A SSL 暗号化鍵の構成

ACSLS GUI では、WebLogic サーバーとクライアントブラウザ間で行われるネットワークトランザクションに、https トランスポートプロトコルを使用します。https では、SSL (現在は TLS) という暗号化プロトコルを使用したセキュアな通信が行われます。クライアントブラウザがサーバーに最初にアクセスしたときに、クライアントとサーバーの間で鍵セットの交換が行われます。これらは、そのあと 2 つのノード間でセキュアな交換を行うための暗号化と復号化に使用されます。

ACSLS サーバーに WebLogic をインストールすると、自動的に簡易 512 ビット公開鍵が使用可能になり、クライアントブラウザとの基本的な https 交換がサポートされます。通常、追加の構成作業が必要になることはありません。ただし、Microsoft Internet Explorer などの一部のブラウザでは、1024 ビット以上の長さの鍵が必要になります。

このセクションでは、WebLogic サーバーのカスタム SSL 鍵を作成する方法を説明します。

1. 暗号化キーのキーストアデータベースを生成します。

   1. root ユーザーとして、基本の acsls 環境変数をソースにします。

      . /var/tmp/acsls/.acsls_env
      

   2. キーストアパラメータを定義します。

      keyPath=$installDir/Oracle/Middleware/wlserver_10.3/server/lib
      keyStore=acslsKeyStore.jks
      myPw=<enter a desired password here>
      

   3. 公開鍵/秘密鍵のペアとデジタル証明書を生成します。それらをキーストアに保管します。

      keytool -genkeypair -alias selfsigned \
      -keystore $keyPath/$keyStore -keyalg RSA \
      -storepass $myPw  -validity 7300  -keysize 2048
      

      ここでは、有効期間が 7300 日 (20 年) の証明書と 2048 ビット長の暗号化鍵が生成されます。

      keytool で次のプロンプトが表示されます。入力した回答が証明書に書き込まれ、ACSLS GUI ユーザーは HTTPS 接続の信頼性について確認を求められたときにいつでもこの証明書をリモートブラウザで表示できます。

      What is your first and last name?
        [Unknown]:  ACSLS Library Server
      
      What is the name of your organizational unit?
        [Unknown]:  Tape Library Services
      
      What is the name of your organization?
        [Unknown]:  Our Organization
      
      What is the name of your City or Locality?
        [Unknown]:  Our Town
      
      What is the name of your State or Province?
        [Unknown]:  Our Province?
      
      What is the two-letter country code for this unit?
        [Unknown]:  CA
      

      パスワードを要求されたら、Return を押し、ステップ 1-b で設定した $myPw の値を使用します。

      発行したパラメータがツールによって要約され、それらのパラメータが正しいかどうかの確認 (yes/no) を求められます。

2. 新しく生成したキーストアを使用するように WebLogic を構成します。

   1. acsls_admin のパスワードを使用して ’acsls_admin' として WebLogic コンソールにログオンします。

      http://acsls_server:7001/console

   2. コンソールページのメインページの左上隅にある、「ロックして編集」ボタンをクリックします。

   3. 「ロックして編集」ボタンのすぐ下に「ドメイン構造」が表示されます。「AcslsDomain」の下の「環境」を選択します。

   4. 「環境のサマリー」フレームから、「サーバー」をクリックします。

   5. 「サーバーのサマリー」から「構成」タブを選択し、サーバーの表から「AdminServer(admin)」を選択します。

   6. 「管理サーバーの設定」フレームから「キーストア」タブを選択します。

   7. キーストアの項目で「変更」ボタンをクリックし、「カスタムアイデンティティとカスタム信頼」を選択します。「保存」をクリックします。

   8. 「カスタムアイデンティティキーストア」テキストボックスで、前述のステップ 1-b で定義した $keyPath/$keyStore の値を使用して keyStore.jks ファイルへのパスを入力します。「カスタムアイデンティティキーストアのタイプ」テキストボックスは空のままにしておきます。

   9. 「カスタムアイデンティティキーストアのパスフレーズ」テキストボックスで、前述のステップ 1-b で $myPw として定義したパスワードを入力します。

   10. 次のテキストボックス内の「カスタムアイデンティティキーストアのパスフレーズ」を確認します。

   11. 「カスタム信頼キーストア」テキストボックスで、ステップ 2-h で入力した $keyPath/$keyStore の値を使用して acslsKeyStore.jks ファイルへの完全パスを入力します。「カスタム信頼キーストアのタイプ」テキストボックスは空のままにしておきます。

   12. 「カスタム信頼キーストアのパスフレーズ」テキストボックスに、ステップ 2-i で定義したものと同じパスワードを入力します。残っているテキストボックスで、パスワードの確認を入力します。

   13. 「保存」をクリックします。ページ上部の検証メッセージを確認します。

   14. 「管理者の設定」フレームで「SSL」タブを選択します。

   15. 「アイデンティティと信頼の場所」で、「キーストア」が選択されていることを確認します。「変更」をクリックし、必要に応じて設定を変更します。

   16. 「秘密鍵の別名」テキストボックスに、selfsigned と入力します。

   17. 「秘密鍵のパスフレーズ」テキストボックスに、前述のステップ 1-b で $myPw として定義したものと同じパスワードを入力します。残っているテキストボックスで、同じパスワードを使用して確認します。

   18. 「保存」をクリックします。ページ上部の緑色の検証メッセージを確認します。

   19. ページの左上隅にある「変更のアクティブ化」ボタンをクリックします。ページ上部の検証メッセージを確認します。