| Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-02 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-02 |
|
前 |
次 |
ODSMは、その秘密鍵、証明書および信頼できる証明書をJavaキーストア(JKS)に格納します。管理者は、ODSMのJKSの管理を担当します。実行する必要がある重要なタスクの1つは、期限が切れたODSMの証明書をJKSから削除することです。この付録では、次のことについて説明します。
この付録は、次の項目を含みます。
ODSMは、初めて呼び出されると、ランダム・パスワードを生成し、そのパスワードをJKSに割り当てます。JKSファイルは、odsm.cerという名前を持ちます。このファイルは、次の書式の名前のディレクトリに置かれます。
DOMAIN_HOME/config/fmwconfig/servers/AdminServer/applications/odsm/conf
ODSMは、Oracleによるセキュアな格納フレームワークである資格証明ストア・フレームワーク(CSF)内のJDKにこのパスワードを格納します。WebLogicサーバー管理者は、CSFに格納されているJDKパスワードを取得できます。
ODSMは、自身の自己署名証明書の生成とJKSへの格納も行います。自己署名証明書は、生成日から15000日間有効です。自己署名証明書は、テスト目的のみに使用されます。本番環境では、自己署名証明書を、認証局(CA)によって署名された証明書に置き換えることをお薦めします。
JKSを管理するためのWebベースのツールはありません。ODSMのJKSを管理するには、SunのJRE/JDKに用意されているコマンドライン・ツールであるkeytoolを使用します。CSFからJKSパスワードを取得するには、wlst listCredコマンドを使用します。
|
関連項目:
|
ODSMのJKSを管理するには、まずODSMのJKSパスワードをCFSから取得する必要があります。WebLogic管理者は、次のようにwlstコマンドを使用して取得できます。
$ORACLE_HOME/common/bin/wlst.sh
Initializing WebLogic Scripting Tool (WLST) ...
Welcome to WebLogic Server Administration Scripting Shell
Type help() for help on available commands
wls:/offline> connect()
Please enter your username [weblogic] :weblogic
@ Please enter your password [weblogic] :
Please enter your server URL [t3://localhost:7001] :t3://stadd54:7001
Connecting to t3://stadd54:7001 with userid weblogic ...
Successfully connected to Admin Server 'AdminServer' that belongs to domain 'base_domain'.
Warning: An insecure protocol was used to connect to the
server. To ensure on-the-wire security, the SSL port or
Admin port should be used instead.
wls:/base_domain/serverConfig> listCred( map="ODSMMap", key="ODSMKey.Wallet" )
{map=ODSMMap, key=ODSMKey.Wallet}
Location changed to domainRuntime tree. This is a read-only tree with
DomainMBean as the root.
For more help, use help(domainRuntime)
[Name : ODSM, Description : null, expiry Date : null] @ PASSWORD:_AQ-\<x<92
|
関連項目: wlstコマンドを使用した資格証明の管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「資格証明ストアの管理」を参照してください。 |
JKSパスワードを取得したら、keytoolを使用してJKSを管理できます。
odsm.cerの内容を表示するには、次のようにkeytoolコマンドを使用します。
cd directory_where_odsm.cer_resides JAVA_HOME/bin/keytool -list -keystore odsm.cer \ -storepass password_obtained_from_CSF
次に例を示します。
$ cd DOMAIN_HOME/config/fmwconfig/servers/AdminServer/applications/odsm/conf $ JAVA_HOME/bin/keytool -list -keystore odsm.cer -storepass "&M)S86)/RB" -v Keystore type: JKS Keystore provider: SUN Your keystore contains 2 entries Alias name: serverselfsigned Creation date: Dec 26, 2008 Entry type: PrivateKeyEntry Certificate chain length: 1 Certificate[1]: Owner: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California, C=US Issuer: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California, C=US Serial number: 495586b6 Valid from: Fri Dec 26 17:36:54 PST 2008 until: Wed Jun 24 18:36:54 PDT 2009 Certificate fingerprints: MD5: 6C:11:16:F3:88:8D:18:67:35:1E:16:5B:3E:03:8A:93 SHA1: F4:91:39:AE:8B:AC:46:B8:5D:CB:D9:A4:65:BE:D2:75:08:17:DF:D0 Signature algorithm name: SHA1withRSA Version: 3 ******************************************* ******************************************* Alias name: cn=rootca, o=oracle, c=us (0) Creation date: Dec 31, 2008 Entry type: trustedCertEntry Owner: CN=RootCA, O=Oracle, C=US Issuer: CN=RootCA, O=Oracle, C=US Serial number: 0 Valid from: Tue Dec 30 02:33:11 PST 2008 until: Mon Jan 24 02:33:11 PST 2050 Certificate fingerprints: MD5: 72:31:7B:24:C9:72:E3:90:37:38:68:40:79:D1:0B:4B SHA1: D2:17:84:1E:19:23:02:05:61:42:A9:F4:16:C8:93:84:E8:20:02:FF Signature algorithm name: MD5withRSA Version: 1 ******************************************* *******************************************
証明書の期限が切れたときに、その証明書をJDKから自動的に削除するメカニズムはありません。管理者は証明書の期限が切れるタイミングを判別し、それを削除する必要があります。
この項の項目は次のとおりです。
「odsm.cer Javaキーストアの内容のリスト」で説明されているように、keytoolを使用してodsm.cerのすべての証明書をリストします。このリストには、各証明書の有効な日付が含まれています。たとえば、次の証明書はSat Oct 31 09:41:23 PDT 2008まで有効です。
Alias name: cn=ovd, ou=development, o=MyCompany, l=redwood shores, st=california, c=us (1241455283) Creation date: May 5, 2008 Entry type: trustedCertEntry Owner: CN=OVD, OU=Development, O=MyCompany, L=Redwood Shores, ST=California, C=US Issuer: CN=OVD, OU=Development, O=Oracle, L=Redwood Shores, ST=California, C=US Serial number: 49ff1ab3 Valid from: Mon May 04 09:41:23 PDT 2008 until: Sat Oct 31 09:41:23 PDT 2008 Certificate fingerprints: MD5: 93:0E:41:5E:95:88:71:BD:8A:49:ED:A9:29:3B:0A:1E SHA1: 84:C6:75:60:D9:BE:7B:CA:D6:8B:B5:4B:97:E4:20:39:44:82:FE:93 Signature algorithm name: SHA1withRSA Version: 3
証明書の有効期間が終了したら、次の項で説明しているように、keytoolを使用して削除します。
odsm.cerの証明書を削除するには、次のようにkeytoolを使用します。
cd directory_where_odsm.cer_is_present JAVA_HOME/bin/keytool -delete -keystore odsm.cer -storepass password_obtained_from_CSF -alias "cn=rootca, o=oracle, c=us (0)"
次に例を示します。
$> JAVA_HOME/bin/keytool -delete -keystore odsm.cer \ -storepass "&M)S86)/RB" -alias "cn=rootca, o=oracle, c=us (0)" [Storing odsm.cer]
