34 WS-Securityの構成

この章では、WebCenter Portalアプリケーション(SpacesアプリケーションおよびFrameworkアプリケーションを含む)および関連するサービスとコンポーネントに、使用するトポロジに基づいてWS-Securityを設定する方法を説明します。ここでは、次の構成を扱います。

単純トポロジ。WebCenter Portalアプリケーションとすべてのコンポーネントが同一ドメインを共有しています。
標準トポロジ。WebCenter Portalアプリケーションとコンポーネントが2つのドメインに分かれています。
複合トポロジ。WebCenter Portalアプリケーションとコンポーネントが複数のドメインに分かれています。

これら3つのトポロジにおける、WebCenter Portalアプリケーション(Spacesなど)、Oracle WebCenter Portalのディスカッション・サーバー、ワークリスト・サービスおよびWSRPプロデューサに対する構成について説明します。これらの構成およびSpaces APIを使用するアプリケーションの保護手順は、次の各項で説明しています。

第34.1項「単純トポロジの場合のWS-Securityの構成」
第34.2項「標準トポロジの場合のWS-Securityの構成」
第34.3項「複合トポロジの場合のWS-Securityの構成」
第34.4項「Spaces Client APIを使用するアプリケーションに対するWS-Securityを使用したSpacesの保護」

対象読者

この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

34.1 単純トポロジの場合のWS-Securityの構成

この項では、WebCenter Portalアプリケーション、BPELサーバーおよびWSRPプロデューサが同一ドメインを共有するトポロジの場合にWS-Securityを構成する方法を説明します(図34-1)。

図34-1 単純構成の場合のWS-Security

「図34-1 単純構成の場合のWS-Security」の説明

単一ドメインの単純WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

第34.1.1項「単純トポロジの場合のWS-Securityの構成のロードマップ」
第34.1.2項「WebCenter Portalドメイン・キーストアの設定」
第34.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」
第34.1.4項「単純トポロジの場合のコマンド・サマリー」

34.1.1 単純トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図34-1)と表(表34-1)は、単一ドメインの単純WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図34-2 単純トポロジの場合のWS-Securityの構成

「図34-2 単純トポロジの場合のWS-Securityの構成」の説明

表34-1は、単純WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表34-1 単純トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク
Administrator	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成
	2. ディスカッション・サーバーの構成	2.a ディスカッション・サービス・エンド・ポイントの保護
		2.b ディスカッション・サーバーの接続設定の構成

34.1.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバーおよびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。

この項の内容は次のとおりです。

第34.1.2.1項「WebCenter Portalドメイン・キーストアの作成」
第34.1.2.2項「WLSTを使用したキーストアの構成」
第34.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.1.2.1 WebCenter Portalドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。

WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

keytoolを使用して、キー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias orakey
 -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です。これには適切な形式であるかぎり、任意の文字列を指定できます(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストア名です(例: default-keystore.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-1 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey 
-keypass welcome1 -keystore default-keystore.jks -storepass welcome1 -validity 1064

注意:

キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle WebServices Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

公開鍵が含まれる証明書をエクスポートします。
```
keytool -exportcert -v -alias orakey -keystore keystore -storepass keystore_password -rfc -file orakey.cer
```
各要素の意味は次のとおりです。
- keystoreは、キーストア名です(例: default-keystore.jks)。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-2 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass welcome1 -rfc -file orakey.cer
```
証明書を別名webcenter_spaces_wsでインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
 -keystore default-keystore.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです。
例34-3 証明書のインポート
```
keytool -importcert -alias webcenter_spaces_ws -file orakey.cer -keystore default-keystore.jks -storepass welcome1
```

第34.1.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

表34-2は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

表34-2 単純トポロジの場合のPortalドメイン・キーストアのコンテンツ

キーの別名	説明
`orakey`	Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
`webcenter_spaces_ws`	WebCenter Portalドメインで使用される`orakey`秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalドメイン内のBPEL Server1にあるワークフロー・アプリケーションから、WebCenter PortalドメインのWebサービスAPIへのアウトバウンドWebサービス・メッセージの暗号化に使用されます。

34.1.2.2 WLSTを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

資格証明ストアを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

keystore.providerプロバイダの<serviceInstanceノードを見つけます。

<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>

default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされており、locationとして./default-keystore.jksが指定されていることを確認します。
```
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
```

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password=private_key_password, desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password=private_key_password, desc="Signing key")

各要素の意味は次のとおりです。

keystore_passwordは、第34.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: welcome1)。
private_key_passwordは、第34.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: welcome1)。

例34-4 資格証明ストアの更新

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.1.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.1.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./default-keystore.jksを指定します。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

「セキュリティ・プロバイダ構成」ページが表示されます(図34-3を参照)。

図34-3 「セキュリティ・プロバイダ構成」ページ

「図34-3 「セキュリティ・プロバイダ構成」ページ」の説明
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-4を参照)。

図34-4 「キーストアの構成」ページ

「図34-4 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./default-keystore.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: orakey
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: orakey
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.1.3 単純トポロジの場合のディスカッション・サーバーの構成

単純トポロジでは、ディスカッション・サーバーはSpacesと同じドメインにあるため、追加のキーストア構成は必要ありません。これは、WebCenter Portalドメインに構成されているキーストアがディスカッション・サービスでも使用されるからです。ただし、本番環境では、ディスカッション・サービスのWebサービス・エンド・ポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要があります。それらの設定手順は、次の各項で説明します。

第34.1.3.1項「ディスカッション・サービス・エンド・ポイントの保護」
第34.1.3.2項「ディスカッション・サーバーの接続設定の構成」

注意:

WebCenter PortalアプリケーションからOracle WebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第33章「SSLの構成」を参照してください。

34.1.3.1 ディスカッション・サービス・エンド・ポイントの保護

WebCenter Portalのディスカッション・サービスのWebサービス・エンド・ポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。出荷時に、ディスカッション・サービスのWebサービス・エンド・ポイントには、完全にセキュリティを実装する必要なくテスト環境で起動して実行できるように、非保護のSAMLトークンを使用するポリシーが構成されています。ただし、本番環境では、転送中に他者がメッセージを改ざんしたり、表示したりできないように、Webサービス・エンド・ポイントをOWSMポリシーで保護する必要があります。これを実行するには、パブリック・アクセス用のWebサービス・エンド・ポイントと認証済ユーザー・アクセス用のエンド・ポイントの両方を、Fusion Middleware ControlまたはWLSTを使用して適切なOWSMポリシーで保護する必要があります。

この項の内容は次のとおりです。

第34.1.3.1.1項「Fusion Middleware Controlを使用したディスカッション・サーバー・エンド・ポイントの保護」
第34.1.3.1.2項「WLSTを使用したディスカッション・サーバー・エンド・ポイントの保護」

34.1.3.1.1 Fusion Middleware Controlを使用したディスカッション・サーバー・エンド・ポイントの保護

Fusion Middleware Controlを使用してディスカッション・サービス・エンド・ポイントを保護する手順は次のとおりです。

Fusion Middleware Controlにログインして、ナビゲーション・ペインから、「WebCenter」→「ポータル」→「ディスカッション」を開いて、Discussions(WC_Collaboration)をクリックします。

「ディスカッション」ホームページが表示されます(図34-5を参照)。

図34-5 「ディスカッション」ホームページ

「図34-5 「ディスカッション」ホームページ」の説明
owc_discussionsターゲットをクリックします。

owc_discussionsアプリケーションのホームページが表示されます(図34-6を参照)。

図34-6 owc_discussionsのホームページ

「図34-6 owc_discussionsのホームページ」の説明
「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。

owc_discussionsアプリケーションの「Webサービス」ページが表示されます(図34-7を参照)。

図34-7 owc_discussionsの「Webサービス」ページ

「図34-7 owc_discussionsの「Webサービス」ページ」の説明
「Webサービス」タブを開き、OWCDiscussionsServiceAuthenticated Webサービス・エンド・ポイントをクリックします。

owc_discussionsの「Webサービス・エンドポイント」ページが表示されます(図34-8を参照)。

図34-8 「Webサービス・エンドポイント」ページ

「図34-8 「Webサービス・エンドポイント」ページ」の説明
「アタッチ/デタッチ」をクリックします。

「ポリシーの添付」ページが表示されます(図34-9を参照)。

図34-9 「ポリシーの添付」ページ

「図34-9 「ポリシーの添付」ページ」の説明
Use the 「アタッチ」ボタンと「デタッチ」ボタンを使用して、oracle/wss11_saml_token_with_message_protection_service_policyを添付し、oracle/wss10_saml_token_service_policyを削除します。
「OK」をクリックします。
「Webサービス」ページに戻り、OWCDiscussionsServicePublicエンド・ポイントをクリックします。
oracle/wss11_message_protection_service_policyを添付して、パブリック・ユーザーのWebサービス・エンド・ポイントも保護されるようにします。
「OK」をクリックします。

34.1.3.1.2 WLSTを使用したディスカッション・サーバー・エンド・ポイントの保護

WLSTを使用してディスカッション・サーバー・エンド・ポイントを保護するには、次のWLSTコマンドを使用して、wss10_saml_token_service_policyを削除し、wss11_saml_token_with_message_protection_service_policyを添付します。

detachWebServicePolicy('owc_discussions', 'owc_discussions', 'web', 'OWCDiscussionsServiceAuthenticated', 'OWCDiscussionsServiceAuthenticated', 'oracle/wss10_saml_token_service_policy')
attachWebServicePolicy('owc_discussions', 'owc_discussions', 'web', 'OWCDiscussionsServiceAuthenticated', 'OWCDiscussionsServiceAuthenticated', 'oracle/wss11_saml_token_with_message_protection_service_policy')

34.1.3.2 ディスカッション・サーバーの接続設定の構成

第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているWebCenter Portalアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図34-10は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。

図34-10 「ディスカッションおよびお知らせ接続の編集」ページ

「図34-10 「ディスカッションおよびお知らせ接続の編集」ページ」の説明

34.1.4 単純トポロジの場合のコマンド・サマリー

単純トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey 
-keypass welcome1 -keystore default-keystore.jks -storepass welcome1 -validity 1064

keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass welcome1 -rfc -file orakey.cer

keytool -importcert -alias webcenter_spaces_ws -file orakey.cer 
-keystore default-keystore.jks -storepass welcome1

証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。

keytool -importcert -alias df_orakey_public -file orakey.cer 
-keystore owc_discussions.jks -storepass welcome1

default-keystore.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーします。

キーストアの構成

WLSTを使用して、Spacesドメインに管理者として接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="welcome1", desc="Signing key")

34.2 標準トポロジの場合のWS-Securityの構成

この項では、WebCenter PortalアプリケーションとWSRPプロデューサは同一ドメインを共有しているが、BPELサーバーは外部ドメイン(SOAドメイン)に配置されているトポロジの場合にWS-Securityを構成する方法を説明します(図34-11を参照)。

図34-11 標準構成の場合のWS-Security

「図34-11 標準構成の場合のWS-Security」の説明

標準の2つのドメインのWebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

第34.2.1項「標準トポロジの場合のWS-Securityの構成のロードマップ」
第34.2.2項「WebCenter Portalドメイン・キーストアの設定」
第34.2.3項「標準トポロジの場合のディスカッション・サーバーの構成」
第34.2.4項「SOAドメインの設定」
第34.2.5項「標準トポロジの場合のコマンド・サマリー」

34.2.1 標準トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図34-12)と表(表34-3)は、標準WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図34-12 標準トポロジの場合のWS-Securityの構成

「図34-12 標準トポロジの場合のWS-Securityの構成」の説明

表34-3は、標準WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表34-3 標準トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク
Administrator	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成
	2. ディスカッション・サーバーの構成	2.a ディスカッション・サービス・エンド・ポイントの保護
		2.b ディスカッション・サーバーの接続設定の構成

34.2.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。

この項の内容は次のとおりです。

第34.2.2.1項「WebCenter Portalドメイン・キーストアの作成」
第34.2.2.2項「WLSTを使用したキーストアの構成」
第34.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.2.2.1 WebCenter Portalドメイン・キーストアの作成

WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

keytoolを使用して、キー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-5 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
webcenter -keypass welcome1 -keystore webcenter.jks -storepass welcome1 
-validity 1064

注意:

公開鍵が含まれる証明書をエクスポートします。
```
keytool -exportcert -v -alias webcenter -keystore keystore 
-storepass keystore_password -rfc -file webcenter_public.cer
```
各要素の意味は次のとおりです。
- keystoreは、キーストア名です(例: webcenter.jks)。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-6 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias webcenter -keystore webcenter.jks 
-storepass welcome1 -rfc -file webcenter_public.cer
```

第34.2.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

表34-4は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

表34-4 標準トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ

キーの別名説明

webcenter

Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。

orakey

SOAドメインで使用されるBPEL秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalドメイン内のBPEL Server1にあるワークフロー・アプリケーションから、SOAドメインのSOAサーバーに対するワークリスト・サービスへのアウトバウンドWebサービス・メッセージの暗号化に使用されます。

34.2.2.2 WLSTを使用したキーストアの構成

WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password=private_key_password, desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password=private_key_password, desc="Signing key")

各要素の意味は次のとおりです。

keystore_passwordは、第34.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: welcome1)。
private_key_passwordは、第34.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: welcome1)。

例34-7 資格証明ストアの更新

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.2.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

「セキュリティ・プロバイダ構成」ページが表示されます(図34-13を参照)。

図34-13 「セキュリティ・プロバイダ構成」ページ

「図34-13 「セキュリティ・プロバイダ構成」ページ」の説明
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-14を参照)。

図34-14 「キーストアの構成」ページ

「図34-14 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./webcenter.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: webcenter
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: webcenter
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.2.3 標準トポロジの場合のディスカッション・サーバーの構成

標準トポロジの場合のディスカッション・サーバーの構成は、単純トポロジの場合とまったく同じです。詳細は、第34.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」を参照してください。

34.2.4 SOAドメインの設定

この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。

第34.2.4.1項「SOAドメイン・キーストアの作成」
第34.2.4.2項「WLSTを使用したキーストアの構成」
第34.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.2.4.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。
```
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
 -keystore bpel.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
- 例34-8 公開証明書のインポート
```
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer -keystore bpel.jks -storepass welcome1
```

keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel
 -keypass key_password -keystore keystore -storepass keystore_password
 -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストアの名前です(例: bpel.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-9 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass welcome1 -keystore bpel.jks -storepass welcome1 -validity 1064

注意:

別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
```
keytool -exportcert -v -alias bpel -keystore keystore -storepass keystore_password -rfc -file orakey.cer
```
各要素の意味は次のとおりです。
- keystoreは、キーストア名です(例: webcenter.jks)。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-10 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1 -rfc -file orakay.cer
```
異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです。
例34-11 証明書のインポート
```
keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass welcome1
```

34.2.4.2 WLSTを使用したキーストアの構成

SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを構成します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.2.4.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、SOAドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ペインが表示されます(図34-15を参照)。

図34-15 「キーストアの構成」ページ

「図34-15 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./bpel.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: bpel
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: bpel
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.2.5 標準トポロジの場合のコマンド・サマリー

標準トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
webcenter -keypass welcome1 -keystore webcenter.jks -storepass welcome1 -validity 
1064

keytool -exportcert -v -alias webcenter -keystore webcenter.jks 
-storepass welcome1 -rfc -file webcenter_public.cer

keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer 
-keystore bpel.jks -storepass welcome1

証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass welcome1 -keystore bpel.jks -storepass welcome1 -validity 1024

keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1 
-rfc -file orakay.cer

keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks 
-storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias df_webcenter_public -file webcenter_public.cer 
-keystore owc_discussions.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

webcenter.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーし、bpel.jksファイルをsoa_domain_home/config/fmwconfigディレクトリにコピーします。

WebCenter Portalドメイン・キーストアの構成

次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./webcenter.jksを指定します。

WLSTを使用して、Spacesドメインに管理ユーザーとして接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")

SOAドメイン・キーストアの構成

次の手順に従って、SOAドメインのサービス・インスタンス参照を構成します。

<SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、bpel.jksを<SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./bpel.jksを指定します。

WLSTを使用して、SOAドメインに管理ユーザーとして接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")

34.3 複合トポロジの場合のWS-Securityの構成

この項では、WebCenter Portalアプリケーション、ディスカッション・サーバー(Jive)およびWSRPプロデューサが同一ドメインにあり、2つのBPELサーバーが別々のSOAドメインにあり、1つのWSRPプロデューサが外部ポートレット・ドメインにある複合トポロジの場合にWS-Securityを構成する方法を説明します(図34-16を参照)。

図34-16 複合構成の場合のWS-Security

「図34-16 複合構成の場合のWS-Security」の説明

複数のドメインが含まれる複合WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

第34.3.1項「複合トポロジの場合のWS-Securityの構成のロードマップ」
第34.3.2項「WebCenter Portalドメイン・キーストアの設定」
第34.3.3項「複合トポロジの場合のディスカッション・サーバーの構成」
第34.3.4項「1つ目のSOAドメインの設定」
第34.3.5項「2つ目のSOAドメインの設定」
第34.3.6項「外部ポートレット・ドメイン・キーストアの設定」
第34.3.7項「外部WebCenter Portalドメイン・キーストアの設定」
第34.3.8項「複合トポロジの場合のコマンド・サマリー」

34.3.1 複合トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図34-17)と表(表34-5)は、複数ドメインの複合WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図34-17 複合トポロジの場合のWS-Securityの構成

「図34-17 複合トポロジの場合のWS-Securityの構成」の説明

表34-5は、複合WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表34-5 複合トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク	ノート
Administrator	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成	.
	2. ディスカッション・サーバーの構成	2.a ディスカッション・サービス・エンド・ポイントの保護
		2.b ディスカッション・サーバー・キーストアの作成
		2.c 資格証明ストアの更新
		2.d ディスカッション・サーバー接続の構成	.
	3. 1つ目のSOAドメインの設定	3.a 1つ目のSOAドメイン・キーストアの作成
		3.b 1つ目のSOAドメイン・キーストアの構成
	4. 2つ目のSOAドメインの設定	4.a 2つ目のSOAドメイン・キーストアの作成
		4.b 2つ目のSOAドメイン・キーストアの構成
		4.c Spacesワークリスト接続の構成
	5. 外部ポートレット・ドメイン・キーストアの設定	5.a 外部ポートレット・ドメイン・キーストアの作成
		5.b 外部ポートレット・ドメイン・キーストアの構成
	6. 外部WebCenter Portalドメイン・キーストアの設定	6.a 外部WebCenter Portalドメイン・キーストアの作成
		6.b 外部WebCenter Portalドメイン・キーストアの構成

34.3.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、Spaces、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサ(これも別のドメイン内)のセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。

この項の内容は次のとおりです。

第34.3.2.1項「WebCenter Portalドメイン・キーストアの作成」
第34.3.2.2項「WLSTを使用したキーストアの構成」
第34.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.3.2.1 WebCenter Portalドメイン・キーストアの作成

WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

keytoolを使用して、webcenterキーストアにキー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-12 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias webcenter -keypass welcome1 -keystore webcenter.jks -storepass welcome1 -validity 1064

注意:

公開鍵が含まれる証明書をエクスポートします。
```
keytool -exportcert -v -alias webcenter -keystore wecenter.jks -storepass keystore_password -rfc -file webcenter_public.cer
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-13 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass welcome1 -rfc -file webcenter_public.cer
```
orakey証明書をインポートします。
```
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-14 orakey証明書のインポート
```
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass welcome1
```

第34.3.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

表34-6は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

表34-6 複合トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ

キーの別名	説明
`webcenter`	Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
`orakey`	SOA 1ドメインで使用される`BPEL`秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 1ドメイン内のSOA_Server3へのアウトバウンド・メッセージの暗号化に使用されます。
`soa_server3_public_key`	SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。
`producer_public_key`	WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。
`external_webcenter_custom_public_key`	Spaces Webサービスに対してWebサービス・コールを行うWebCenter Portalアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のWebCenter Portalアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。
`owc_discussions_public`	ディスカッション・アプリケーションをホストする外部ディスカッション・ドメインで使用される外部owc_discussions秘密鍵に対応する公開鍵が含まれる証明書です。この証明書はディスカッションWebサービスに対してWebサービス・コールを行うSpacesおよびWebCenter Portalアプリケーションによって使用されます。

34.3.2.2 WLSTを使用したキーストアの構成

WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

「セキュリティ・プロバイダ構成」ページが表示されます(図34-18を参照)。

図34-18 「セキュリティ・プロバイダ構成」ページ

「図34-18 「セキュリティ・プロバイダ構成」ページ」の説明
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-19を参照)。

図34-19 「キーストアの構成」ページ

「図34-19 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./webcenter.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: webcenter
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: webcenter
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.3.3 複合トポロジの場合のディスカッション・サーバーの構成

複合トポロジでは、ディスカッション・サーバーはSpacesとは異なるドメインにあるため、ディスカッション・サーバーにキーストアを作成して構成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートすることが必要になります。本番環境では、ディスカッション・サービスのWebサービス・エンド・ポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成することも必要になります。それらの設定手順は、次の各項で説明します。

第34.3.3.1項「ディスカッション・サービスのエンド・ポイントの保護」
第34.3.3.2項「ディスカッション・サーバー・キーストアの作成」
第34.3.3.3項「資格証明ストアの更新」
第34.3.3.4項「ディスカッション・サーバーの接続設定の構成」

注意:

FrameworkアプリケーションからWebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第33章「SSLの構成」を参照してください。

34.3.3.1 ディスカッション・サービスのエンド・ポイントの保護

WebCenter Portalのディスカッション・サービスのWebサービス・エンド・ポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。第34.1.3.1項「ディスカッション・サービスのエンド・ポイントの保護」の手順に従い、Fusion Middleware ControlまたはWLSTを使用してこれらのエンド・ポイントを保護します。

34.3.3.2 ディスカッション・サーバー・キーストアの作成

この項では、OWSMで使用されるキー・ペアが含まれるキーストアをディスカッション・サーバーに作成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートできるようにする方法を説明します。

owc_discussionsキーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

keytoolを使用して、owc_discussionsキーストアにキー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias owc_discussions -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=owc_discussions,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストア名です(例: owc_discussions.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-15 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=owc_discussions,dc=example,dc=com" -alias owc_discussions -keypass welcome1 -keystore owc_discussions.jks -storepass welcome1 -validity 1064

注意:

公開鍵が含まれる証明書をエクスポートします。

keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks -storepass keystore_password -rfc -file owc_discussions_public.cer

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-16 公開鍵が含まれる証明書のエクスポート

keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks -storepass welcome1 -rfc -file owc_discussions_public.cer

webcenter_public証明書をインポートします。

keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore owc_discussions.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-17 webcenter_public証明書のインポート

keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore owc_discussions.jks -storepass welcome1

owc_discussions_public証明書をインポートします。

keytool -importcert -alias owc_discussions_public -file owc_discussions_public.cer -keystore webcenter.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-18 owc_discussions_public証明書のインポート

keytool -importcert -alias owc_discussions_public -file owc_discussions_public.cer -keystore webcenter.jks -storepass welcome1

第34.3.3.3項「資格証明ストアの更新」で説明しているように、WLSTを使用して資格証明ストアを更新し、続行します。

34.3.3.3 資格証明ストアの更新

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

keystore.providerプロバイダの<serviceInstanceノードを見つけます。

<!-- KeyStore Service Instance -->
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>

webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./webcenter.jksを指定します。
```
<serviceInstance name="keystore" provider="keystore.provider" location="./webcenter.jks">
<description>Default JPS Keystore Service</description>
```

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.3.4 ディスカッション・サーバーの接続設定の構成

第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図34-20は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。

図34-20 「ディスカッションおよびお知らせ接続の編集」ページ

「図34-20 「ディスカッションおよびお知らせ接続の編集」ページ」の説明

34.3.4 1つ目のSOAドメインの設定

この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。

第34.3.4.1項「SOAドメイン・キーストアの作成」
第34.3.4.2項「WLSTを使用したキーストアの構成」
第34.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.3.4.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。
```
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
 -keystore bpel.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
- 例34-19 公開証明書のインポート
```
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer -keystore bpel.jks -storepass welcome1
```

keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel -keypass key_password -keystore bpel.jks -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-20 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass welcome1 -keystore bpel.jks -storepass welcome1 -validity 1064

注意:

別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
```
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass keystore_password -rfc -file orakey.cer
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-21 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1 -rfc -file orakay.cer
```
再度WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-22 証明書のインポート
```
keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass welcome1
```

証明書をSOAドメインにインポートします。

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-23 証明書のインポート

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass welcome1

第34.3.4.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

表34-7は、SOA 1ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

表34-7 複合トポロジの場合のSOA 1ドメイン・キーストアのコンテンツ

キーの別名	説明
`bpel`	SOA 1ドメインのサーバーからのアウトバウンド・メッセージの署名に使用される秘密鍵です。この鍵は、SOA 1ドメインのSOAサーバーにデプロイされているワークリスト・アプリケーションによって使用されます。
`webcenter_spaces_ws`	WebCenter Portalドメインで使用される`webcenter`秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SOA 1ドメイン内のBPEL Server1からSpacesドメインのWebサービスAPIへのアウトバウンド・ワークフロー・メッセージの暗号化に使用されます。

34.3.4.2 WLSTを使用したキーストアの構成

SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.4.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-21を参照)。

図34-21 「キーストアの構成」ページ

「図34-21 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./bpel.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: bpel
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: bpel
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.3.5 2つ目のSOAドメインの設定

この項では、2つ目のSOAドメイン・キーストアを設定する方法について説明します。内容は次のとおりです。

第34.3.5.1項「SOAドメイン・キーストアの作成」
第34.3.5.2項「WLSTを使用したキーストアの構成」
第34.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」
第34.3.5.4項「2つ目のSOAサーバーのSpacesワークリスト接続の構成」

34.3.5.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias soa_server3
 -keypass key_password -keystore soa_server3.jks -storepass keystore_password
 -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=soa_server3,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-24 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias 
soa_server3 -keypass welcome1 -keystore soa_server3.jks -storepass welcome1 
-validity 1064

注意:

別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
```
keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks
 -storepass keystore_password -rfc -file soa_server3_public_key.cer
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-25 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks 
-storepass welcome1 -rfc -file soa_server3_public_key.cer
```
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がsoa_server3_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_
key.cer  -keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-26 証明書のインポート
```
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer 
-keystore webcenter.jks -storepass welcome1
```

soa_server3_public_key証明書をインポートします。

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-27 soa_server3_public_key証明書のインポート

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass welcome1

producer_public_key証明書をインポートします。

keytool -importcert -alias producer_public_key -file producer_public_key.cer -keystore webcenter.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-28 producer_public_key証明書のインポート

keytool -importcert -alias producer_public_key -file producer_public_key.cer -keystore webcenter.jks -storepass welcome1

external_webcenter_custom_public_key証明書をインポートします。

keytool -importcert -alias external_webcenter_custom_public_key -file external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-29 external_webcenter_custom_public_key証明書のインポート

keytool -importcert -alias external_webcenter_custom_public_key -file external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass welcome1

第34.3.5.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

表34-8は、SOA 2ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

表34-8 複合トポロジの場合のSOA 2ドメイン・キーストアのコンテンツ

キーの別名	説明
`webcenter`	Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
`orakey`	SOA 1ドメインで使用される`BPEL`秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 1ドメイン内のSOA_Server3へのアウトバウンド・メッセージの暗号化に使用されます。
`soa_server3_public_key`	SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。
`producer_public_key`	WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。
`external_webcenter_custom_public_key`	Spaces Webサービスに対してWebサービス・コールを行うFrameworkアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のFrameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。

34.3.5.2 WLSTを使用したキーストアの構成

2つ目のSOAドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
soa_server3.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./soa_server3.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.5.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.5.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-22を参照)。

図34-22 「キーストアの構成」ページ

「図34-22 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./soa_server3.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: soa_server3
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: soa_server3
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.3.5.4 2つ目のSOAサーバーのSpacesワークリスト接続の構成

通常、Spacesワークリスト接続では、oracle/wss10_saml_token_with_message_protection_client_policyポリシーを使用して、SOAサーバーへのアウトバウンドSOAPメッセージが保護されます。ただし、WebCenter Portalドメインで複数のワークリスト接続が同時に使用される複合デプロイメントの場合は、追加のOWSMポリシーを作成して、受信者キーの別名が、Spacesサイドの目的のSOAサーバーの証明書の別名と一致するように、そのポリシーを構成する必要があります。

複数のワークリスト接続を同時に使用するには、次の手順を実行します。

外部SOAドメインから証明書をエクスポートし、それを新規別名(次の例ではsoa_server3_key)でWebCenter Portalドメインにインポートします。
Fusion Middleware Controlを使用して新規OWSMポリシーを作成し、前の手順と同じ別名を使用するように受信者キーの別名を上書きします。
1. Fusion Middleware Controlで、「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。
  
  「Webサービス・ポリシー」ページが表示されます(図34-23を参照)。
  
  図34-23 「Webサービス・ポリシー」ページ
  
  「図34-23 「Webサービス・ポリシー」ページ」の説明
2. 新規ポリシー作成のベースとして使用するクライアント・ポリシーを選択して、「類似作成」をクリックします。
  
  「ポリシーの作成」ページが表示されます(図34-24を参照)。
  
  図34-24 「ポリシーの作成」ページ
  
  「図34-24 「ポリシーの作成」ページ」の説明
3. 新規ポリシーの名前(たとえば、oracle_wss10_saml_token_with_message_protection_client_policy_soa_server3)を入力して、「保存」をクリックします。
  
  「Webサービス・ポリシー」ページに、新規ポリシーが表示されます。
4. 「Webサービス・ポリシー」ページで、新規ポリシーを選択して、「編集」をクリックします。
5. 「ポリシーの編集」ページで、「構成」タブを開き、「編集」をクリックします。
6. 受信者キーの別名を値soa_server3_keyで上書きして、「保存」をクリックします。

BPEL接続を作成し、次のWLSTコマンドを使用して、前の手順で作成したポリシーにセキュリティ・ポリシーを設定します。

setBPELConnection(appName='webcenter', name='WebCenter-Worklist-SOAServer3',url='<your_url>', policy='oracle/wss10_saml_token_with_message_protection_client_policy_soa_server3')

34.3.6 外部ポートレット・ドメイン・キーストアの設定

この項では、この複合トポロジのWSRPプロデューサの1つで使用されている外部ポートレット・ドメインにキーストアを設定する方法を説明します。

この項の内容は次のとおりです。

第34.3.6.1項「外部ポートレット・ドメイン・キーストアの作成」
第34.3.6.2項「WLSTを使用したキーストアの構成」
第34.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.3.6.1 外部ポートレット・ドメイン・キーストアの作成

外部ポートレット・ドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
```
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore producer.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです。
例34-30 証明書のインポート
```
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore producer.jks -storepass welcome1
```

keytoolを使用して、キー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias producer
 -keypass key_password -keystore producer.jks -storepass keystore_password
 -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=producer,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-31 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias 
producer -keypass welcome1 -keystore producer.jks -storepass welcome1 -validity 
1064

注意:

Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
```
keytool -exportcert -v -alias producer -keystore producer.jks -storepass keystore_password -rfc -file producer_public_key.cer
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-32 公開鍵が含まれる証明書のエクスポート
```
keytool -exportcert -v -alias producer -keystore producer.jks -storepass welcome1 
-rfc -file producer_public_key.cer
```
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がproducer_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias producer_public_key -file producer_public_key.cer 
-keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-33 証明書のインポート
```
keytool -importcert -alias producer_public_key -file producer_public_key.cer 
-keystore webcenter.jks -storepass welcome1
```
第34.3.6.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

34.3.6.2 WLSTを使用したキーストアの構成

外部ポートレット・ドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
producer.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./producer.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.6.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.6.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-25を参照)。

図34-25 「キーストアの構成」ページ

「図34-25 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./producer.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: producer
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: producer
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.3.7 外部WebCenter Portalドメイン・キーストアの設定

この項では、Spaces Webサービス・コールを行うFrameworkアプリケーションで使用される外部WebCenter Portalドメインを設定する方法を説明します。

この項の内容は次のとおりです。

第34.3.7.1項「外部WebCenter Portalドメイン・キーストアの作成」
第34.3.7.2項「WLSTを使用したキーストアの構成」
第34.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」

34.3.7.1 外部WebCenter Portalドメイン・キーストアの作成

外部WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。

JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
```
keytool -importcert -alias webcenter_public -file webcenter_public.cer
 -keystore external_webcenter_custom.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです。
例34-34 証明書のインポート
```
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore 
external_webcenter_custom.jks -storepass welcome1
```

keytoolを使用して、キー・ペアを生成します。

keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias external_webcenter_custom -keypass key_password -keystore external_webcenter_custom.jks
 -storepass keystore_password -validity days_valid

各要素の意味は次のとおりです。

consumer_dnameは、コンシューマの名前です(例: cn=external_webcenter_custom,dc=example,dc=com)。
key_passwordは、新しい公開鍵のパスワードです(例: welcome1)。
keystore_passwordは、キーストアのパスワードです(例: welcome1)。

days_validは、キーのパスワードが有効な日数です(例: 1064)。

例34-35 キーペアの生成

keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom, dc=example,dc=com" -alias external_webcenter_custom -keypass welcome1 
-keystore external_webcenter_custom.jks -storepass welcome1 -validity 1064

注意:

Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。

keytool -exportcert -v -alias external_webcenter_custom -keystore external_
webcenter_custom.jks -storepass keystore_password -rfc -file external_
webcenter_custom_public_key.cer

各要素の意味は次のとおりです。

keystore_passwordは、キーストアのパスワードです(例: welcome1)。

例34-36 公開鍵が含まれる証明書のエクスポート

keytool -exportcert -v -alias external_webcenter_custom -keystore external_
webcenter_custom.jks -storepass welcome1 -rfc -file external_webcenter_custom_
public_key.cer

WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がexternal_webcenter_custom_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
```
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password
```
各要素の意味は次のとおりです。
- keystore_passwordは、キーストアのパスワードです(例: welcome1)。
例34-37 証明書のインポート
```
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass welcome1
```
第34.3.7.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

34.3.7.2 WLSTを使用したキーストアの構成

外部WebCenter Portalドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成する手順は次のとおりです。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

次のWLSTコマンドを使用して、資格証明ストアを更新します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="welcome1", desc="Signing key")

すべてのサーバーを再起動します。

34.3.7.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.7.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成する手順は次のとおりです。

Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。

「キーストアの構成」ページが表示されます(図34-26を参照)。

図34-26 「キーストアの構成」ページ

「図34-26 「キーストアの構成」ページ」の説明
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
- キーストア・パス: ./external_webcenter_custom.jks
- パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
- キーの別名: external_webcenter_custom
- 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
- 暗号化の別名: external_webcenter_custom
- 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。

34.3.8 複合トポロジの場合のコマンド・サマリー

複合トポロジの場合にキーストアおよびDFプロパティを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
webcenter  -keypass welcome1 -keystore webcenter.jks -storepass welcome1 -validity 1064

keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass 
welcome1 -rfc -file webcenter_public.cer

keytool -importcert -alias df_webcenter_public -file webcenter_public.cer 
-keystore owc_discussions.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer 
-keystore bpel.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass welcome1 -keystore bpel.jks

keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1 -rfc -file orakay.cer

keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias 
 soa_server3 -keypass welcome1 -keystore soa_server3.jks -storepass welcome1 
-validity 1024

keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks -storepass 
welcome1 -rfc -file soa_server3_public_key.cer

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer 
-keystore webcenter.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore 
producer.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias 
producer -keypass welcome1 -keystore producer.jks -storepass welcome1 -validity 1024

keytool -exportcert -v -alias producer -keystore producer.jks -storepass welcome1 
-rfc -file producer_public_key.cer

keytool -importcert -alias webcenter_public -file webcenter_public.cer 
-keystore external_webcenter_custom.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,dc=example,dc=com" -alias external_webcenter_custom -keypass welcome1 -keystore external_webcenter_custom.jks 
-storepass welcome1 -validity 1024

keytool -exportcert -v -alias external_webcenter_custom -keystore 
external_webcenter_custom.jks -storepass welcome1 -rfc -file 
external_webcenter_custom_public_key.cer

keytool -importcert -alias producer_public_key -file producer_public_key.cer 
-keystore webcenter.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass welcome1

証明書を信頼するかを尋ねられたら、yesと答えます。

webcenter.jksをdomain_home/config/fmwconfigディレクトリに、bpel.jksをSOA1_domain_home/config/fmwconfigディレクトリに、soa_server3.jksをSOA_2_domain_home/config/fmwconfigディレクトリに、producer.jksをExternal_Portlet_domain_home/config/fmwconfigディレクトリに、およびexternal_webcenter_custom.jksをExternal_WebCenter_domain_home/config/fmwconfigディレクトリにコピーします。

WebCenter Portalドメイン・キーストアの構成

次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./webcenter.jksを指定します。

WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")

外部ディスカッション・サーバー・ドメイン・キーストアの構成

次の手順に従って、ディスカッション・サーバーのサービス・インスタンス参照を構成します。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./owc_discussions.jksを指定します。

WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="welcome1", desc="Signing key")

SOA1ドメイン・キーストアの構成

次の手順に従って、SOA1ドメインのサービス・インスタンス参照を構成します。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、bpel.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./bpel.jksを指定します。

WLSTを使用して、SOA1ドメインに管理ユーザーとして接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")

SOA2ドメイン・キーストアの構成

次の手順に従って、SOA2ドメインのサービス・インスタンス参照を構成します。

<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、soa_server3.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./soa_server3.jksを指定します。

WLSTを使用して、SOA2ドメインに管理ユーザーとして接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="welcome1", desc="Signing key")

外部ポートレット・プロデューサ・ドメイン・キーストアの構成

次の手順に従って、外部ポートレット・プロデューサ・ドメイン・キーストアおよび外部WebCenter Portalドメイン・キーストアのサービス・インスタンス参照を構成します。

外部ポートレット・プロデューサ・ドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./producer.jksを指定します。

WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="welcome1", desc="Signing key")

外部WebCenter Portalドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./external_webcenter_custom.jksを指定します。

WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="welcome1", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="welcome1", desc="Signing key")

ディスカッション・サーバー接続の構成

第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定します。また、第34.3.3.4項「ディスカッション・サーバーの接続設定の構成」で、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を参照してください。

34.4 Spaces Client APIを使用するアプリケーションに対するWS-Securityを使用したSpacesの保護

この項では、Spaces APIを公開するアプリケーション(コンシューマ)とSpaces(プロデューサ)の間の通信のセキュリティが確保され、それらのAPIを呼び出すユーザーのアイデンティティが保護されるように、SpacesにWS-Securityを構成する場合に必要な管理者タスクについて説明します。

SpacesクライアントAPIを使用するアプリケーション開発のための開発者タスクの詳細は、『Oracle Fusion Middleware Oracle WebCenter Portal開発者ガイド』のWebCenter Spaces APIを使用するようにFrameworkアプリケーションを設定する方法に関する項を参照してください。

この項の内容は次のとおりです。

第34.4.1項「SpacesクライアントAPIを使用するアプリケーションの単純トポロジの構成」
第34.4.2項「SpacesクライアントAPIを使用するアプリケーションの標準トポロジの構成」
第34.4.3項「SpacesクライアントAPIを使用するアプリケーションの複合トポロジの構成」

34.4.1 SpacesクライアントAPIを使用するアプリケーションの単純トポロジの構成

クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");

クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.1.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");

34.4.2 SpacesクライアントAPIを使用するアプリケーションの標準トポロジの構成

クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.2.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

34.4.3 SpacesクライアントAPIを使用するアプリケーションの複合トポロジの構成

クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

クライアント・アプリケーションがJDeveloperの場合、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーして、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.3.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");