLのリスニング・ポートを設定し(「SSLの構成」を参照)、SecureProxyパラメータをONに設定します。) WebLogic Clusterを使用している場合は、WebLogicPortのかわりにWebLogicClusterパラメータを使用します。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
WebLogicCluster (WebLogic Serverのクラスタまたは複数の非クラスタ・サーバーにプロキシする場合は必須。)	なし	クラスタリングされたバックエンド・サーバーのリストにプロキシするため、またはクラスタリングされていない管理対象サーバー・インスタンスのロード・バランシングを実行するため、WebLogicClusterパラメータが必要です。 ロード・バランシングに使用できるWebLogic Serverの一覧。サーバーまたはクラスタのリストは、「ホスト:ポート」という形式のエントリのリストです。クラスタと単一のサーバーの混在が指定されている場合、このパラメータに対して戻される動的リストは、クラスタリングされたサーバーのみを戻します。 パラメータの指定方法と必要な形式はプラグインによって異なります。次に含まれる例を参照してください。 第4章「Microsoft IISプラグインのインストールと構成」 第3章「Apache HTTP Serverプラグインのインストールと構成」 プラグインとWebLogic Serverの間にSSLを使用している場合は、ポート番号をSSLリスニング・ポートに設定して(「SSLの構成」を参照)、SecureProxyパラメータをONに設定します。 プラグインは、使用可能なサーバー間で単純なラウンド・ロビンを行います。このプロパティで指定するサーバー・リストは、サーバーおよびプラグインが保持する動的サーバー・リストの起点です。新しく追加されたり、障害が発生したり、障害から回復したクラスタ・メンバーがあると、WebLogic Serverとプラグインは連携して自動的にサーバー・リストを更新します。 動的クラスタ・リストを無効化するには、DynamicServerListパラメータをOFFに設定します。 プラグインは、Cookie、URLエンコードされたセッション、またはPOSTデータに格納されたセッションを含むHTTPリクエストを、最初にCookieを作成したクラスタ内のサーバーに転送します。	ISAPI、ApacheとNSAPIプラグインおよびHttpClusterServlet
PathTrim	null	RFC仕様に従ったURLの一般的な構文は次のとおりです。 [PROTOCOL]://[HOSTNAME]:{PORT}/{PATH}/{FILENAME};{PATH_PARAMS}/{QUERY_STRING}... PathTrimは、リクエストがWebLogic Serverに転送される前に、元のURLの{PATH}/{FILENAME}の部分からプラグインによって取り除かれる文字列を指定します。たとえば、次のURL http://myWeb.server.com/weblogic/foo が解析のためにプラグインに渡され、URLがWebLogic Serverに渡される前にPathTrimが/weblogicを取り除くように設定されている場合、WebLogic Serverに転送されるURLは次になります。 http://myWeb.server.com:7001/foo 既存のサード・パーティ・サーバーを新しく変更し、プラグインを使用してWebLogic Serverにリクエストをプロキシする場合、/fooへのアプリケーション・パスを変更してweblogic/fooを含むようにする必要があります。PathTrimおよびPathPrependを組み合わせて使用すると、このパスを変更できます。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
PathPrepend	null	RFC仕様に従ったURLの一般的な構文は次のとおりです。 [PROTOCOL]://[HOSTNAME]:{PORT}/{PATH}/{FILENAME};{PATH_PARAMS}/{QUERY_STRING}... PathPrependには、PathTrimの値が取り除かれた後、リクエストがWebLogic Serverに転送される前に、プラグインによって元のURLの{PATH}の部分の先頭に付加されるパスを指定します。 ファイル名を追加する必要がある場合は、PathPrependではなく、DefaultFileNameプラグイン・パラメータを使用する点に注意してください。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
ConnectTimeoutSecs	10	プラグインがWebLogic Serverホストへの接続を試行する最大時間(秒)。この値はConnectRetrySecsより大きくします。接続できないまま、何回か再試行(ConnectRetrySecsの項を参照)しても成功しないままConnectTimeoutSecsの期限が切れた場合、「HTTP 503/Service Unavailable」のレスポンスがクライアントに送られます。 エラー・レスポンスはErrorPageパラメータを使用してカスタマイズできます。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServlet
ConnectRetrySecs	2	WebLogic Serverホスト(またはクラスタ内のすべてのサーバー)への接続試行の間にプラグインがスリープする間隔(秒)。この値はConnectTimeoutSecsより小さくします。「HTTP 503/Service Unavailable」のレスポンスをクライアントに戻す前にプラグインが接続を試行する回数は、ConnectTimeoutSecsをConnectRetrySecsで除算することで算出されます。 再試行しないようにするには、ConnectRetrySecsをConnectTimeoutSecsと同じ値に設定します。ただし、プラグインは最低2回接続を試みます。 エラー・レスポンスはErrorPageパラメータを使用してカスタマイズできます。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServlet
Debug	OFF	デバッグ操作用に実行されるロギングのタイプを設定します。UNIXシステムの場合、デバッグ情報は/tmp/wlproxy.logファイルに書き込まれ、Windows NT/2000システムの場合は、c:\TEMP\wlproxy.logに書き込まれます。 WLLogFileパラメータを別のディレクトリとファイルに設定して、この場所とファイル名をオーバーライドします。(この場所を変更する他の方法については、「WLTempDir」パラメータを参照してください。) サーバーにログインするユーザーに対してtmpまたはTEMPディレクトリへの書込み権限が割り当てられていることを確認してください。次のいずれかのロギング・オプションを設定します(HFC、HTW、HFWおよびHTCのオプションを組み合わせて、「HFC,HTW」のようにカンマで区切って設定することもできます)。 ON プラグインは、情報メッセージおよびエラー・メッセージを記録します。 OFF デバッグ情報のログは作成されません。 HFC プラグインは、クライアントからのヘッダー、情報メッセージおよびエラー・メッセージを記録します。 HTW プラグインは、WebLogic Serverに送信されたヘッダー、情報メッセージおよびエラー・メッセージを記録します。 HFW プラグインは、WebLogic Serverから送信されたヘッダー、情報メッセージ、およびエラー・メッセージのログを記録します。 HTC プラグインは、クライアントに送信されたヘッダー、情報メッセージおよびエラー・メッセージを記録します。 ERR プラグインのエラー・メッセージのみを出力します。 ALL プラグインは、クライアントに送信されたヘッダー、クライアントから送信されたヘッダー、WebLogic Serverに送信されたヘッダー、WebLogic Serverから送信されたヘッダー、情報メッセージおよびエラー・メッセージを記録します。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
WLLogFile	Debugパラメータを参照	DebugパラメータがONに設定されている場合に生成されるログ・ファイルのパスとファイル名を指定します。このディレクトリはこのパラメータの設定前に作成する必要があります。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
WLDNSRefreshInterval	0 (起動時に1回のみルックアップ)	NSAPIおよびApacheにのみ適用されます。 プロキシ構成で定義する場合、WebLogic ServerがサーバーのDNS名からIPへのマッピングをリフレッシュする間隔を秒単位で指定します。WebLogic Serverインスタンスを別のIPアドレスに移行する場合に使用できますが、そのサーバーのIPのDNS名は変更されません。この場合、指定した間隔でDNSとIPのマッピングが更新されます。	NSAPIおよびApacheプラグイン
WLTempDir	Debugパラメータを参照	wlproxy.logを作成するディレクトリを指定します。場所が見つからない場合、Windowsの場合はC:/tempに、Unixの場合はすべてのプラットフォームで/tmpにログ・ファイルが作成されます。 POSTデータ・ファイルの_wl_proxyディレクトリの場所も指定します。 WLTempDirおよびWLLogFileの両方を設定した場合、wlproxy.logの場所についてはWLLogFileが優先します。_wl_proxyディレクトリの場所は、依然としてWLTempDirによって決まります。	NSAPI、ISAPIおよびApacheプラグイン
DebugConfigInfo	OFF	特殊な問合せパラメータ「__WebLogicBridgeConfig」を有効にします。このパラメータは、プラグインから構成パラメータに関する詳細を取得するために使用します。 たとえば、DebugConfigInfoを設定して「__WebLogicBridgeConfig」を有効にし、問合せ文字列「?__WebLogicBridgeConfig」を含むリクエストを送信すると、構成情報と実行時統計が収集され、その情報がブラウザに戻されます。この場合、プラグインはWebLogic Serverに接続しません。 このパラメータはデバッグにのみ使用するもので、出力メッセージの形式はリリースによって異なります。セキュリティのため、本番システムではこのパラメータをOFFにしてください。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
StatPath (Microsoft Internet Information Serverプラグインでは利用できません)	false	trueに設定した場合、プラグインではリクエストをWebLogic Serverに転送する前に、リクエストの変換されたパス(Proxy-Path-Translated)の有無と権限がチェックされます。 ファイルが存在しない場合、「HTTP 404 File Not Found」のレスポンスがクライアントに戻されます。ファイルが存在しているが読み取れない場合は、「HTTP 403/Forbidden」のレスポンスがクライアントに戻されます。どちらの場合も、Webサーバーのデフォルトのメカニズムがこれらのレスポンスを処理します。このオプションは、WebLogic Server Webアプリケーションのドキュメント・ルートとWebサーバーのドキュメント・ルートが同じである場合に役立ちます。 エラー・レスポンスはErrorPageパラメータを使用してカスタマイズできます。	NSAPIおよびApacheプラグイン
ErrorPage	なし	WebサーバーがリクエストをWebLogic Serverに転送できなかった場合に表示されるユーザー独自のエラー・ページを作成できます。	ISAPI、ApacheおよびNSAPIプラグイン
WLSocketTimeoutSecs	2 (0より大きな値)	接続中のソケットのタイムアウトを秒単位で設定します。
WLIOTimeoutSecs (HungServerRecoverSecsの新しい名称)	300	WebLogic Serverからのリクエストへのレスポンスに対するプラグインの待機時間を定義します。プラグインは、サーバーがレスポンスするまでWLIOTimeoutSecsで指定した秒数だけ待機してから、サーバーのレスポンスなしを宣言して、次のサーバーにフェイルオーバーします。この値は、大きな値にしておく必要があります。サーブレットの処理時間より短くした場合は、予期しない結果が発生する場合があります。 最小値: 10 最大値: 制限なし	NSAPI、ISAPIおよびApacheプラグイン
Idempotent	ON	「ON」に設定されている状態で、サーバーが「WLIOTimeoutSecs」(HungServerRecoverSecsの新しい名称)の時間内に応答しない場合、プラグインはフェイルオーバーします。 Idempotentを「ON」に設定している場合も、プラグインはフェイルオーバーされ、サーバーがREAD_ERROR_FROM_SERVERなどのエラーを戻します。 「OFF」に設定した場合、プラグインはフェイルオーバーしません。Apache HTTP Serverを使用している場合は、複数のURLまたはMIMEタイプに対してこのパラメータを別々に設定できます。	ISAPI,、ApacheとNSAPIプラグインおよびHttpClusterServlet
WLCookieName CookieNameパラメータは非推奨	JSESSIONID	WebLogic Server WebアプリケーションのWebLogic ServerセッションCookie名を変更する場合、プラグインの「WLCookieName」パラメータを同じ値に変更する必要があります。WebLogicセッションCookie名は、WebLogic固有のデプロイメント記述子の<session-descriptor>要素で設定されます。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
DefaultFileName	なし	URIが「/」の場合、プラグインは次の手順を実行します。 PathTrimパラメータで指定されたパスを取り除きます。 DefaultFileNameの値を末尾に付加します。 PathPrependで指定された値を先頭に付加します。 これによって、WebLogic Serverからリダイレクトされなくなります。 「DefaultFileName」は、リクエストがプロキシされるWebLogic ServerのWebアプリケーションのデフォルト・ウェルカム・ページに設定します。たとえば、DefaultFileNameをwelcome.htmlに設定した場合、HTTPリクエストが「http://somehost/weblogic」であれば、「http://somehost/weblogic/welcome.html」になります。このパラメータが機能するためには、リクエストが転送されるすべてのWebアプリケーションで同じウェルカム・ファイルを指定する必要があります。詳細は、「ウェルカム・ページの構成」を参照してください。 Apacheユーザーのための注意: StrongholdバージョンまたはRavenバージョンを使用する場合は、IfModuleブロックではなくLocationブロックでこのパラメータを定義します。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
MaxPostSize	-1	POSTデータの最大許容サイズ(バイト単位)。コンテキスト長がMaxPostSizeを超えた場合、プラグインによってエラー・メッセージが戻されます。-1に設定した場合、POSTデータのサイズはチェックされません。これは、POSTデータを使用してサーバーを過負荷状態にしようとするサービス拒否攻撃を防ぐために役立ちます。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
MatchExpression (Apache HTTP Serverのみ)	なし	MIMEタイプによるプロキシを行う場合、MatchExpressionパラメータを使用してIfModuleブロック内にファイル名のパターンを設定します。 MIMEタイプによるプロキシの場合の例: <IfModule weblogic_module> MatchExpression *.jsp WebLogicHost=myHost|paramName=value </IfModule> パスによるプロキシの場合の例: <IfModule weblogic_module> MatchExpression /weblogic WebLogicHost=myHost|paramName=value </IfModule> 次の構文を使用して、MatchExpressionの新しいパラメータを定義することもできます。 MatchExpression *.jsp PathPrepend=/test PathTrim=/foo	Apacheプラグイン
FileCaching	ON	ONに設定すると、リクエストのPOSTデータのサイズが2048バイトより大きい場合、POSTデータはまずディスク上の一時ファイルに読み込まれ、次に8192バイトのチャンク単位でWebLogic Serverに転送されます。これにより、フェイルオーバーの間もPOSTデータが保持され、プライマリがダウンしても、必要なすべてのデータをセカンダリにコピーすることができます。 FileCachingがONになっていると、データがWebServerとWebLogicの間でまだ転送中であっても、POSTの進行状況を追跡するクライアントは転送が完了したものと認識することに注意してください。したがって、アップロード時にブラウザに進行状況バーを表示して、WebLogic Serverで実際にデータが使用可能になったタイミングを示す場合は、FileCachingをONにしないことも検討する必要があります。 OFFに設定すると、リクエストのPOSTデータのサイズが2048バイトより大きい場合、リクエストを処理するWebLogic Serverクラスタ・メンバーが特定されるまでPOSTデータの読込みが延期されます。その後、プラグインがPOSTデータを読み込み、ただちに8192バイトのチャンク単位でWebLogic Serverに送信します。 FileCachingをOFFにするとフェイルオーバーが制限されることに注意してください。リクエストの処理中にWebLogic Serverプライマリ・サーバーがダウンした場合、すでにプライマリに送信されたPOSTデータはセカンダリに複写できません。 なお、POSTデータのサイズが2048バイト以下の場合は、FileCachingの設定に関係なくプラグインがデータをメモリーに読み込み、フェイルオーバー時にセカンダリへの複写が必要であればこれを使用します。	ISAPI,、ApacheとNSAPIプラグインおよびHttpClusterServlet
FilterPriorityLevel	2	このパラメータの値は、0 (低)、1 (中)、2 (高)です。デフォルト値は2です。この優先順位は、iisforward.iniファイルに置かれる必要があります。この優先順位を使用して、IISのiisforward.dllフィルタの優先レベルが設定されます。受信リクエストが複数のフィルタに一致する場合に、IISは優先レベルに従って、最初に呼び出すフィルタを判別します。	ISAPIプラグイン
WLExcludePathOrMimeType	なし	このパラメータを使用すると、特定のリクエストをプロキシ処理から除外できます。 このパラメータは、Locationタグ・レベルでローカルに定義することも、グローバルに定義することもできます。このプロパティをローカルに定義した場合、グローバルなプロパティはオーバーライドされず、2つのパラメータの結合が定義されます。	NSAPI、ISAPIおよびApacheプラグイン
WlForwardPath	null	WlForwardPathが「/」に設定されている場合は、すべてのリクエストがプロキシされます。特定の文字列で始まるリクエストをプロキシするには、WlForwardPathをその文字列に設定します。たとえば、WlForwardPathを/weblogicに設定すると、/weblogicで始まるすべてのリクエストがWeblogic Serverに転送されます。 このパラメータは、パスによるプロキシを行う場合は必須です。カンマで文字列を区切ることにより、複数の文字列を設定できます。例: WlForwardPath=/weblogic,/bea	ISAPIプラグイン
KeepAliveSecs	20	プラグインとWebLogic Serverの間のアクティブではない接続が閉じられるまでの時間。このパラメータを有効にするには、KeepAliveEnabledをtrue (Apacheプラグインを使用している場合はON)に設定する必要があります。 このパラメータの値は、管理コンソールのサーバー/HTTPタブで設定される期間フィールドの値、またはKeepAliveSecs属性を使用してサーバーMBeanで設定される値以下である必要があります。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
KeepAliveEnabled	true (Microsoft IISプラグイン) ON (Apacheプラグイン)	プラグインとWebLogic Serverの間の接続のプールを有効化します。 Microsoft IISプラグインの有効な値は、trueおよびfalseです。 Apacheプラグインの有効な値は、ONおよびOFFです。	ISAPI、ApacheとNSAPIプラグイン、HttpClusterServletおよびHttpProxyServlet
QueryFromRequest (Apache HTTP Serverのみ)	OFF	ONに設定すると、Apacheプラグインは次を使用して、 (request_rec *)r->the request 問合せ文字列をWebLogic Serverに渡します。(詳細は、Apacheドキュメントを参照してください。) これは、次の場合に望ましい動作です。 Netscapeバージョン4.xブラウザが問合せ文字列にスペースのあるリクエストを行う場合 HPでRaven Apache 1.5.2を使用する場合 OFFに設定されている場合、Apacheプラグインは(request_rec *)r->argsを使用してWebLogic Serverに問合せ文字列を渡します。	Apacheプラグイン
MaxSkipTime	10	WebLogicClusterパラメータまたはWebLogic Serverから戻される動的クラスタ・リストにあるWebLogic Serverで障害が発生した場合、その障害の発生したサーバーは「bad」とマークされ、プラグインはリスト内の次のサーバーに接続しようとします。 MaxSkipsには、プラグインが「bad」とマークされたサーバーへの接続を再試行するまでの時間を設定します。プラグインは、固有のリクエスト(Cookieのないリクエスト)を受信するたびにリスト内の新しいサーバーに接続しようとします。	ISAPI,、ApacheとNSAPIプラグインおよびHttpClusterServlet
DynamicServerList	ON	OFFに設定すると、プラグインからプロキシされるリクエストをロード・バランシングするために使用される動的クラスタ・リストが無視され、WebLogicClusterパラメータで指定された静的リストのみが使用されます。通常、このパラメータはONのままにします。 このパラメータをOFFに設定すると、いくつかの影響があります。 静的リストの1つまたは複数のサーバーで障害が発生した場合、プラグインは応答不能のサーバーへの接続に時間を費やし、その結果としてパフォーマンスが低下する可能性があります。 クラスタに新しいサーバーを追加した場合は、このパラメータを再定義するまでプラグインはその新しいサーバーにリクエストをプロキシできません。WebLogic Serverは、新しいサーバーがクラスタに追加されたときに動的サーバー・リストにその新しいサーバーを自動的に追加します。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServlet
WLProxySSL	OFF	次の条件に一致する場合、プラグインとWebLogic Server間のSSL通信を維持する場合は、このパラメータをONに設定します。 HTTPクライアント・リクエストがHTTPSプロトコルを指定しています。 リクエストが1つまたは複数のプロキシ・サーバー(WebLogic Serverプロキシ・プラグインを含む)を経由して渡されました。 プラグインとWebLogic Server間の接続でHTTPプロトコルを使用しています。 WLProxySSLをONに設定すると、WebLogic Serverからクライアントに戻されるロケーション・ヘッダーではHTTPSプロトコルが指定されます。	NSAPI、ISAPIとApacheプラグインおよびHttpClusterServletとHttpProxyServlet
WLLocalIP	なし	プラグインがマルチ・ホーム・マシンで動作しているWebLogic Serverインスタンスに接続する場合のバインド先のIPアドレスを定義します。 WLLocalIPを設定しない場合、マルチホーム・マシンで任意のIPアドレスが使用されます。	NSAPI、ISAPIおよびApacheプラグイン
WLSendHdrSeparately	ON	このパラメータをONに設定すると、ヘッダーおよびレスポンスの本文が別々のパケットで送信されます。 注意: ヘッダーとレスポンスの本文を2つのコールで送信する必要がある場合、たとえば、他のISAPIフィルタまたは本文の前にヘッダーがあることを期待するクライアントを持つ場合、このパラメータをONに設定します。	ISAPIプラグイン

POSTデータ・ファイルの場所

FileCachingパラメータをONに設定すると、リクエストのPOSTデータのサイズが2048バイトより大きい場合、POSTデータはまずディスク上の一時ファイルに読み込まれ、次に8192バイトのチャンク単位でWebLogic Serverに転送されます。これにより、フェイルオーバーの間もPOSTデータが保持されます。

UNIXでは、POSTファイルが/tmp/_wl_proxyにあります。Windowsでは、このファイルの場所は次にあります(WLTempDirを指定していない場合)。

1. 環境変数TMP

2. 環境変数TEMP

3. C:\Temp

/tmp/_wl_proxyは、HTTP Serverのユーザーが所有する固定ディレクトリです。様々なユーザーによってインストールされた複数のHTTP Serverが存在する場合、このディレクトリに書き込めないHTTP Serverが存在する場合があります。この状況により、次のようなエラーが発生します。

@
@
@ <HTML>
@ <HEAD>
@ <TITLE>Weblogic Bridge Message
@ </TITLE>
@ </HEAD>
@  <BODY>
@ <H2>Failure of server APACHE bridge:</H2><P>
@ <hr>Cannot open TEMP post file '/tmp/_wl_proxy/_post_25444_36' for POST of
@ 4564 bytes

この問題を解決するには、WLTempDirパラメータを使用して、POSTデータ・ファイルの_wl_proxyに対して別の場所を指定します。

Webサーバー・プラグインのSSLパラメータ

注意: SCG証明書は、WebLogic Serverプロキシ・プラグインで使用できません。SCG以外の証明書は適切に機能し、その場合はWebLogic Serverとプラグインの間でSSL通信を行えます。 キーストア関連の初期化パラメータは、WebLogic Serverプロキシ・プラグインで使用できません。

Webサーバー・プラグインのSSLパラメータを表7-2に示します。パラメータでは大文字/小文字が区別されます。

表7-2 Webサーバー・プラグインのSSLパラメータ

パラメータ	デフォルト	説明	適用対象
EnforceBasicConstraint	Strong	このパラメータは、無効なV3 CA証明書が含まれている証明書チェーンが拒否されないSSL証明書検証に関して存在していたセキュリティ・ホールを修復します。このパラメータによって、有効なCA証明書をルートとし、無効な中間CA証明書を含む証明書チェーンが信頼性を持つことができました。X509 V3 CA証明書は、CAであり、かつクリティカルな拡張としてマークされているBasicConstraints拡張を含む必要があります。この確認は、中間CA証明書に見せかけた非CA証明書から保護します。 適用レベルは次のとおりです。 OFF このレベルは、適用を完全に無効にするので、お薦めしません。市販のCA証明書のほとんどは、デフォルト設定のSTRONGで動作します。 EnforceBasicConstraints=off EnforceBasicConstraints=false STRONG デフォルト値。V3 CA証明書に関するBasicConstraintsがチェックされ、証明書がCA証明書であるかどうかが検証されます。 EnforceBasicConstraints=strong EnforceBasicConstraints=true STRICT このレベルではSTRONGレベルと同じチェックが行われますが、それに加えて、CA証明書に関するBasicConstraintsが「クリティカル」としてマークされなければならないと規定するIETF RFC 2459が厳格に適用されます。これがデフォルト設定でないのは、市販のCA証明書の多くがRFC 2459に準拠しておらず、BasicConstraintsを「クリティカル」としてマークしていないためです。RFC 2459に厳格に準拠する場合は、これを設定します。 EnforceBasicConstraints=strict	NSAPI、ISAPIおよびApacheプラグイン
SecureProxy	OFF	このパラメータをONに設定すると、プラグインとWebLogic Server間のすべての通信でSSLプロトコルの使用が有効になります。このパラメータを定義する前に、対応するWebLogic ServerのポートをSSLプロトコル用に構成しておく必要があります。 このパラメータは、メイン・サーバー用の構成と仮想ホスト用の構成(仮想ホストが定義されている場合)の2つのレベルで設定できます。仮想ホスト用の構成でこの設定がオーバーライドされない場合、仮想ホスト用の構成はメイン・サーバー用の構成からSSLの構成を継承します。	ISAPI、NSAPIとApacheのプラグイン、HttpClusterServletおよびHttpProxyServlet
TrustedCAFile	なし	プラグインに対する信頼性のある認証局によるデジタル証明書が含まれるファイルの名前。SecureProxyパラメータがONに設定されている場合はこのパラメータが必須です。	ISAPI、NSAPIおよびApacheのプラグイン
RequireSSLHostMatch	true	プラグインが接続するホストの名前が、プロキシ・プラグインが接続するWebLogic Serverのデジタル証明書のサブジェクト識別名フィールドに一致する必要があるかどうかを指定します。 プラグインでSecureProxy=ONおよびRequireSSLHostMatch=trueを設定する場合、ListenAddressプロパティに指定する値を、証明書に指定したホスト名の値と一致させる必要があります。 WebLogic ServerのExternalDNSNameプロパティを使用し、プラグインでSecureProxy=ONおよびRequireSSLHostMatch=trueを設定する場合、ExternalDNSNameプロパティに指定する値を、証明書に指定したホスト名の値と厳密に一致させる必要があります。	ISAPI、NSAPIおよびApacheのプラグイン
SSLHostMatchOID	22	ホスト名の比較に使用されるピア・デジタル証明書内のサブジェクト識別名フィールドを示すASN.1 Object ID (OID)を指定します。このパラメータのデフォルト値は、サブジェクト識別名のCommonNameフィールドに対応します。一般的なOID値は次のとおりです。 Sur Name-23 Common Name-22 Email-13 Organizational Unit-30 Organization-29 Locality-26	ISAPI、NSAPIおよびApacheのプラグイン
KeyStore	なし	汎用プロキシ・サーブレットで双方向SSLを使用してユーザー定義のID証明書とキーを作成する際に指定するWebアプリケーションのキーストアの場所。	HttpClusterServletおよびHttpProxyServletのみに適用
KeyStoreType	なし	汎用プロキシ・サーブレットで双方向SSLを使用する際に指定するキーストアのタイプ。定義されていない場合、デフォルトのタイプが使用されます。	HttpClusterServletおよびHttpProxyServletのみに適用
PrivateKeyAlias	なし	汎用プロキシ・サーブレットで双方向SSLを使用する際に指定する秘密鍵の別名。	HttpClusterServletおよびHttpProxyServletのみに適用
KeyStorePasswordProperties	なし	Webアプリケーション内のプロパティ・ファイル。汎用プロキシ・サーブレットで双方向SSLを使用する際に、キーストアおよび秘密鍵の別名にアクセスするための暗号化されたパスワードを定義します。このファイルは次のような内容を持ちます。 KeyStorePassword={3DES}i4+50LCKenQO8BBvlsXTrg\=\= PrivateKeyPassword={3DES}a4TcG4mtVVBRKtZwH3p7yA\=\= パスワードを暗号化するには、weblogic.security.Encryptコマンド・ライン・ユーティリティを使用する必要があります。Encryptユーティリティや、CertGenおよびder2pemユーティリティの詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のOracle WebLogic Server Javaユーティリティの使用に関する項を参照してください。	HttpClusterServletおよびHttpProxyServletのみに適用