Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
前 |
次 |
この章では、WebCenter Portalアプリケーション(FrameworkアプリケーションおよびSpacesを含む)およびコンポーネントをSSLで保護する方法を説明します。
この章の内容は次のとおりです。
注意: 次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。
|
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdmin
ロールを付与されたユーザー)を対象としています。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
SSLを使用したブラウザからSpacesへの接続の保護は、次の手順で構成されます。
最初の手順では、Spacesにカスタム・キーストアを生成します。
カスタム・キーストアを作成する手順は次のとおりです。
JDK_HOME
/bin/
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "dname" -alias alias -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
dname
は、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com
)。
alias
は、使用する別名です(例: webcenter_wls
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword1
)。
keystore
は、キーストア名です(例: webcenter_wls.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 360
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートして、Spacesクライアントが各自の信頼ストアに証明書をインポートできるようにします。
keytool -exportcert -v -alias alias -keystore keystore
-storepass keystore_password -rfc -file certificate_file
各要素の意味は次のとおりです。
alias
は、Spacesの別名です(例: webcenter_wls
)。
keystore
は、キーストア名です(例: webcenter_wls.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
certificate_file
は、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer
)。
使用する信頼ストアを決定します。
自己署名証明書を使用しているため、それをサーバーの信頼ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動して信頼ストアを決定する必要があります。
WebLogic Server管理コンソールにログインします。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」
をクリックします。
サーバーのリストで、WC_Spaces
をクリックします。
「構成」タブ→「キーストア」サブタブを開きます。
「キーストアの設定」ペインが表示されます。
「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます。
cacerts
ファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。
この信頼ストアに、前述の手順で生成された自己署名証明書をインポートします。
keytool -importcert -trustcacerts -alias alias -file certificate_file
-keystore cacerts -storepass changeit
各要素の意味は次のとおりです。
alias
は、Spacesの別名です(例: webcenter_wls
)。
certificate_file
は、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer
)。
自己署名証明書を信頼するかどうかを尋ねられたら、yes
と答えます。
次の手順では、Spacesサーバーに、カスタムIDキーストアとJava信頼キーストアを構成します。
IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。
IDキーストアおよび信頼キーストアを構成するSpacesサーバー(WC_Spaces
)をクリックします。
対象のSpacesサーバーの「設定」ペインが表示されます。
「構成」タブ→「キーストア」サブタブを開きます。
「キーストア」ペインが表示されます。
「変更」をクリックします。
「キーストア」として、Custom Identity and Java Standard Trust
を選択し、「保存」をクリックします。
「アイデンティティ」の下で、第34.1.1項「カスタム・キーストアの作成」で作成したカスタムIDキーストアのパスとファイル名を入力します。
「カスタムIDキーストアのタイプ」として、JKS
と入力します。
カスタムIDキーストアのパスワードを入力し、確認のためにもう一度入力します。
「信頼」の下で、Java標準信頼キーストアのパスワード(通常はchangeit
に設定)を入力し、確認のためにもう一度入力します。
「保存」をクリックして、エントリを保存します。
「SSL」タブを開きます。
「秘密鍵の別名」に値を入力します(例: webcenter_wls
)。
「秘密鍵のパスフレーズ」に値を入力します(例: MyPassword1
)。
「保存」をクリックして、エントリを保存します。
SSL接続を構成する手順:
Spacesサーバーの設定ペインで、「構成」タブ→「全般」サブタブを開きます。
「一般構成」ペインが表示されます。
「SSLリスニング・ポートの有効化」を選択します。
SSLリスニング・ポート番号を入力し、「保存」をクリックします。
「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。
「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」
に設定されていることを確認し、「保存」をクリックします。
「制御」タブを開きます。
「制御設定」ペインが表示されます。
「SSLの再起動」をクリックします。
WebLogic Serverを再起動し、SSL Spaces URLを開きます。
開発環境またはテスト環境の場合のみ(つまり、本番環境ではない場合)、証明書内のホスト名が実際のホスト名に一致しないときは、サーバーを次のコマンドで起動する必要があります。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
セッションの証明書を受け入れ、ログインします。
ブラウザからFrameworkアプリケーションへの接続の保護では、ブラウザからSpacesへの接続の保護と同じ構成手順を使用します。唯一異なる点は、構成が、WC_Spaces
サーバーではなく、Frameworkアプリケーションのデプロイをホストしている管理対象サーバーに対して実行されることです。詳細は、第34.1項「SSLを使用したブラウザからSpacesへの接続の保護」を参照してください。
Oracle HTTP Server (OHS)とSpacesとの間の接続の保護については、次の各項で説明しています。
IDキーストアおよび信頼キーストアを構成する手順は、第34.1項「SSLを使用したブラウザからSpacesへの接続の保護」を参照してください。
SSL接続を構成する手順は次のとおりです。
Spacesサーバーの設定ペインで、「構成」タブ→「全般」サブタブを開きます。
「一般構成」ペインが表示されます。
「SSLリスニング・ポートの有効化」を選択します。
SSLリスニング・ポート番号を入力し、「保存」をクリックします。
「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。
SSLの詳細オプションが表示されます。
「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」
に設定し、「保存」をクリックします。
「設定」ペインの「制御」タブを開き、「起動と停止」サブタブを選択します。
「SSLの再起動」をクリックします。
SSL Spaces URLを開きます。
セッションの証明書を受け入れ、ログインします。
WLS管理コンソールで、「チェンジ・センター」ペインの「変更と再起動の表示」をクリックして、影響を受けたサーバーまたはコンポーネントをすべて再起動します。
Oracle HTTP Serverをインストールする手順は次のとおりです。
Web層をインストールします。
Webキャッシュは選択しないでください。HTTP Serverのみを選択します。
インストール時にWebLogicサーバーを関連付けるチェック・ボックスを選択解除します。
WT_ORACLE_HOME/instances/<your_instance>/bin
ディレクトリにナビゲートし、次のコマンドを使用してOHSを起動します。
./opmnctl startall
次のコマンドを使用して、OHSのステータスを確認します。
./opmnctl status -l
SpacesポートからHTTP Serverにワイヤリングする手順は次のとおりです。
ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/mod_wl_ohs.conf
を開きます。
次のエントリをmod_wl_ohs.conf
に追加して、SpacesがOHSと連動するようにします。
<IfModule mod_weblogic.c>
WebLogicHost host_id
WebLogicPort ssl
Debug OFF
WLLogFile /tmp/ohs.log
MatchExpression *.jsp
</IfModule>
<Location />
SetHandler weblogic-handler
</Location>
host_id
およびport
をSpacesサーバーIDおよびポート番号に置換します。
ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/ssl.conf
を開きます。
次のエントリをssl.conf
に追加して、SpacesがOHS SSLポートで実行されるようにします。
<Location /> WebLogicHost host_id WebLogicPort port SetHandler weblogic-handler SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location> <Location /webcenter> SetHandler weblogic-handler WebLogicHost host_id WebLogicPort port SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location> <Location /webcenterhelp> SetHandler weblogic-handler WebLogicHost host_id WebLogicPort port SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location> <Location /rsscrawl> SetHandler weblogic-handler WebLogicHost host_id WebLogicPort port SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location> <Location /sesUserAuth> SetHandler weblogic-handler WebLogicHost host_id WebLogicPort port SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location> <Location /rss> SetHandler weblogic-handler WebLogicHost host_id WebLogicPort port SecureProxy ON WLLogFile /tmp/ohs_ssl.log Debug ALL WlSSLWallet SSL_wallet </Location>
host_id
およびport
をWebCenter Portal SSLサーバーIDおよびポート番号(通常は8788
)に置換し、SSL_wallet
をWebLogic SSLウォレット(たとえば、WT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/keystores/default
)に置換します。
注意: SSLは、Location/ディレクトリ・セクション内ではなく、サーバー・レベルで構成する必要があります。このため、たとえば、次のように構成するのではなく、 <Location /mylocation> WLSSLWallet <walletfile> SecureProxy ON </Location> 次のように構成します。 SecureProxy ON WlSSLWallet <walletfile> つまり、サーバー・レベル(Location/ディレクトリ・セクション外)での構成です。 |
WT_ORACLE_HOME/instances/<your_instance>/bin
に移動し、次のコマンドを使用してOHSを起動し、そのステータスを確認します。
./opmnctl stopall ./opmnctl startall ./opmnctl status -l
SSL証明書を構成する手順は次のとおりです。
WebCenter Portalの証明書を信頼するようにOHSを構成するには、WC_Spaces
証明書をOHS信頼ストアにインポートする必要があります。WC_Spaces
IDキーストアからこの証明書をエクスポートします。
keytool -exportcert -v -alias webcenter_wls -keystore webcenter_wls.jks
-storepass <password> -rfc -file webcenter_wls.cer
WT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/keystores/default
に移動し、次のorapki
コマンド(通常はIDM_HOME
にあります)を実行してOHSサイドのウォレットに証明書をインポートします。
orapki wallet add -wallet . -trusted_cert -cert webcenter_wls.cer -auto_login_only
orapkiコマンドの実行前にJAVA_HOME
を設定する必要があることに注意してください。
次のコマンドの実行により、証明書DN
を決定します。
orapki wallet display -wallet wallet_location
OHS証明書を信頼するようにWebCenter Portalを構成するには、OHSウォレットからユーザー証明書をエクスポートして、それをWebLogic信頼ストアに信頼できる証明書としてインポートします。
orapki wallet export -wallet . -cert cert.txt -dn 'CN=\"Self-signed Certificate for ohs1 \",OU=EXAMPLEORGUNIT,O=EXAMPLEORG,L=EXAMPLELOCATION,ST=CA,C=US'
前述の証明書をWC_Spaces
管理対象サーバーの信頼ストアにインポートします。この信頼ストアは、/scratch/wcwlsinstall/0408/wlshome/jrockit_160_05_R27.6.2-20/jre/lib/security/cacerts
にあります。
keytool -file cert.txt -importcert -trustcacerts -alias ohs_cert
-keystore cacerts -storepass changeit
OHSおよびWC_Spaces
サーバーを再起動します。
これで、SSL OHSおよび非SSL OHSにアクセスできるようになりました。
SSLを使用したブラウザからディスカッション・サービスへの接続の保護については、次の各項で説明しています。
次に示しているように、最初の手順ではカスタム・キーストアを生成します。
JDK_HOME
/bin/
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "dname" -alias owc_discussions
-keypass key_password -keystore owc_discussions.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
dname
は、使用するDN(識別名)です(例: cn=customidentity,dc=owc_discussions,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword1
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 360
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks
-storepass keystore_password -rfc -file owc_discussions.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
使用する信頼ストアを決定します。
自己署名証明書を使用しているため、それをサーバーの信頼ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動して信頼ストアを決定する必要があります。
WebLogic Server管理コンソールにログインします。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」
をクリックします。
サーバーのリストで、WC_Collaboration
をクリックします。
「構成」タブ→「キーストア」サブタブを開きます。
「キーストアの設定」ペインが表示されます。
「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます。
cacerts
ファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。
この信頼ストアに、前述の手順で生成された自己署名証明書をインポートします。
keytool -importcert -trustcacerts -alias owc_discussions
-file owc_discussions.cer -keystore cacerts -storepass changeit
cacerts
ファイルへのパスは絶対パスである必要があることに注意してください。そうでない場合、新しいcacerts
ファイルは、keytool
が実行されるディレクトリ(SSLポートがリスニングできない可能性のある場所)に作成されます。
自己署名証明書を信頼するかを尋ねられたら、yes
と答えます。
IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
IDキーストアおよび信頼キーストアを構成するコラボレーション・サーバー(WC_Collaboration
)をクリックします。
対象のサービス・サーバーの「設定」ペインが表示されます。
「構成」タブ→「キーストア」サブタブを開きます。
「キーストア」ペインが表示されます。
「キーストア」として、「カスタム・アイデンティティとJava標準信頼」を選択します。
「アイデンティティ」の下で、キーストアをowc_discussions.jks
として指定します。
キーストア・タイプをJKS
に設定します。
キーストアのパスフレーズ(例: MyPassword1
)を入力し、確認のためにもう一度入力します。
「信頼」の下で、「Java標準信頼キーストアのパスフレーズ」をchangeit
(これは固定値)に設定し、「保存」をクリックします。
WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「全般」サブタブを開きます。
「SSLポートの有効化」を選択して、目的のポートを指定し、設定を保存します。
WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「SSL」サブタブを開きます。
秘密鍵の別名をowc_discussions
に指定し、パスワードをMyPassword1に設定します。
「制御」タブを開きます。
「制御設定」ペインが表示されます。
「SSLの再起動」をクリックします。
SSL接続を構成する手順:
サービス・サーバーの「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。
「一般構成」ペインが表示されます。
「SSLリスニング・ポートの有効化」を選択します。
SSLリスニング・ポート番号を入力し、「保存」をクリックします。
「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。
「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」
に設定し、「保存」をクリックします。
WC_Collaboration
サーバーを再起動して、SSLディスカッションURLをhttps://host:port/owc_discussions
で開きます。
セッションの証明書を受け入れ、ログインします。
SSLを使用したWSRPおよびPDK-Javaポートレット・プロデューサへの接続の保護については、次の各項で説明しています。
カスタム・キーストアを作成する手順は、第34.1.1項「カスタム・キーストアの作成」を参照してください。キーペアの生成や証明書のエクスポートおよびインポートのコマンド例は次のとおりです。
./keytool -genkeypair -keyalg RSA -dname "cn=customidentity,dc=portlet,dc=example,dc=com" -alias portlet -keypass mypassword -keystore portlet.jks -storepass MyPassword1 -validity 360 ./keytool -exportcert -v -alias portlet -keystore portlet.jks -storepass mypassword -rfc -file portlet.cer ./keytool -importcert -trustcacerts -alias portlet -file portlet.cer -keystore cacerts -storepass changeit
IDキーストアおよび信頼キーストアを構成する手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
IDキーストアおよび信頼キーストアを構成するポートレット・サーバー(たとえば、WC_Portlet
)をクリックします。
The Settings pane for the Portlet server displays.
「構成」タブ→「キーストア」サブタブを開きます。
「キーストア」ペインが表示されます。
「キーストア」として、Custom Identity and Java Standard Trustを選択し、「保存」をクリックします。
「制御」タブを開きます。
「制御設定」ペインが表示されます。
「SSLの再起動」をクリックします。
SSL接続を構成する手順:
「ドメイン構造」ペインで「環境」を開き、「サーバー」を選択します。
SSLを構成するポートレット・サーバー(たとえば、WC_Portlet
)をクリックします。
「構成」を選択します。
「SSLリスニング・ポートの有効化」を選択します。
リスニング・ポート番号を入力します。
「構成」→「SSL」を選択し、ページの一番下にある「拡張オプション」を開きます。
「相互クライアント証明書の動作」属性を選択し、「クライアント証明書をリクエストしない」オプションを選択します。
「保存」をクリックします。
WebLogic Serverを再起動し、SSL URLを開きます。
セッションの証明書を受け入れ、ログインします。
SSL対応WSRPプロデューサを登録し、ポートレットを実行する手順は次のとおりです。
カスタム・アイデンティティおよびJava標準信頼ストアを使用するようにSpaces管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts
内の証明書も使用します。
HTTPSプロデューサURLの証明書をダウンロードし、.PEM
形式で保存します。
Firefox 3.0以降を使用して、証明書を直接.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security
内のcacerts
ファイルに証明書をインポートします。
keytool -importcert -alias portlet_cert -file HOME/portlet_pem -keystore ./cacerts -storepass password
各要素の意味は次のとおりです。
portlet_cert
は、ポートレット証明書の別名です。
portlet_pem
は、ポートレット証明書ファイルです(例: portlet_cert.pem
)。
password
は、キーストアのパスワードです。
WC_Spaces
を再起動します。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
各要素の意味は次のとおりです。
user_name
は、WC_Spaces
サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。
password
は、WC_Spaces
サーバーにアクセスするためのパスワードです。
host_id
は、管理サーバーのホストIDです。
port
は、管理サーバーのポート番号です(例: 7001
)。
registerWSRPProducer
WLSTコマンドを実行して、プロデューサを登録します。
registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl)
各要素の意味は次のとおりです。
sslwsrpprod
は、SSL対応WSRPプロデューサの名前です。
producer_wsdl
は、SSL対応WSRPプロデューサのWSDL URLです。
次に例を示します。
registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.com:7004/richtextportlet/portlets/wsrp2?WSDL')
HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。
ページを作成し、ポートレット・リンクに移動します。
登録済のWSRPプロデューサに移動します。
ポートレットをページに追加します。
ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。
SSL対応PDK-Javaプロデューサを登録し、ポートレットを実行する手順は次のとおりです。
デモのアイデンティティおよび信頼ストアを使用するようにSpaces管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts
内の証明書も使用します。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。
「ドメイン構造」ペインで「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
サーバーのリストで、WC_Spaces
をクリックします。
「設定」ペインが表示されます。
「構成」タブを開き、「キーストア」タブを選択します。
「デモIDとデモ信頼」の値がjks
または空白のままになっていることを確認します。
「保存」をクリックします。
HTTPSプロデューサURLの証明書をダウンロードし、.PEM
形式で保存します。
Firefox 3.0以降を使用して、証明書を直接.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security
内のcacerts
ファイルに証明書をインポートします。
keytool -importcert HOME/portlet_cert.pem -keystore ./cacerts -storepass changeit
WC_Spacesを再起動します。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
各要素の意味は次のとおりです。
user_name
は、WC_Spaces
サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。
password
は、WC_Spaces
サーバーにアクセスするためのパスワードです。
host_id
は、管理サーバーのホストIDです。
port
は、管理サーバーのポート番号です(例: 7001
)。
registerPDKJavaProducer
コマンドを実行します。
registerPDKJavaProducer('webcenter', 'ssljpdkprod', 'producer_wsdl')
各要素の意味は次のとおりです。
ssljpdkprod
は、SSL対応PDK-Javaプロデューサの名前です。
producer_wsdl
は、SSL対応PDK-JavaプロデューサのWSDL URLです。
これによって、Webプロデューサに対して一方向SSLが有効になります。つまり、サーバー・サイド(Webプロデューサ)でのみ証明書が使用されるようになります。Webプロデューサ・コードでは、クライアント認証に共有鍵機能(後述します)も使用されます。
HTTPまたはHTTPSのWebCenter Portal URLに移動します。
ページを作成し、ポートレット・リンクに移動します。
登録済のPDK-Javaプロデューサに移動します。
ポートレットをページに追加します。
ページの表示モードに変更して、PDK-Javaポートレットが適切にレンダリングすることを確認します。
SSL対応ポートレットをJDeveloperで消費している場合、プロデューサの管理対象サーバー上でSSLを有効化します(第34.5.3項「SSL接続の構成」を参照)。
登録には、証明書(自己署名証明書であるため)が、JDeveloper実行時トラストストアによって信頼される必要があります。つまり、JDeveloperインスタンスによって使用されているJDKを探し、(JDeveloperインスタンスによって使用されるトラストストアである)cacerts
ファイルを更新し、続いて次のサンプル・コマンドを使用してcacerts
ファイルを更新する必要があります。
<JDK_BIN>/keytool -importcert -trustcacerts -alias portlet_producer_cert -file producer.cert -keystore ./cacerts -storepass changeit
統合WebLogicサーバーは通常、統合WebLogicサーバー上でsetDomainEnv.sh / .bat
で指定される別のトラストストアを使用します。この場合、setDomainEnv.sh
には次の形式のエントリが含まれます。
-Djavax.net.ssl.trustStore=<oracle_home>/wlserver_10.3/server/lib/DemoTrust.jks
これを確認するには、JDeveloperのプロセス・パラメータやスタート・ログを調べるという方法もあります。これには次のような行を含む出力が含まれます。
-Djavax.net.ssl.trustStore=<jdev_install_dir>/wlserver_10.3/server/lib/DemoTrust.jks
このプロセス・パラメータがある場合、統合WebLogicサーバーはJVMパラメータを使用して指定されるトラストストアを使用します。次の例のように、コマンドを使用してこのトラストストアに証明書をインポートする必要もあります。
<JDK6>/bin/keytool -importcert -trustcacerts -alias portlet_producer_cert -file producer_cert.cert -keystore <JDEV_MW_HOME>/wlserver_10.3/server/lib/DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切な認証者により認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、第30章「アイデンティティ・ストアの構成」を参照してください。
注意: プロバイダ固有の情報を入力する場合は、SSLポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。 |
Oracle WebLogicサーバーにとってCA
が不明である場合は、次の各項で説明している2つの追加手順を完了します。
Oracle WebLogicサーバーにとってCA
が不明である場合(ユーザーがコマンドからキーストアのパスワードの入力を求められた場合)、orapki
を使用して証明書を作成する必要があります。次の例は、このコマンドを使用して、証明書serverTrust.cert
を作成する方法を示しています。
orapki wallet export -wallet CA -dn "CN=myCA" -cert oid_server_trust.cert
Oracle WebLogicサーバーにとってCA
が不明である場合、ユーティリティkeytoolを使用して、Oracle Internet DirectoryのCAをWebLogic信頼ストアにインポートする必要があります。次の例は、keytoolを使用して、ファイルoid_server_trust.cert
をサーバーの信頼ストアcacerts
にインポートする方法を示しています。
keytool -importcert -v -trustcacerts -alias oid_server_trust -file
oid_server_trust.cer -keystore cacerts -storepass changeit
リポジトリへの接続を作成するContent ServerおよびSpacesアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播はセキュアではありません。アイデンティティ伝播のセキュリティを確保するには、Content ServerにSSLを構成する必要もあります。
SSLを使用したContent Serverの保護には、次のタスクが含まれます。
Content Integration Suite管理ガイド(http://download.oracle.com/docs/cd/E10316_01/ouc.htm
で入手可能)のSSLのプロパティに関する項も参照してください。自己署名証明書を使用する場合は、これらの手順を実行してください。
本番環境では、実際の証明書を使用することをお薦めします。実際の証明書を使用するときにキーストアを構成する方法の詳細は、Security Providersコンポーネント管理ガイド(http://download.oracle.com/docs/cd/E10316_01/ouc.htm
で入手可能)の「Security Providersの使用」を参照してください。
WebCenter Portalアプリケーション(クライアント)サイドでキーストアを構成する手順は次のとおりです。
keytoolの場所(例: jdk/bin
)に移動し、コマンド・プロンプトを開きます。
次のkeytoolコマンドを実行して、クライアント・キーストアを生成します。
keytool -genkey -keyalg RSA -validity 5000 -aliasClient private key alias
-keystore client-keystore.jks -dname "cn=client" -keypassPrivate key password
-storepassKeyStore password
キーが正常に作成されたことを確認するために、オプションで次のkeytoolコマンドを実行できます。
keytool -list -keystore client-keystore.jks -storepass KeyStore password
キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。
keytool -selfcert -validity 5000 -aliasClient private key alias
-keystore client-keystore.jks -keypassPrivate key password
-storepassKeyStore password
次のkeytoolコマンドを実行して、クライアントの公開鍵をエクスポートします。
keytool -export -aliasClient private key alias
-keystore client-keystore.jks -file client.pubkey -keypassPrivate key password
-storepassKeyStore password
Content Serverサイドでキーストアを構成する手順は次のとおりです。
keytoolの場所(例: jdk/bin
)に移動し、コマンド・プロンプトを開きます。
次のkeytoolコマンドを実行して、サーバー・キーストアを生成します。
keytool -genkey -keyalg RSA -validity 5000 -aliasServer public key alias
-keystore server-keystore.jks -dname "cn=server" -keypassPrivate server key password
-storepassKeyStore password
キーが正常に作成されたことを確認するには、次のkeytoolコマンドを実行します。
keytool -list -keystore server-keystore.jks -keypassServer private key password
-storepassKeyStore password
キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。
keytool -selfcert -validity 5000 -aliasServer public key alias
-keystore server-keystore.jks -keypassPrivate server key password
-storepassKeyStore password
次のkeytoolコマンドを実行して、サーバーの公開鍵をサーバー・キーストアにエクスポートします。
keytool -export -aliasServer public key alias
-keystore server-keystore.jks -file server.pubkey -keypassServer private key password
-storepassKeyStore password
信頼できるクライアントのシグネチャを検証するには、クライアントの公開鍵をサーバー・キーストアにインポートします。
keytoolの場所(例: jdk/bin
)に移動し、コマンド・プロンプトを開きます。
信頼できるクライアントのシグネチャを検証するには、次のkeytoolコマンドを実行して、クライアントの公開鍵をサーバー・キーストアにインポートします。
keytool -import -aliasClient public key alias
-file client.pubkey -keystore server-keystore.jks -keypassPrivate server key password
-storepassKeyStore password
次のkeytoolコマンドを実行して、サーバーの公開鍵をクライアント・キーストアにインポートします。
keytool -import -aliasServer public key alias
-file server.pubkey -keystore client-keystore.jks -keypassPrivate key password
-storepassKeyStore password
キーを自己認証するかどうかを尋ねられたら、Yes
と入力します。例34-1に、この手順が正常に完了すると生成されるサンプル出力を示します。
例34-1 keytoolにより生成されるサンプル出力
[user@server
]$ keytool -import -aliasclient
-file client.pubkey -keystore server-keystore.jks -keypassServer private key password
-storepassKeystore password
Owner: CN=client Issuer: CN=client Serial number:serial number
, for example, 123a19cb Valid from:Date, Year, and Time
until:Date, Year, and Time
Certificate fingerprints:...
Trust this certificate? [no]:yes
Certificate was added to keystore.
アイデンティティ伝播を保護するには、Content ServerにSSLを構成する必要があります。
管理者としてContent Serverにログオンします。
「管理」から、「プロバイダ」を選択します。
「新規プロバイダの作成」ページで、sslincomingの「追加」をクリックします。
「受信プロバイダの追加」ページの「プロバイダ名」に、プロバイダの名前(たとえば、sslincomingprovider
)を入力します。
新規プロバイダが設定されたら、そのプロバイダ名を持つディレクトリが、CONTENT_SERVER_HOME
/data/providers
ディレクトリのサブディレクトリとして作成されます。
「プロバイダの説明」に、プロバイダの短い説明(たとえば、SSL Incoming Provider for securing the Content Server
)を入力します。
「プロバイダ・クラス」に、sslincomingプロバイダのクラス(たとえば、idc.provider.ssl.SSLSocketIncomingProvider
)を入力します。
注意: 新規のSSLキープアライブ受信ソケット・プロバイダまたは新規のSSL受信ソケット・プロバイダを追加できます。キープアライブ・ソケットを使用すると、セッションのパフォーマンスが向上するため、ほとんどの実装で推奨されます。 |
「接続クラス」に、接続のクラス(たとえば、idc.provider.KeepaliveSocketIncomingConnection
)を入力します。
「サーバー・スレッド・クラス」に、サーバー・スレッドのクラス(たとえば、idc.server.KeepaliveIdcServerThread
)を入力します。
「サーバー・ポート」に、オープン・サーバー・ポート(たとえば、5555
)を入力します。
「クライアントの認証が必要」チェック・ボックスを選択します。
「キーストア・パスワード」に、キーストアにアクセスするためのパスワードを入力します。
「別名」に、キーストアの別名を入力します。
「別名パスワード」に、別名のパスワードを入力します。
「トラストストア・パスワード」に、トラスト・ストアのパスワードを入力します。
「追加」をクリックします。
新規の受信プロバイダが追加されました。
手順4で作成した新規のプロバイダ・ディレクトリに移動します。
信頼ストアおよびキーストアを指定するには、sslconfig.hda
という名前のファイルを作成します。
サーバー・キーストアをサーバーにコピーします。
sslconfig.hda
ファイルを構成します。例34-2は、信頼ストアおよびキーストアの情報が指定された.hda
ファイルの内容を示しています。
メール・サーバーへの接続を再構成する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、信頼ストアに証明書を格納し、信頼ストアを使用するようにSpacesを構成します。
SSLを使用して、SpacesからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。
ブラウザを開き、次のコマンドを使用してIMAPサーバーに接続します。
https://imapserver:ssl_port
次に例を示します。
https:mailserver.example:993
ページにカーソルを置いて右クリックし、「プロパティ」を選択します。
「証明書」をクリックします。
ポップアップ・ウィンドウで、「詳細」タブをクリックし、「ファイルにコピー...」をクリックします。
必ずDER encoded binary(X.509)
形式を使用してファイルにコピーします。
.DER形式の証明書を.PEM
形式に変換します。
Firefox 3.0以降を使用して、証明書を直接.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
次のコマンドを使用して、JDK_HOME
内のcacertsに証明書をインポートします。
keytool -import -alias imap_cer -file cert_file.cer -keystore cacerts -storepass changeit
cert_file
は、ダウンロードした証明書ファイルの名前です。
第17.4項「メール・サーバーの登録」で説明しているとおりに、メール・サーバーへの接続を登録します。
Spacesを再起動します。
Spacesにログインし、メール資格証明を提供します。
SSLを使用して、FrameworkアプリケーションからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。
第34.8項「SSLを使用したSpacesからIMAPおよびSMTPへの接続の保護」の手順7までを実行します。
次のプロパティを信頼ストアに追加します。
-Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts -Djavax.net.ssl.trustStorePassword=changeit
次に例を示します。
set JAVA_PROPERTIES=-Dplatform.home=%WL_HOME% -Dwls.home=%WLS_HOME%
-Dweblogic.home=%WLS_HOME% -Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts
-Djavax.net.ssl.trustStorePassword=changeit
Frameworkアプリケーションを再起動します。
アプリケーションにログインし、メール資格証明を提供します。
SESへの接続を登録する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、信頼ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。
HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。
ブラウザを使用して、Oracle Secure Enterprise Searchが検索リクエストを有効化するために公開するWebサービスURLにナビゲートします。
http://host:port/search/query/OracleSearch
次に例を示します。
https://example.com:7777/search/query/OracleSearch
ページにカーソルを置いて、マウスで右クリックし、「プロパティ」を選択します。
「証明書」をクリックします。
ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。
DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。
.DER形式の証明書を.PEM形式に変換します。
Firefox 3.0以降を使用して、証明書を直接.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
次のコマンドを使用して、DemoTrustKeyStore.jks
またはJDK_HOME
内のcacertsに証明書をインポートします。
keytool -import -alias ses_cer -file cert_file.cer -keystore cacerts -storepass changeit
cert_file
は、ダウンロードした証明書ファイルの名前です。
第22.4.2項「Oracle Secure Enterprise Search Serverの登録」で説明しているとおりに、SESへの接続を登録します。
SpacesまたはFrameworkアプリケーションを再起動します。
SSLを使用して、SpacesからMicrosoft Live Communication Server (LCS)またはOffice Communication Server 2007 (OCS)への接続を保護するには、次の手順に従って証明書を信頼ストアにインポートし、その信頼ストアを使用するようにSpacesを指定します。SSLを使用したSpacesからMicrosoft Live Communication ServerまたはOffice Communication Serverへの接続の保護は、WS-Securityを使用して機密保護で構成できるため、オプションとなっています。
LCSまたはOCSへの接続を登録する前に、まず、証明書を信頼ストアにインポートする必要があります。次の手順に従って、証明書を信頼ストアに格納します。
ブラウザを開き、通信サーバー(たとえば、https://example.com/RTC
)に移動します。
ページにカーソルを置いて右クリックし、「プロパティ」を選択します。
「証明書」をクリックします。
ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。
Firefox 3.0以降を使用して、証明書を直接.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
次のkeytoolコマンドを使用して、証明書をcacerts
にインポートします。
keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
cert_file
は、ダウンロードした証明書ファイルの名前です。
インストール環境で通信サーバーが使用しているcacerts
ファイルを見つけ、通信サーバーが参照するこのcacerts
ファイルをこの証明書で更新します。
keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
第16.3項「インスタント・メッセージおよびプレゼンス・サーバーの登録」で説明しているとおりに、通信サーバーへの接続を登録します。
Spacesサーバーを再起動します。
この項では、BPELサーバーが外部SOAドメインにある場合に、SpacesからBPELサーバーへの接続を保護する方法を説明します。
注意: SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、第30.1項「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。 |
SSLを使用して、Spacesから外部BPELサーバーへの接続を保護する手順は次のとおりです。
WebCenter PortalからSOAドメインに公開証明書(webcenter_wls.cer
)をコピーします。
JDK_HOME
/bin/
に移動し、コマンド・プロンプトを開きます。
次のkeytool
コマンドを使用して、SOAドメインにカスタム・キーストアを生成し、そのキーストアに名前soa_server1.jks
と別名soa_server1
を付けます。
keytool -genkeypair -keyalg RSA -dname dname -alias soa_soa_server1 -keypass
key_pass -keystore soa_server1.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
dname
は、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com
)。
key_pass
は、新規公開鍵のパスワードです(例: MyPassword1
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
days_valid
は、キーのパスワードが有効な日数です(例: 360
)。
次のコマンドを使用して、soa_wls.jks
から証明書をエクスポートします。
keytool -exportcert -v -alias soa_server1 -keystore soa_server1.jks
-storepass keystore_password -rfc -file soa_server1.cer
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
SOAドメインでWebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。
ナビゲーション・ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
「構成」タブで、サーバーのリストからsoa_server1
をクリックします。
soa_server1
の「設定」ページが表示されます。
「キーストア」タブを開きます。
soa_server1
のキーストアの設定が表示されます。
「キーストア」として、Custom Identity and Java Standard Trust
を選択します。
前述の手順で作成したキーストア(soa_server1.jks
)のパスとファイル名を指定します。
「Java標準信頼キーストア」フィールドに指定したJava標準信頼(cacertsファイル)が含まれるディレクトリに移動して、SOAおよびWebCenter Portal公開証明書をこのファイルにインポートし、サーバーによってこれらの証明書が信頼されるようにします。
keytool -importcert -trustcacerts -alias webcenter_wls -file webcenter_wls.cer
-keystore cacerts -storepass keystore_password keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer
-keystore cacerts -storepass keystore_password
各要素の意味は次のとおりです。
keystore_password
は、キーストアのパスワードです(例: MyPassword1
)。
証明書を信頼するかを尋ねられたら、yes
と答えます。
SOAドメインでWLS管理コンソールから「SSL」タブを開きます。
soa_server1
のSSLの設定が表示されます。
「秘密鍵の別名」としてsoa_server1を指定します。
秘密鍵のパスワード(例: MyPassword1
)を入力し、確認のためにもう一度入力して、「保存」をクリックします。
「全般」タブを開きます。
soa_server1
の全般設定が表示されます。
「リスニング・ポートの有効化」が選択されていないことを確認します。
「SSLリスニング・ポートの有効化」を選択し、「SSLリスニング・ポート」を指定して、「保存」をクリックします。
「制御」タブ→「起動と停止」サブタブを開きます。
soa_server1
の開始/停止の設定が表示されます。
サーバーのリストからsoa_server1
を選択し、「SSLの再起動」をクリックします。
SOAドメインでsoa_server1
管理対象サーバーを再起動します。
次のkeytool
コマンドを使用して、WebCenter Portalドメインからsoa_server1.cer
証明書を信頼できる証明書としてサーバーの信頼ストア(cacerts
)にインポートします。
keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer
-keystore cacerts -storepass changeit
証明書を信頼するかを尋ねられたら、yes
と答えます。
BPEL URLを定義するときに、soa_server1
にhost:ssl_port
設定を指定して、第23.4.2項「ワークリスト接続の登録」で説明しているとおりにWebCenter Portalドメインにワークリスト接続を追加します。
WC_Spaces
管理対象サーバーを再起動します。