この章では、WebLogic Serverで使用するためにOracle OPSSキーストア・サービスを構成する方法について説明します。
第11章「IDと信頼の構成」では、WebLogic ServerのIDと信頼をデフォルトのJKSキーストア・タイプで構成する方法について説明します。
『アプリケーション・セキュリティ・ガイド』のキーストア・サービスでのキーと証明書の管理に関する項で説明するように、OPSSキーストア・サービスは、メッセージを保護するキーと証明書を管理するための代替メカニズムを備えています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成および保持できます。
この節の内容は以下のとおりです。
ここでは、キーストア・サービスでのキーと証明書の管理に関する項に示されているOPSSキーストア・サービスの基本的な概要を把握していることを前提とします。
WebLogic ServerシステムにOracle JRFテンプレートをインストールしており、そのテンプレートを使用してドメインを作成している場合にかぎり、WebLogic ServerでOPSSキーストア・サービスを使用できます。
OPSSキーストア・サービスはJRFテンプレートのみで利用でき、デフォルトのWebLogic Server構成では利用できません。
OPSSキーストア・サービスの詳細は、『アプリケーション・セキュリティ・ガイド』のキーストア・サービスでのキーと証明書の管理に関する項を参照してください。キーストア・サービスでのキーと証明書の管理に関する項では具体的に、KSSキーストアの作成方法、管理方法、および利用可能なツールとコマンドについて説明しています。
この項では、OPSSキーストア・サービスを構成する手順の概要を説明しますが、正確な情報源としては、『アプリケーション・セキュリティ・ガイド』のキーストア・サービスでのキーと証明書の管理に関する項を参照してください。
OPSSキーストア・サービスの操作は、Fusion Middleware Controlを使用するかWLSTでキーストア・サービス・コマンドを使用して実行できます。この項ではFusion Middleware Controlの手順を示しますが、キーストア・サービスでのキーと証明書の管理に関する項では両方の手順を説明しています。
WebLogic ServerでデモIDおよびデモ信頼に対してOPSSキーストア・サービスを使用できるように、OPSSキーストア・サービスを構成する必要があります。
デモIDおよびデモ信頼に対してOPSSキーストア・サービスを構成するには、次の手順を実行します。
Fusion Middleware Controlを起動します。
「WebLogicドメイン」メニューから、「セキュリティ」→「キーストア」を選択します。
system
ストライプにdemoidentity
という名前のキーストアを作成します。(詳細は、Fusion Middleware Controlでのキーストアの作成に関する項を参照してください。)
system
ストライプを選択し、「キーストアの作成」をクリックします。
図13-1に「キーストアの作成」ページを示します。
このキーストアにdemoidentity
という名前を付けます。
保護タイプを「パスワード」に設定します。
パスワードをDemoIdentityKeyStorePassPhrase
に設定し、確認します。
「権限の付与」チェック・ボックスの選択を解除します。
コード・ベースURLは指定しないでください。
作成したdemoidentity
キーストアを選択し、「管理」をクリックします。
DemoIdentityKeyStorePassPhrase
パスワードを入力します。
図13-2に「証明書の管理」画面を示します。
「鍵ペアの生成」をクリックし、公開鍵と秘密鍵のペアを生成します。
図13-3に「鍵ペアの生成」画面を示します。
鍵ペアの別名としてDemoIdentity
を指定します。
共通名にDemoCertFor_
<WLS Domain Name>
を指定します。DemoCertFor_
は必須の定数、<WLS Domain Name>
はWebLogic Serverのドメイン名です。たとえば、DemoCertFor_base_domain
のように指定します。
注意: WebLogic Server DefaultHostnameVerifierは、Weblogic Serverドメインのセキュリティ構成で「デモへのKSSの使用」フラグが設定された場合に、この非標準のホスト名形式を受け入れるように変更されています。他のホスト名検証では、この形式がサポートされていない場合があります。 |
必要に応じて、他のサイト固有の情報を指定します。
ご使用の環境に適している場合は、デフォルトのRSAキー・サイズを受け入れます。キーの長さは1024ビット以上にする必要があります。
パスワードをDemoIdentityPassPhrase
に指定します。
「OK」をクリックします。
WebLogic Server管理コンソールから、「ドメイン」→「セキュリティ」→「詳細」ページに移動し、「デモへのKSSの使用」チェック・ボックスを選択します。
キーストアの構成に関する項で説明しているように、デモIDおよびデモ信頼を使用するようにWebLogic Serverインスタンスを構成します。
SSLの設定に関する項で説明しているように、WebLogic Serverインスタンスに対してSSLを構成します。
WebLogic Server DefaultHostnameVerifierが、非標準のDemoCertFor_
<WLS Domain Name>
ホスト名形式を受け入れるように変更されていることに注意してください。他のホスト名検証では、この形式がサポートされていない場合があります。
WebLogic Serverを再起動します。
WebLogic ServerでカスタムIDおよびカスタム信頼に対してOPSSキーストア・サービスを使用できるように、OPSSキーストア・サービスを構成する必要があります。
OPSSキーストア・サービスの操作は、Fusion Middleware Controlを使用するかWLSTでキーストア・サービス・コマンドを使用して実行できます。この項ではFusion Middleware Controlの手順を示しますが、キーストア・サービスでのキーと証明書の管理に関する項では両方の手順を説明しています。
カスタムIDとカスタム信頼に対してOPSSキーストア・サービスを構成するには、次の手順を実行します。
Fusion Middleware Controlを起動します。
「WebLogicドメイン」メニューから、「セキュリティ」→「キーストア」を選択します。
system
ストライプにキーストアを作成します。(詳細は、Fusion Middleware Controlでのキーストアの作成に関する項を参照してください。)
system
ストライプを選択し、「キーストアの作成」をクリックします。
図13-1に「キーストアの作成」ページを示します。
このキーストアに名前を付けます。
保護タイプを「パスワード」に設定します。
パスワードを設定します。
「権限の付与」チェック・ボックスの選択を解除します。
コード・ベースURLは指定しないでください。
作成したキーストアを選択し、「管理」をクリックします。
パスワードを入力します。
図13-2に「証明書の管理」画面を示します。
「鍵ペアの生成」をクリックし、公開鍵と秘密鍵のペアを生成します。
図13-3に「鍵ペアの生成」画面を示します。
鍵ペアの別名を指定します。
必要に応じて、サイト固有の情報を指定します。
ご使用の環境に適している場合は、デフォルトのRSAキー・サイズを受け入れます。キーの長さは1024ビット以上にする必要があります。
パスワードを指定します。
「OK」をクリックします。
このKSSデモCA署名の鍵ペアをそのまま使用することも、Entrust、Verisignなどの信頼できるベンダーから署名証明書を取得することもできます。
信頼できるベンダーから署名証明書を取得するには、鍵ペアの別名を選択し、「CSRの生成」をクリックします。CSRの作成後、それをCAに送信します。CAは証明書リクエストを認証し、リクエストに基づいてデジタル証明書を作成します。
CA署名証明書のインポート方法は、『アプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの証明書または信頼できる証明書のインポートに関する項を参照してください。
事前構成されたOPSSキーストア・サービスの信頼ストアkss://system/trust
を使用しない場合は、独自の信頼ストアを作成する必要があります。
注意: 事前構成されたOPSSキーストア・サービスの信頼ストアを使用することをお薦めします。 |
独自の信頼ストアを作成するには、別のOPSSキーストア・サービスのキーストアを作成し、信頼できる証明書をインポートします。信頼できる証明書のインポート方法は、『アプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの証明書または信頼できる証明書のインポートに関する項を参照してください。
キーストアの構成に関する項で説明しているように、カスタムIDおよびカスタム信頼に対してKSSを使用するようにWebLogic Serverインスタンスを構成します。キーストアへの完全修飾パスとして、kss://system/
keystore-name
形式のURIを指定します。キーストア・タイプはKSSです。
SSLの設定に関する項で説明しているように、WebLogic Serverインスタンスに対してSSLを構成します。
サーバーのSSL属性はすべて動的です。コンソールから属性を変更すると、対応するSSLサーバーまたはチャネルSSLサーバーが再起動され、新しい接続に対して新しい設定が使用されます。古い接続は引き続き古い構成で実行されます。すべてのSSL接続が、指定された構成に従って動作するようにするには、WebLogic Serverを再起動する必要があります。