26 Oracle Fusion MiddlewareでのSSL構成

この章では、Oracle Fusion MiddlewareでのSSL構成に関連する問題について説明します。内容は次のとおりです。

• 26.1項「一般的な問題および回避方法」

• 26.2項「構成の問題および回避方法」

26.1 一般的な問題および回避方法

この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。

• 26.1.1項「Oracleウォレットのかわりのユーザー証明書」

• 26.1.2項「ウォレットのインポート時の間違ったメッセージまたはエラー」

26.1.1 Oracleウォレットのかわりのユーザー証明書

Oracle HTTP Server、Oracle Web CacheおよびOracle Internet Directoryで使用されるOracleウォレットおよびOracle Virtual Directoryで使用されるキーストアには、2010年1月7日15:59:59(PST)に期限満了するVerisignルート・キー(シリアル#: 02:ad:66:7e:4e:45:fe:5e:57:6f:3c:98:19:5e:dd:c0)が含まれています。

このルート・キーで署名されたユーザー証明書を使用している場合、認証局(CA)によって署名されたかわりのユーザー証明書を取得し、CAのルート・キーをOracleウォレットにインポートする必要があります。

ルート・キーをOracleウォレットにインポートする手順は、『Oracle Fusion Middleware管理者ガイド』のウォレット管理に関する項の一般的な証明書の操作を参照してください。

26.1.2 ウォレットのインポート時の間違ったメッセージまたはエラー

問題1

ウォレットをインポートしようとするときに無効なウォレット・パスワードを指定すると、Fusion Middleware Controlには正しくないメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成することはできません。」は正しくありません。かわりに、パスワードが正しくないので有効なパスワードを入力するようユーザーに通知する必要があります。

問題2

パスワードで保護されたウォレットを自動ログイン・ウォレットとしてインポートしようとすると、Fusion Middleware Controlには正しくないメッセージが表示されます。表示されるメッセージ「パスワードなしでp12を作成することはできません。」には完全な情報が示されていません。かわりに、パスワードで保護されたウォレットをインポートするにはパスワードが必要であることをユーザーに通知する必要があります。

問題3

Fusion Middleware ControlまたはWLSTを使用して自動ログイン・ウォレットをパスワード保護されたウォレットとしてインポートしようとすると、NullPointerExceptionエラーが表示されます。

26.2 構成の問題および回避方法

この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。

• 26.2.1項「DERエンコードされた証明書をインポートするツール」

• 26.2.2項「WLSTまたはFusion Middleware Controlで作成されていないキーストアの使用」

• 26.2.3項「コンポーネントですべてのサポートされている暗号が有効になる場合がある」

26.2.1 DERエンコードされた証明書をインポートするツール

DERエンコードされた証明書または信頼できる証明書のOracleウォレットまたはJKSキーストアへのインポートに、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドライン・ツールは使用できません。

かわりに、この用途に使用できる他のツールを使用します。

• DERエンコードされた証明書または信頼できる証明書のOracleウォレットへのインポートには、次のものを使用します。

  • Oracle Wallet Manager、または

  • orapkiコマンドライン・ツール

• DERエンコードされた証明書または信頼できる証明書のJKSキーストアへのインポートには、keytoolユーティリティを使用します。

26.2.2 WLSTまたはFusion Middleware Controlで作成されていないキーストアの使用

OracleウォレットまたはJKSキーストアがorapkiやkeytoolなどのツールを使用して作成された場合、使用前にインポートする必要があります。具体的には次のとおりです。

• Oracle HTTP Server、Oracle WebcacheおよびOracle Internet Directoryでは、ウォレットがorapkiまたはOracle Wallet Managerを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importWalletコマンドを使用してインポートする必要があります。

• Oracle Virtual Directoryでは、キーストアがkeytoolを使用して作成された場合、これをFusion Middleware Controlで表示または管理するには、まずFusion Middleware ControlまたはWLST importKeyStoreコマンドを使用してインポートする必要があります。

26.2.3 コンポーネントですべてのサポートされている暗号が有効になる場合がある

暗号が明示的に構成されていない場合、11gリリース1(11.1.1)の一部のコンポーネントでDH_Anon(Diffie-Hellman匿名)暗号を含む、サポートされているすべてのSSL暗号が有効になることに注意してください。

この時点では、次のように暗号を設定することがわかっているコンポーネントはOracle HTTP Serverのみです。

DH_Anonが希望でない場合、希望する暗号でコンポーネントを構成します。