この章では、Oracle Fusion MiddlewareでのSSL構成に関連する問題について説明します。内容は次のとおりです。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
Oracle HTTP Server、Oracle Web CacheおよびOracle Internet Directoryで使用されるOracleウォレットおよびOracle Virtual Directoryで使用されるキーストアには、2010年1月7日15:59:59(PST)に期限満了するVerisignルート・キー(シリアル#: 02:ad:66:7e:4e:45:fe:5e:57:6f:3c:98:19:5e:dd:c0)が含まれています。
このルート・キーで署名されたユーザー証明書を使用している場合、認証局(CA)によって署名されたかわりのユーザー証明書を取得し、CAのルート・キーをOracleウォレットにインポートする必要があります。
ルート・キーをOracleウォレットにインポートする手順は、『Oracle Fusion Middleware管理者ガイド』のウォレット管理に関する項の一般的な証明書の操作を参照してください。
問題1
ウォレットをインポートしようとするときに無効なウォレット・パスワードを指定すると、Fusion Middleware Controlには正しくないメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成することはできません。」は正しくありません。かわりに、パスワードが正しくないので有効なパスワードを入力するようユーザーに通知する必要があります。
問題2
パスワードで保護されたウォレットを自動ログイン・ウォレットとしてインポートしようとすると、Fusion Middleware Controlには正しくないメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成することはできません。」には完全な情報が示されていません。かわりに、パスワードで保護されたウォレットをインポートするにはパスワードが必要であることをユーザーに通知する必要があります。
問題3
Fusion Middleware ControlまたはWLSTを使用して自動ログイン・ウォレットをパスワード保護されたウォレットとしてインポートしようとすると、NullPointerExceptionエラーが表示されます。
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
DERエンコードされた証明書または信頼できる証明書のOracleウォレットまたはJKSキーストアへのインポートに、Oracle Enterprise Manager Fusion Middleware ControlまたはWLST
コマンドライン・ツールは使用できません。
かわりに、この用途に使用できる他のツールを使用します。
DERエンコードされた証明書または信頼できる証明書のOracleウォレットへのインポートには、次のものを使用します。
Oracle Wallet Manager、または
orapki
コマンドライン・ツール
DERエンコードされた証明書または信頼できる証明書のJKSキーストアへのインポートには、keytool
ユーティリティを使用します。
OracleウォレットまたはJKSキーストアがorapki
やkeytool
などのツールを使用して作成された場合、使用前にインポートする必要があります。具体的には次のとおりです。
Oracle HTTP Server、Oracle WebcacheおよびOracle Internet Directoryでは、ウォレットがorapki
またはOracle Wallet Managerを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importWallet
コマンドを使用してインポートする必要があります。
Oracle Virtual Directoryでは、キーストアがkeytool
を使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importKeyStore
コマンドを使用してインポートする必要があります。
暗号が明示的に構成されていない場合、11gリリース1(11.1.1)の一部のコンポーネントでDH_Anon
(Diffie-Hellman匿名)暗号を含む、サポートされているすべてのSSL暗号が有効になることに注意してください。
この時点では、次のように暗号を設定することがわかっているコンポーネントはOracle HTTP Serverのみです。
DH_Anon
が希望でない場合、希望する暗号でコンポーネントを構成します。