Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1(11.1.1.6.0) B72085-01 |
|
前 |
次 |
この章では、WebCenter Portalアプリケーション(SpacesアプリケーションおよびFrameworkアプリケーションを含む)および関連するサービスとコンポーネントに、使用するトポロジに基づいてWS-Securityを設定する方法を説明します。ここでは、次の構成を扱います。
単純トポロジ。WebCenter Portalアプリケーションとすべてのコンポーネントが同一ドメインを共有しています。
標準トポロジ。WebCenter Portalアプリケーションとコンポーネントが2つのドメインに分かれています。
複合トポロジ。WebCenter Portalアプリケーションとコンポーネントが複数のドメインに分かれています。
これら3つのトポロジにおける、WebCenter Portalアプリケーション(Spacesなど)、Oracle WebCenter Portalのディスカッション・サーバー、ワークリスト・サービスおよびWSRPプロデューサに対する構成について説明します。これらの構成およびSpaces APIを使用するアプリケーションの保護手順は、次の各項で説明しています。
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdmin
ロールを付与されたユーザー)を対象としています。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
この項では、WebCenter Portalアプリケーション、BPELサーバーおよびWSRPプロデューサが同一ドメインを共有するトポロジの場合にWS-Securityを構成する方法を説明します(図34-1)。
単一ドメインの単純WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図34-1)と表(表34-1)は、単一ドメインの単純WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表34-1は、単純WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバーおよびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias orakey
-keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です。これには適切な形式であるかぎり、任意の文字列を指定できます(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストア名です(例: default-keystore.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias orakey -keystore keystore -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystore
は、キーストア名です(例: default-keystore.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
証明書を別名webcenter_spaces_ws
でインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです。
第34.1.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表34-2は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表34-2 単純トポロジの場合のPortalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
WebCenter Portalドメインで使用される |
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
資格証明ストアを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
default-keystore.jks
キーストア・ファイルが、<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされており、locationとして./default-keystore.jks
が指定されていることを確認します。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password=private_key_password, desc="Signing key")
各要素の意味は次のとおりです。
keystore_password
は、第34.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: welcome1
)。
private_key_password
は、第34.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: welcome1
)。
例34-4 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.1.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
default-keystore.jks
キーストア・ファイルが、<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./default-keystore.jks
を指定します。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図34-3を参照)。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-4を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./default-keystore.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: orakey
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: orakey
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
単純トポロジでは、ディスカッション・サーバーはSpacesと同じドメインにあるため、追加のキーストア構成は必要ありません。これは、WebCenter Portalドメインに構成されているキーストアがディスカッション・サービスでも使用されるからです。ただし、本番環境では、ディスカッション・サービスのWebサービス・エンド・ポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要があります。それらの設定手順は、次の各項で説明します。
注意: WebCenter PortalアプリケーションからOracle WebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第33章「SSLの構成」を参照してください。 |
WebCenter Portalのディスカッション・サービスのWebサービス・エンド・ポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。出荷時に、ディスカッション・サービスのWebサービス・エンド・ポイントには、完全にセキュリティを実装する必要なくテスト環境で起動して実行できるように、非保護のSAMLトークンを使用するポリシーが構成されています。ただし、本番環境では、転送中に他者がメッセージを改ざんしたり、表示したりできないように、Webサービス・エンド・ポイントをOWSMポリシーで保護する必要があります。これを実行するには、パブリック・アクセス用のWebサービス・エンド・ポイントと認証済ユーザー・アクセス用のエンド・ポイントの両方を、Fusion Middleware ControlまたはWLSTを使用して適切なOWSMポリシーで保護する必要があります。
この項の内容は次のとおりです。
Fusion Middleware Controlを使用してディスカッション・サービス・エンド・ポイントを保護する手順は次のとおりです。
Fusion Middleware Controlにログインして、ナビゲーション・ペインから、「WebCenter」→「ポータル」→「ディスカッション」を開いて、Discussions(WC_Collaboration)
をクリックします。
「ディスカッション」ホームページが表示されます(図34-5を参照)。
owc_discussions
ターゲットをクリックします。
owc_discussions
アプリケーションのホームページが表示されます(図34-6を参照)。
「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。
owc_discussions
アプリケーションの「Webサービス」ページが表示されます(図34-7を参照)。
「Webサービス」タブを開き、OWCDiscussionsServiceAuthenticated
Webサービス・エンド・ポイントをクリックします。
owc_discussionsの「Webサービス・エンドポイント」ページが表示されます(図34-8を参照)。
「アタッチ/デタッチ」をクリックします。
「ポリシーの添付」ページが表示されます(図34-9を参照)。
Use the 「アタッチ」ボタンと「デタッチ」ボタンを使用して、oracle/wss11_saml_token_with_message_protection_service_policy
を添付し、oracle/wss10_saml_token_service_policy
を削除します。
「OK」をクリックします。
「Webサービス」ページに戻り、OWCDiscussionsServicePublic
エンド・ポイントをクリックします。
oracle/wss11_message_protection_service_policy
を添付して、パブリック・ユーザーのWebサービス・エンド・ポイントも保護されるようにします。
「OK」をクリックします。
WLSTを使用してディスカッション・サーバー・エンド・ポイントを保護するには、次のWLSTコマンドを使用して、wss10_saml_token_service_policy
を削除し、wss11_saml_token_with_message_protection_service_policy
を添付します。
detachWebServicePolicy('owc_discussions', 'owc_discussions', 'web', 'OWCDiscussionsServiceAuthenticated', 'OWCDiscussionsServiceAuthenticated', 'oracle/wss10_saml_token_service_policy') attachWebServicePolicy('owc_discussions', 'owc_discussions', 'web', 'OWCDiscussionsServiceAuthenticated', 'OWCDiscussionsServiceAuthenticated', 'oracle/wss11_saml_token_with_message_protection_service_policy')
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているWebCenter Portalアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図34-10は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
単純トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey
-keypass welcome1 -keystore default-keystore.jks -storepass welcome1 -validity 1064 keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass welcome1 -rfc -file orakey.cer keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass welcome1
証明書がすでに存在することを伝えるプロンプトが表示されたら、yes
と答えます。
keytool -importcert -alias df_orakey_public -file orakey.cer
-keystore owc_discussions.jks -storepass welcome1
default-keystore.jks
ファイルをdomain_home/config/fmwconfig
ディレクトリにコピーします。
キーストアの構成
WLSTを使用して、Spacesドメインに管理者として接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="welcome1", desc="Signing key")
この項では、WebCenter PortalアプリケーションとWSRPプロデューサは同一ドメインを共有しているが、BPELサーバーは外部ドメイン(SOAドメイン)に配置されているトポロジの場合にWS-Securityを構成する方法を説明します(図34-11を参照)。
標準の2つのドメインのWebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図34-12)と表(表34-3)は、標準WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表34-3は、標準WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore keystore
-storepass keystore_password -rfc -filewebcenter_public.cer
各要素の意味は次のとおりです。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.2.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表34-4は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表34-4 標準トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOAドメインで使用される |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password=private_key_password, desc="Signing key")
各要素の意味は次のとおりです。
keystore_password
は、第34.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: welcome1
)。
private_key_password
は、第34.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: welcome1
)。
例34-7 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図34-13を参照)。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-14を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合のディスカッション・サーバーの構成は、単純トポロジの場合とまったく同じです。詳細は、第34.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」を参照してください。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer
)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel
-keypass key_password -keystore keystore -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=bpel,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストアの名前です(例: bpel.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore keystore -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
異なる別名で証明書をインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです。
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
bpel.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./bpel.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを構成します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.2.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、SOAドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ペインが表示されます(図34-15を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass welcome1 -keystore webcenter.jks -storepass welcome1 -validity
1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks
-storepass welcome1 -rfc -file webcenter_public.cer keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass welcome1
証明書がすでに存在することを伝えるプロンプトが表示されたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass welcome1 -keystore bpel.jks -storepass welcome1 -validity 1024 keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1
-rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks
-storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
webcenter.jks
ファイルをdomain_home/config/fmwconfig
ディレクトリにコピーし、bpel.jks
ファイルをsoa_domain_home/config/fmwconfig
ディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./webcenter.jks
を指定します。
WLSTを使用して、Spacesドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")
SOAドメイン・キーストアの構成
次の手順に従って、SOAドメインのサービス・インスタンス参照を構成します。
<SOA_DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、bpel.jks
を<SOA_DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./bpel.jks
を指定します。
WLSTを使用して、SOAドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")
この項では、WebCenter Portalアプリケーション、ディスカッション・サーバー(Jive)およびWSRPプロデューサが同一ドメインにあり、2つのBPELサーバーが別々のSOAドメインにあり、1つのWSRPプロデューサが外部ポートレット・ドメインにある複合トポロジの場合にWS-Securityを構成する方法を説明します(図34-16を参照)。
複数のドメインが含まれる複合WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図34-17)と表(表34-5)は、複数ドメインの複合WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表34-5は、複合WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
表34-5 複合トポロジの場合のWS-Securityの構成
担当者 | タスク | サブタスク | ノート |
---|---|---|---|
Administrator |
1. WebCenter Portalドメイン・キーストアの設定 |
1.a WebCenter Portalドメイン・キーストアの作成 |
|
1.b キーストアの構成 |
. |
||
2. ディスカッション・サーバーの構成 |
2.a ディスカッション・サービス・エンド・ポイントの保護 |
||
2.b ディスカッション・サーバー・キーストアの作成 |
|||
2.c 資格証明ストアの更新 |
|||
2.d ディスカッション・サーバー接続の構成 |
. |
||
3. 1つ目のSOAドメインの設定 |
3.a 1つ目のSOAドメイン・キーストアの作成 |
||
3.b 1つ目のSOAドメイン・キーストアの構成 |
|||
4. 2つ目のSOAドメインの設定 |
4.a 2つ目のSOAドメイン・キーストアの作成 |
||
4.b 2つ目のSOAドメイン・キーストアの構成 |
|||
4.c Spacesワークリスト接続の構成 |
|||
5. 外部ポートレット・ドメイン・キーストアの設定 |
5.a 外部ポートレット・ドメイン・キーストアの作成 |
||
5.b 外部ポートレット・ドメイン・キーストアの構成 |
|||
6. 外部WebCenter Portalドメイン・キーストアの設定 |
6.a 外部WebCenter Portalドメイン・キーストアの作成 |
||
6.b 外部WebCenter Portalドメイン・キーストアの構成 |
Javaキーストア(JKS)を使用して、Spaces、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサ(これも別のドメイン内)のセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、webcenter
キーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore wecenter.jks -storepass keystore_password -rfc -file webcenter_public.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
orakey
証明書をインポートします。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表34-6は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表34-6 複合トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOA 1ドメインで使用される |
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
Spaces Webサービスに対してWebサービス・コールを行うWebCenter Portalアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のWebCenter Portalアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
|
ディスカッション・アプリケーションをホストする外部ディスカッション・ドメインで使用される外部owc_discussions秘密鍵に対応する公開鍵が含まれる証明書です。この証明書はディスカッションWebサービスに対してWebサービス・コールを行うSpacesおよびWebCenter Portalアプリケーションによって使用されます。 |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図34-18を参照)。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-19を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジでは、ディスカッション・サーバーはSpacesとは異なるドメインにあるため、ディスカッション・サーバーにキーストアを作成して構成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートすることが必要になります。本番環境では、ディスカッション・サービスのWebサービス・エンド・ポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成することも必要になります。それらの設定手順は、次の各項で説明します。
注意: FrameworkアプリケーションからWebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第33章「SSLの構成」を参照してください。 |
WebCenter Portalのディスカッション・サービスのWebサービス・エンド・ポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。第34.1.3.1項「ディスカッション・サービスのエンド・ポイントの保護」の手順に従い、Fusion Middleware ControlまたはWLSTを使用してこれらのエンド・ポイントを保護します。
この項では、OWSMで使用されるキー・ペアが含まれるキーストアをディスカッション・サーバーに作成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートできるようにする方法を説明します。
owc_discussions
キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、owc_discussions
キーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias owc_discussions -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=owc_discussions,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストア名です(例: owc_discussions.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks -storepass keystore_password -rfc -file owc_discussions_public.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
webcenter_public
証明書をインポートします。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore owc_discussions.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
owc_discussions_public
証明書をインポートします。
keytool -importcert -alias owc_discussions_public -file owc_discussions_public.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.3.3項「資格証明ストアの更新」で説明しているように、WLSTを使用して資格証明ストアを更新し、続行します。
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
<!-- KeyStore Service Instance -->
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./webcenter.jks
を指定します。
<serviceInstance name="keystore" provider="keystore.provider" location="./webcenter.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図34-20は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer
)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel -keypass key_password -keystore bpel.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=bpel,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
再度WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
証明書をSOAドメインにインポートします。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.4.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表34-7は、SOA 1ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表34-7 複合トポロジの場合のSOA 1ドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
SOA 1ドメインのサーバーからのアウトバウンド・メッセージの署名に使用される秘密鍵です。この鍵は、SOA 1ドメインのSOAサーバーにデプロイされているワークリスト・アプリケーションによって使用されます。 |
|
WebCenter Portalドメインで使用される |
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
bpel.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./bpel.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-21を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、2つ目のSOAドメイン・キーストアを設定する方法について説明します。内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias soa_server3
-keypass key_password -keystore soa_server3.jks -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=soa_server3,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks
-storepass keystore_password -rfc -filesoa_server3_public_key.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がsoa_server3_public_key
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_
key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
soa_server3_public_key
証明書をインポートします。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
producer_public_key
証明書をインポートします。
keytool -importcert -alias producer_public_key -file producer_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
external_webcenter_custom_public_key
証明書をインポートします。
keytool -importcert -alias external_webcenter_custom_public_key -file external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.5.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表34-8は、SOA 2ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表34-8 複合トポロジの場合のSOA 2ドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOA 1ドメインで使用される |
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
Spaces Webサービスに対してWebサービス・コールを行うFrameworkアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のFrameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
2つ目のSOAドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
soa_server3.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./soa_server3.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.5.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-22を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./soa_server3.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: soa_server3
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: soa_server3
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
通常、Spacesワークリスト接続では、oracle/wss10_saml_token_with_message_protection_client_policy
ポリシーを使用して、SOAサーバーへのアウトバウンドSOAPメッセージが保護されます。ただし、WebCenter Portalドメインで複数のワークリスト接続が同時に使用される複合デプロイメントの場合は、追加のOWSMポリシーを作成して、受信者キーの別名が、Spacesサイドの目的のSOAサーバーの証明書の別名と一致するように、そのポリシーを構成する必要があります。
複数のワークリスト接続を同時に使用するには、次の手順を実行します。
外部SOAドメインから証明書をエクスポートし、それを新規別名(次の例ではsoa_server3_key
)でWebCenter Portalドメインにインポートします。
Fusion Middleware Controlを使用して新規OWSMポリシーを作成し、前の手順と同じ別名を使用するように受信者キーの別名を上書きします。
Fusion Middleware Controlで、「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。
「Webサービス・ポリシー」ページが表示されます(図34-23を参照)。
新規ポリシー作成のベースとして使用するクライアント・ポリシーを選択して、「類似作成」をクリックします。
「ポリシーの作成」ページが表示されます(図34-24を参照)。
新規ポリシーの名前(たとえば、oracle_wss10_saml_token_with_message_protection_client_policy_soa_server3
)を入力して、「保存」をクリックします。
「Webサービス・ポリシー」ページに、新規ポリシーが表示されます。
「Webサービス・ポリシー」ページで、新規ポリシーを選択して、「編集」をクリックします。
「ポリシーの編集」ページで、「構成」タブを開き、「編集」をクリックします。
受信者キーの別名を値soa_server3_key
で上書きして、「保存」をクリックします。
BPEL接続を作成し、次のWLSTコマンドを使用して、前の手順で作成したポリシーにセキュリティ・ポリシーを設定します。
setBPELConnection(appName='webcenter', name='WebCenter-Worklist-SOAServer3',url='<your_url>', policy='oracle/wss10_saml_token_with_message_protection_client_policy_soa_server3')
この項では、この複合トポロジのWSRPプロデューサの1つで使用されている外部ポートレット・ドメインにキーストアを設定する方法を説明します。
この項の内容は次のとおりです。
外部ポートレット・ドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore producer.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias producer
-keypass key_password -keystore producer.jks -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=producer,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias producer -keystore producer.jks -storepass keystore_password -rfc -file producer_public_key.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がproducer_public_key
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.6.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部ポートレット・ドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
producer.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./producer.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.6.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-25を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./producer.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: producer
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: producer
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、Spaces Webサービス・コールを行うFrameworkアプリケーションで使用される外部WebCenter Portalドメインを設定する方法を説明します。
この項の内容は次のとおりです。
外部WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias external_webcenter_custom -keypass key_password -keystore external_webcenter_custom.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dname
は、コンシューマの名前です(例: cn=external_webcenter_custom,dc=example,dc=com
)。
key_password
は、新しい公開鍵のパスワードです(例: welcome1
)。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias external_webcenter_custom -keystore external_
webcenter_custom.jks -storepass keystore_password -rfc -file external_
webcenter_custom_public_key.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がexternal_webcenter_custom_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: welcome1
)。
第34.3.7.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第34.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部WebCenter Portalドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第34.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="welcome1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第34.3.7.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図34-26を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./external_webcenter_custom.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: external_webcenter_custom
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: external_webcenter_custom
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジの場合にキーストアおよびDFプロパティを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass welcome1 -keystore webcenter.jks -storepass welcome1 -validity 1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass
welcome1 -rfc -file webcenter_public.cer keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass welcome1 -keystore bpel.jks keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass welcome1 -rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias
soa_server3 -keypass welcome1 -keystore soa_server3.jks -storepass welcome1
-validity 1024 keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks -storepass
welcome1 -rfc -file soa_server3_public_key.cer keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer
-keystore webcenter.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore
producer.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias
producer -keypass welcome1 -keystore producer.jks -storepass welcome1 -validity 1024 keytool -exportcert -v -alias producer -keystore producer.jks -storepass welcome1
-rfc -file producer_public_key.cer keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,dc=example,dc=com" -alias external_webcenter_custom -keypass welcome1 -keystore external_webcenter_custom.jks -storepass welcome1 -validity 1024 keytool -exportcert -v -alias external_webcenter_custom -keystore
external_webcenter_custom.jks -storepass welcome1 -rfc -file
external_webcenter_custom_public_key.cer keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass welcome1
証明書を信頼するかを尋ねられたら、yes
と答えます。
webcenter.jks
をdomain_home/config/fmwconfig
ディレクトリに、bpel.jks
をSOA1_domain_home/config/fmwconfig
ディレクトリに、soa_server3.jks
をSOA_2_domain_home/config/fmwconfig
ディレクトリに、producer.jks
をExternal_Portlet_domain_home/config/fmwconfig
ディレクトリに、およびexternal_webcenter_custom.jks
をExternal_WebCenter_domain_home/config/fmwconfig
ディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./webcenter.jks
を指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="welcome1", desc="Signing key")
外部ディスカッション・サーバー・ドメイン・キーストアの構成
次の手順に従って、ディスカッション・サーバーのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./owc_discussions.jks
を指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="welcome1", desc="Signing key")
SOA1ドメイン・キーストアの構成
次の手順に従って、SOA1ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、bpel.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./bpel.jks
を指定します。
WLSTを使用して、SOA1ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="welcome1", desc="Signing key")
SOA2ドメイン・キーストアの構成
次の手順に従って、SOA2ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、soa_server3.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./soa_server3.jks
を指定します。
WLSTを使用して、SOA2ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="welcome1", desc="Signing key")
外部ポートレット・プロデューサ・ドメイン・キーストアの構成
次の手順に従って、外部ポートレット・プロデューサ・ドメイン・キーストアおよび外部WebCenter Portalドメイン・キーストアのサービス・インスタンス参照を構成します。
外部ポートレット・プロデューサ・ドメインの<DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、producer.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./producer.jks
を指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="welcome1", desc="Signing key")
外部WebCenter Portalドメインの<DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、producer.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
locationとして./external_webcenter_custom.jks
を指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="welcome1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="welcome1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="welcome1", desc="Signing key")
ディスカッション・サーバー接続の構成
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定します。また、第34.3.3.4項「ディスカッション・サーバーの接続設定の構成」で、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を参照してください。
この項では、Spaces APIを公開するアプリケーション(コンシューマ)とSpaces(プロデューサ)の間の通信のセキュリティが確保され、それらのAPIを呼び出すユーザーのアイデンティティが保護されるように、SpacesにWS-Securityを構成する場合に必要な管理者タスクについて説明します。
SpacesクライアントAPIを使用するアプリケーション開発のための開発者タスクの詳細は、『Oracle Fusion Middleware Oracle WebCenter Portal開発者ガイド』のWebCenter Spaces APIを使用するようにFrameworkアプリケーションを設定する方法に関する項を参照してください。
この項の内容は次のとおりです。
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.1.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.2.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperの場合、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーして、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第34.3.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");