| Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
前 |
次 |
この章では、WebCenter Portalアプリケーション(SpacesアプリケーションおよびFrameworkアプリケーションを含む)および関連するサービスとコンポーネントに、使用するトポロジに基づいてWS-Securityを設定する方法を説明します。
ここでは、次の構成を扱います。
単純トポロジ。WebCenter Portalアプリケーションとすべてのコンポーネントが同一ドメインを共有しています。
標準トポロジ。WebCenter Portalアプリケーションとコンポーネントが2つのドメインに分かれています。
複合トポロジ。WebCenter Portalアプリケーションとコンポーネントが複数のドメインに分かれています。
これら3つのトポロジにおける、WebCenter Portalアプリケーション(Spacesなど)、Oracle WebCenter Portalのディスカッション・サーバー、ワークリスト・サービスおよびWSRPプロデューサに対する構成について説明します。これらの構成およびSpaces APIを使用するアプリケーションの保護手順は、次の各項で説明しています。
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
この項では、WebCenter Portalアプリケーション、BPELサーバーおよびWSRPプロデューサが同一ドメインを共有するトポロジの場合にWS-Securityを構成する方法を説明します(図35-1)。
単一ドメインの単純WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図35-1)と表(表35-1)は、単一ドメインの単純WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表35-1は、単純WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバーおよびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias orakey
-keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です。これには適切な形式であるかぎり、任意の文字列を指定できます(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストア名です(例: default-keystore.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias orakey -keystore keystore -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystoreは、キーストア名です(例: default-keystore.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
証明書を別名webcenter_spaces_wsでインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです。
第35.1.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表35-2は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表35-2 単純トポロジの場合のPortalドメイン・キーストアのコンテンツ
| キーの別名 | 説明 |
|---|---|
|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
|
WebCenter Portalドメインで使用される |
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
資格証明ストアを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされており、locationとして./default-keystore.jksが指定されていることを確認します。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password=private_key_password, desc="Signing key")
各要素の意味は次のとおりです。
keystore_passwordは、第35.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword1)。
private_key_passwordは、第35.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword1)。
例35-4 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.1.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./default-keystore.jksを指定します。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./default-keystore.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: orakey
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: orakey
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
単純トポロジでは、ディスカッション・サーバーはSpacesと同じドメインにあるため、追加のキーストア構成は必要ありません。これは、WebCenter Portalドメインに構成されているキーストアがディスカッション・サービスでも使用されるからです。ただし、本番環境では、ディスカッション・サービスのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要があります。それらの設定手順は、次の各項で説明します。
|
注意: WebCenter PortalアプリケーションからOracle WebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第34章「SSLの構成」を参照してください。 |
新規またはパッチ適用済のWebCenter Portalインスタンスでは、割り当てられたセキュリティ/ポリシーの構成は、セキュリティ・ポリシーなしに設定されます。Oracle Web Services Manager (OWSM)のセキュリティ・ポリシーを、SpacesのWebサービス・エンドポイントおよびディスカッションの認証Webサービス・エンドポイントに添付する必要があります。本番環境では、第35.1.3.2項「ディスカッション・サービス・エンドポイントの保護」の手順に従って、セキュリティを強化することで続行します。
|
注意: パッチが適用されるWebCenter Portalインスタンスでは、パッチを適用する前にポリシー名を決定し、パッチを適用した後にポリシーを添付する必要があります。必要な手順は、『Oracle Fusion Middlewareパッチ適用ガイド』のOracle WebCenter Portalへのパッチ適用に関する項を参照してください。 |
Webサービス・セキュリティ・ポリシー構成を新しいインスタンスに添付する手順は次のとおりです。
|
注意: クラスタ環境では、スペースおよびディスカッションがデプロイされている管理対象サーバーごとにこれらの手順を繰り返します。 |
WC_SpacesおよびWC_Collaboration管理対象サーバーが実行中であることを確認します。
次のWLSTコマンドを実行して、OWSMポリシーをスペースWebサービス・エンドポイントに添付します。
attachWebServicePolicy(application='webcenter', moduleName='webcenter', moduleType='web', serviceName='SpacesWebService', subjectName='SpacesWebServiceSoapHttpPort', policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')
次のWLSTコマンドを実行して、OWSMポリシーをディスカッションWebサービス・エンドポイントに添付します。
attachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web', serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated', policyURI='oracle/wss10_saml_token_service_policy')
WC_SpacesおよびWC_Collaboration管理対象サーバーを再起動します。
WebCenter Portalのディスカッション・サービスのWebサービス・エンドポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。本番環境では、転送中に他者がメッセージを改ざんしたり、表示したりできないように、Webサービス・エンドポイントをOWSMポリシーで保護する必要があります。これを実行するには、パブリック・アクセス用のWebサービス・エンドポイントと認証済ユーザー・アクセス用のエンドポイントの両方を、Fusion Middleware ControlまたはWLSTを使用して適切なOWSMポリシーで保護する必要があります。
この項の内容は次のとおりです。
Fusion Middleware Controlを使用してディスカッション・サービス・エンドポイントを保護する手順は次のとおりです。
Fusion Middleware Controlにログインして、ナビゲーション・ペインから、「WebCenter」→「ポータル」→「ディスカッション」を開いて、Discussions(WC_Collaboration)をクリックします。
「ディスカッション」ホームページが表示されます(図35-3を参照)。
owc_discussionsターゲットをクリックします。
owc_discussionsアプリケーションのホームページが表示されます(図35-4を参照)。
「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。
owc_discussionsアプリケーションの「Webサービス」ページが表示されます(図35-5を参照)。
「Webサービス」タブを開き、OWCDiscussionsServiceAuthenticated Webサービス・エンドポイントをクリックします。
owc_discussionsの「Webサービス・エンドポイント」ページが表示されます(図35-6を参照)。
「アタッチ/デタッチ」をクリックします。
「ポリシーの添付」ページが表示されます(図35-7を参照)。
「アタッチ」ボタンと「デタッチ」ボタンを使用して、oracle/wss11_saml_token_with_message_protection_service_policyを添付し、oracle/wss10_saml_token_service_policyを削除します。
「OK」をクリックします。
「Webサービス」ページに戻り、OWCDiscussionsServicePublicエンドポイントをクリックします。
oracle/wss11_message_protection_service_policyを添付して、パブリック・ユーザーのWebサービス・エンドポイントも保護されるようにします。
「OK」をクリックします。
WLSTを使用してディスカッション・サーバー・エンドポイントを保護するには、次のWLSTコマンドを使用して、wss10_saml_token_service_policyを削除し、wss11_saml_token_with_message_protection_service_policyを添付します。
detachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web', serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated', policyURI='oracle/wss10_saml_token_service_policy')
attachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web', serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated', policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているWebCenter Portalアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図35-8は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
単純トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey
-keypass MyPassword1 -keystore default-keystore.jks -storepass MyPassword1 -validity 1064 keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass MyPassword1 -rfc -file orakey.cer keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass MyPassword1
証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。
keytool -importcert -alias df_orakey_public -file orakey.cer
-keystore owc_discussions.jks -storepass MyPassword1
default-keystore.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーします。
キーストアの構成
WLSTを使用して、Spacesドメインに管理者として接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword1", desc="Signing key")
この項では、WebCenter PortalアプリケーションとWSRPプロデューサは同一ドメインを共有しているが、BPELサーバーは外部ドメイン(SOAドメイン)に配置されているトポロジの場合にWS-Securityを構成する方法を説明します(図35-9を参照)。
標準の2つのドメインのWebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図35-10)と表(表35-3)は、標準WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表35-3は、標準WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore keystore
-storepass keystore_password -rfc -filewebcenter_public.cer
各要素の意味は次のとおりです。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.2.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表35-4は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表35-4 標準トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
| キーの別名 | 説明 |
|---|---|
|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
|
SOAドメインで使用される |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password=private_key_password, desc="Signing key")
各要素の意味は次のとおりです。
keystore_passwordは、第35.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword1)。
private_key_passwordは、第35.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword1)。
例35-7 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.2.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合のディスカッション・サーバーの構成は、単純トポロジの場合とまったく同じです。詳細は、第35.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」を参照してください。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel
-keypass key_password -keystore keystore -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストアの名前です(例: bpel.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore keystore -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです。
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを構成します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.2.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、SOAドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass MyPassword1 -keystore webcenter.jks -storepass MyPassword1 -validity
1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks
-storepass MyPassword1 -rfc -file webcenter_public.cer keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass MyPassword1
証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass MyPassword1 -keystore bpel.jks -storepass MyPassword1 -validity 1024 keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword1
-rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks
-storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
webcenter.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーし、bpel.jksファイルをsoa_domain_home/config/fmwconfigディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./webcenter.jksを指定します。
WLSTを使用して、Spacesドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword1", desc="Signing key")
SOAドメイン・キーストアの構成
次の手順に従って、SOAドメインのサービス・インスタンス参照を構成します。
<SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、bpel.jksを<SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./bpel.jksを指定します。
WLSTを使用して、SOAドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword1", desc="Signing key")
この項では、WebCenter Portalアプリケーション、ディスカッション・サーバー(Jive)およびWSRPプロデューサが同一ドメインにあり、2つのBPELサーバーが別々のSOAドメインにあり、1つのWSRPプロデューサが外部ポートレット・ドメインにある複合トポロジの場合にWS-Securityを構成する方法を説明します(図35-11を参照)。
複数のドメインが含まれる複合WebCenter Portalトポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図35-12)と表(表35-5)は、複数ドメインの複合WebCenter PortalトポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表35-5は、複合WebCenter Portalトポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
表35-5 複合トポロジの場合のWS-Securityの構成
| 担当者 | タスク | サブタスク | ノート |
|---|---|---|---|
|
管理者 |
1. WebCenter Portalドメイン・キーストアの設定 |
1.a WebCenter Portalドメイン・キーストアの作成 |
|
|
1.b キーストアの構成 |
. |
||
|
2. ディスカッション・サーバーの構成 |
2.a ディスカッション・サービス・エンドポイントの保護 |
||
|
2.b ディスカッション・サーバー・キーストアの作成 |
|||
|
2.c 資格証明ストアの更新 |
|||
|
2.d ディスカッション・サーバー接続の構成 |
. |
||
|
3. 1つ目のSOAドメインの設定 |
3.a 1つ目のSOAドメイン・キーストアの作成 |
||
|
3.b 1つ目のSOAドメイン・キーストアの構成 |
|||
|
4. 2つ目のSOAドメインの設定 |
4.a 2つ目のSOAドメイン・キーストアの作成 |
||
|
4.b 2つ目のSOAドメイン・キーストアの構成 |
|||
|
4.c Spacesワークリスト接続の構成 |
|||
|
5. 外部ポートレット・ドメイン・キーストアの設定 |
5.a 外部ポートレット・ドメイン・キーストアの作成 |
||
|
5.b 外部ポートレット・ドメイン・キーストアの構成 |
|||
|
6. 外部WebCenter Portalドメイン・キーストアの設定 |
6.a 外部WebCenter Portalドメイン・キーストアの作成 |
||
|
6.b 外部WebCenter Portalドメイン・キーストアの構成 |
Javaキーストア(JKS)を使用して、Spaces、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサ(これも別のドメイン内)のセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイドを参照してください。
この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、webcenterキーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore wecenter.jks -storepass keystore_password -rfc -file webcenter_public.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
orakey証明書をインポートします。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表35-6は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表35-6 複合トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
| キーの別名 | 説明 |
|---|---|
|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
|
SOA 1ドメインで使用される |
|
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
|
Spaces Webサービスに対してWebサービス・コールを行うWebCenter Portalアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のWebCenter Portalアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
|
|
ディスカッション・アプリケーションをホストする外部ディスカッション・ドメインで使用される外部owc_discussions秘密鍵に対応する公開鍵が含まれる証明書です。この証明書はディスカッションWebサービスに対してWebサービス・コールを行うSpacesおよびWebCenter Portalアプリケーションによって使用されます。 |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図35-13を参照)。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図35-14を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジでは、ディスカッション・サーバーはSpacesとは異なるドメインにあるため、ディスカッション・サーバーにキーストアを作成して構成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートすることが必要になります。本番環境では、ディスカッション・サービスのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成することも必要になります。それらの設定手順は、次の各項で説明します。
|
注意: FrameworkアプリケーションからWebCenter Portalのディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第34章「SSLの構成」を参照してください。 |
WebCenter Portalのディスカッション・サービスのWebサービス・エンドポイントでは、Spacesから発信されるコールに対してユーザー・アイデンティティを伝搬する必要があります。第35.1.3.2項「ディスカッション・サービスのエンドポイントの保護」の手順に従い、Fusion Middleware ControlまたはWLSTを使用してこれらのエンド・ポイントを保護します。
この項では、OWSMで使用されるキー・ペアが含まれるキーストアをディスカッション・サーバーに作成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートできるようにする方法を説明します。
owc_discussionsキーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、owc_discussionsキーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias owc_discussions -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=owc_discussions,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストア名です(例: owc_discussions.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks -storepass keystore_password -rfc -file owc_discussions_public.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
webcenter_public証明書をインポートします。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore owc_discussions.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
owc_discussions_public証明書をインポートします。
keytool -importcert -alias owc_discussions_public -file owc_discussions_public.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.3.3項「資格証明ストアの更新」で説明しているように、WLSTを使用して資格証明ストアを更新し、続行します。
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
<!-- KeyStore Service Instance -->
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./webcenter.jksを指定します。
<serviceInstance name="keystore" provider="keystore.provider" location="./webcenter.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。図35-15は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel -keypass key_password -keystore bpel.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass keystore_password -rfc -file orakey.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
再度WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
証明書をSOAドメインにインポートします。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.4.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表35-7は、SOA 1ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表35-7 複合トポロジの場合のSOA 1ドメイン・キーストアのコンテンツ
| キーの別名 | 説明 |
|---|---|
|
|
SOA 1ドメインのサーバーからのアウトバウンド・メッセージの署名に使用される秘密鍵です。この鍵は、SOA 1ドメインのSOAサーバーにデプロイされているワークリスト・アプリケーションによって使用されます。 |
|
|
WebCenter Portalドメインで使用される |
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.3.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図35-16を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、2つ目のSOAドメイン・キーストアを設定する方法について説明します。内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias soa_server3
-keypass key_password -keystore soa_server3.jks -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=soa_server3,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks
-storepass keystore_password -rfc -filesoa_server3_public_key.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がsoa_server3_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_
key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
soa_server3_public_key証明書をインポートします。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
producer_public_key証明書をインポートします。
keytool -importcert -alias producer_public_key -file producer_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
external_webcenter_custom_public_key証明書をインポートします。
keytool -importcert -alias external_webcenter_custom_public_key -file external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.5.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表35-8は、SOA 2ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表35-8 複合トポロジの場合のSOA 2ドメイン・キーストアのコンテンツ
| キーの別名 | 説明 |
|---|---|
|
|
Spacesからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM(ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
|
SOA 1ドメインで使用される |
|
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・サービスからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SpacesからSpacesアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
|
Spaces Webサービスに対してWebサービス・コールを行うFrameworkアプリケーションをホストする外部WebCenter Portalドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、Spacesから外部WebCenter Portalドメイン内のFrameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
2つ目のSOAドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第35.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
soa_server3.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./soa_server3.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.3.5.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図35-17を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./soa_server3.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: soa_server3
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: soa_server3
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
通常、Spacesワークリスト接続では、oracle/wss10_saml_token_with_message_protection_client_policyポリシーを使用して、SOAサーバーへのアウトバウンドSOAPメッセージが保護されます。ただし、WebCenter Portalドメインで複数のワークリスト接続が同時に使用される複合デプロイメントの場合は、追加のOWSMポリシーを作成して、受信者キーの別名が、Spacesサイドの目的のSOAサーバーの証明書の別名と一致するように、そのポリシーを構成する必要があります。
複数のワークリスト接続を同時に使用するには、次の手順を実行します。
外部SOAドメインから証明書をエクスポートし、それを新規別名(次の例ではsoa_server3_key)でWebCenter Portalドメインにインポートします。
Fusion Middleware Controlを使用して新規OWSMポリシーを作成し、前の手順と同じ別名を使用するように受信者キーの別名を上書きします。
Fusion Middleware Controlで、「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。
「Webサービス・ポリシー」ページが表示されます(図35-18を参照)。
新規ポリシー作成のベースとして使用するクライアント・ポリシーを選択して、「類似作成」をクリックします。
「ポリシーの作成」ページが表示されます(図35-19を参照)。
新規ポリシーの名前(たとえば、oracle_wss10_saml_token_with_message_protection_client_policy_soa_server3)を入力して、「保存」をクリックします。
「Webサービス・ポリシー」ページに、新規ポリシーが表示されます。
「Webサービス・ポリシー」ページで、新規ポリシーを選択して、「編集」をクリックします。
「ポリシーの編集」ページで、「構成」タブを開き、「編集」をクリックします。
受信者キーの別名を値soa_server3_keyで上書きして、「保存」をクリックします。
BPEL接続を作成し、次のWLSTコマンドを使用して、前の手順で作成したポリシーにセキュリティ・ポリシーを設定します。
setBPELConnection(appName='webcenter', name='WebCenter-Worklist-SOAServer3',url='<your_url>', policy='oracle/wss10_saml_token_with_message_protection_client_policy_soa_server3')
この項では、この複合トポロジのWSRPプロデューサの1つで使用されている外部ポートレット・ドメインにキーストアを設定する方法を説明します。
この項の内容は次のとおりです。
外部ポートレット・ドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore producer.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias producer
-keypass key_password -keystore producer.jks -storepass keystore_password
-validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=producer,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystoreは、キーストア名です(例: webcenter.jks)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias producer -keystore producer.jks -storepass keystore_password -rfc -file producer_public_key.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がproducer_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.6.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部ポートレット・ドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第35.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
producer.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./producer.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.3.6.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図35-20を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./producer.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: producer
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: producer
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、Spaces Webサービス・コールを行うFrameworkアプリケーションで使用される外部WebCenter Portalドメインを設定する方法を説明します。
この項の内容は次のとおりです。
外部WebCenter Portalドメイン・キーストアを作成する手順は次のとおりです。
JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias external_webcenter_custom -keypass key_password -keystore external_webcenter_custom.jks -storepass keystore_password -validity days_valid
各要素の意味は次のとおりです。
consumer_dnameは、コンシューマの名前です(例: cn=external_webcenter_custom,dc=example,dc=com)。
key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
days_validは、キーのパスワードが有効な日数です(例: 1064)。
|
注意: キーを生成するために |
Spacesドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias external_webcenter_custom -keystore external_
webcenter_custom.jks -storepass keystore_password -rfc -file external_
webcenter_custom_public_key.cer
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がexternal_webcenter_custom_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass keystore_password
各要素の意味は次のとおりです。
keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。
第35.3.7.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第35.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部WebCenter Portalドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第35.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成する手順は次のとおりです。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="MyPassword1", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第35.3.7.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成する手順は次のとおりです。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図35-21を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./external_webcenter_custom.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: external_webcenter_custom
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: external_webcenter_custom
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジの場合にキーストアおよびDFプロパティを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass MyPassword1 -keystore webcenter.jks -storepass MyPassword1 -validity 1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass
MyPassword1 -rfc -file webcenter_public.cer keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass MyPassword1 -keystore bpel.jks keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword1 -rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias
soa_server3 -keypass MyPassword1 -keystore soa_server3.jks -storepass MyPassword1
-validity 1024 keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks -storepass
MyPassword1 -rfc -file soa_server3_public_key.cer keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer
-keystore webcenter.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore
producer.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias
producer -keypass MyPassword1 -keystore producer.jks -storepass MyPassword1 -validity 1024 keytool -exportcert -v -alias producer -keystore producer.jks -storepass MyPassword1
-rfc -file producer_public_key.cer keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,dc=example,dc=com" -alias external_webcenter_custom -keypass MyPassword1 -keystore external_webcenter_custom.jks -storepass MyPassword1 -validity 1024 keytool -exportcert -v -alias external_webcenter_custom -keystore
external_webcenter_custom.jks -storepass MyPassword1 -rfc -file
external_webcenter_custom_public_key.cer keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
keytool -importcert -alias external_webcenter_custom_public_key -file external_
webcenter_custom_public_key.cer -keystore webcenter.jks -storepass MyPassword1
証明書を信頼するかを尋ねられたら、yesと答えます。
webcenter.jksをdomain_home/config/fmwconfigディレクトリに、bpel.jksをSOA1_domain_home/config/fmwconfigディレクトリに、soa_server3.jksをSOA_2_domain_home/config/fmwconfigディレクトリに、producer.jksをExternal_Portlet_domain_home/config/fmwconfigディレクトリに、およびexternal_webcenter_custom.jksをExternal_WebCenter_domain_home/config/fmwconfigディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./webcenter.jksを指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword1", desc="Signing key")
外部ディスカッション・サーバー・ドメイン・キーストアの構成
次の手順に従って、ディスカッション・サーバーのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./owc_discussions.jksを指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="MyPassword1", desc="Signing key")
SOA1ドメイン・キーストアの構成
次の手順に従って、SOA1ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、bpel.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./bpel.jksを指定します。
WLSTを使用して、SOA1ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword1", desc="Signing key")
SOA2ドメイン・キーストアの構成
次の手順に従って、SOA2ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。
まだ実行していない場合は、soa_server3.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./soa_server3.jksを指定します。
WLSTを使用して、SOA2ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="MyPassword1", desc="Signing key")
外部ポートレット・プロデューサ・ドメイン・キーストアの構成
次の手順に従って、外部ポートレット・プロデューサ・ドメイン・キーストアおよび外部WebCenter Portalドメイン・キーストアのサービス・インスタンス参照を構成します。
外部ポートレット・プロデューサ・ドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./producer.jksを指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="MyPassword1", desc="Signing key")
外部WebCenter Portalドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。
まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。
エディタでjps-config.xmlを開きます。
keystore.providerプロバイダの<serviceInstanceノードを見つけます。
locationとして./external_webcenter_custom.jksを指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword1", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", password="MyPassword1", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="external_webcenter_custom", password="MyPassword1", desc="Signing key")
ディスカッション・サーバー接続の構成
第14.3項「ディスカッション・サーバーの登録」で説明しているように、Spacesまたは使用しているFrameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定します。また、第35.3.3.4項「ディスカッション・サーバーの接続設定の構成」で、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を参照してください。
この項では、Spaces APIを公開するアプリケーション(コンシューマ)とSpaces(プロデューサ)の間の通信のセキュリティが確保され、それらのAPIを呼び出すユーザーのアイデンティティが保護されるように、SpacesにWS-Securityを構成する場合に必要な管理者タスクについて説明します。
SpacesクライアントAPIを使用するアプリケーション開発のための開発者タスクの詳細は、『Oracle Fusion Middleware Oracle WebCenter Portal開発者ガイド』のWebCenter Spaces APIを使用するようにFrameworkアプリケーションを設定する方法に関する項を参照してください。
この項の内容は次のとおりです。
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第35.1.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperであり、Spacesサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第35.2.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがSpacesと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperの場合、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーして、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第35.3.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");
