Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1 (11.1.1) B63030-05 |
|
前 |
次 |
この章では、Secure Socket Layer (SSL)を介した通信を行えるようにOracle Business Intelligenceコンポーネントを構成する方法について説明します。
Oracle Business IntelligenceのSSL Everywhere機能を使用すると、コンポーネント間のセキュアな通信が可能になります。デプロイメント全体でセキュアなHTTP通信が行われるように、Oracle Business Intelligenceコンポーネント間、およびOracle WebLogic Server間でのSSL通信を構成できます。この項では、データベースやWebサーバーといった外部サービスとのセキュアな通信の構成については説明しません。Oracle WebLogic Serverに対してSSLを構成する方法は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
この章には次の項が含まれます:
表5-1は、一般的なSSL構成タスクの一覧と、それぞれの詳細情報の参照先となるリンクを示します。
表5-1 タスク・マップ: Oracle Business IntelligenceのSSL通信の構成
タスク | 説明 | 情報 |
---|---|---|
Oracle Business IntelligenceでのSSL通信について理解します。 |
コンポーネントとアプリケーション・サーバー間でのSSL通信がどのように動作するかを理解します。 |
|
Oracle WebLogic Server管理対象サーバー間でのSSL通信を構成します。 |
Oracle Business Intelligenceに対してSSL通信を有効にするには、HTTPSを使用するように、事前にWebサーバーを構成しておく必要があります。 |
第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」 Oracle Fusion Middleware管理者ガイドのOracle Fusion MiddlewareでのSSL構成に関する項 |
コンポーネント間のSSL通信を構成します。 |
Oracle Business Intelligenceコンポーネント間のSSL通信を構成します。 |
|
SSLは、ネットワーク全体のアプリケーション間でセキュアな通信を有効にするための暗号プロトコルです。SSL通信を有効にすることで、メッセージの暗号化、データ整合性、認証など、いくつもの機能による利益を享受できます。メッセージを暗号化することで、認可されたユーザーだけがこれにアクセスできるという機密保護を徹底できます。データ整合性は、メッセージが改ざんされることなく、元の状態のままで受信されることを保証します。認証は、メッセージの送信者が実際にその人物であることを保証します。この項には次のトピックが含まれます:
SSLの概念、および公開鍵による暗号化の詳細は、『Oracle Fusion Middleware管理者ガイド』のSSLの動作に関する項を参照してください。
デフォルトでは、Oracle Business IntelligenceコンポーネントはTCP/IPを使用して相互通信します。Oracle Business Intelligenceコンポーネント間でSSLを構成すると、セキュアなネットワーク通信が可能になります。
Oracle Business Intelligenceコンポーネントは通信する際、一度に1つのプロトコルしか使用できません。あるコンポーネント間で単純なTCP/IP通信を行いながら、別のコンポーネント間でSSLを使用することはできません。セキュアな通信を有効にするには、次のOracle Business Intelligenceコンポーネントのすべてのインスタンスを、SSLを使用して通信するように構成する必要があります。
Oracle BIサーバー
Oracle BIプレゼンテーション・サービス
Oracle BI JavaHost
Oracle BIスケジューラ
Oracle BIジョブ・マネージャ
Oracle BIクラスタ・コントローラ
Oracle BIサーバーのクライアント(Oracle BI ODBCクライアントなど)
SSLを使用する場合は、セッションのネゴシエーション用に、サーバーが公開鍵と秘密鍵を保有している必要があります。公開鍵は、認証局によって署名されたサーバー証明書によって使用可能になります。証明書には、サーバーを識別する情報も含まれます。秘密鍵はサーバーによって保護されます。
Oracle Business Intelligenceインストール全体のSSLは、1つの中央地点から構成されます。証明書が作成され、すべてのOracle Business Intelligenceコンポーネント(Essbaseを除く)がSSLを使用するように構成されます。SSLによって、次のデフォルトのセキュリティ・レベルが構成されます。
SSL暗号化が有効化されています。
SSL相互認証は有効化されません。SSL相互認証が有効にされないため、クライアントが各自のSSL秘密鍵を所有する必要はありません。セキュリティに関するすべてのコンポーネント間通信リンクは、BISystemUser資格証明、またはユーザーの資格証明によって認証されます。
デフォルトの暗号スイートを使用します。デフォルト以外の暗号スイートを使用する方法は、第5.6項「高度なSSL構成オプション」を参照してください。
スケールアウトの際、一元管理されたSSL構成は、追加されたすべての新規コンポーネントに自動的に伝搬されます。
より高度なセキュリティが必要な場合は、SSLによる一元的な構成を、手動構成によって強化または置換できる場合もあります。これは、相当複雑な処理となります。SSLを手動で構成する方法の詳細は、Oracleサポートにお問合せください。詳細は、「Oracleサポートへのアクセス」を参照してください。
SSLを使用したセキュアな通信には、認証局(CA)による署名のある証明書が必要です。内部での通信には、SSL Everywhere機能により、プライベートな認証局および証明書が作成されます。ユーザーのWebブラウザはプライベートな認証局を認識しないため、内部証明書は外部に向けたWebサーバーでは使用できません。したがって、Webサーバーには、外部で認知された認証局によって署名されたWebサーバー証明書を用意する必要があります。Oracle Business IntelligenceコンポーネントがWebサーバー証明書を認識できるように、集中SSL構成には、外部認証局のルート証明書を使用する必要があります。
この項では、Oracle WebLogic Server管理コンソール、Fusion Middleware Controlを使用し、ファイルを手動で編集することにより、コンポーネント間のSSL通信を構成する方法について説明します(この方法をお薦めしています)。その他には、システムMBeanブラウザを使用する方法もあります(この方法はお薦めしていません)。
この項には次のトピックが含まれます:
第5.3.1項「Oracle WebLogic Server管理コンソールでのSSLを使用するためのWebLogicの構成」
第5.3.2項「各WebLogic管理対象サーバーでのWebLogic Server SSL証明書とリスナー・アドレスの一致化」
第5.3.4項「Fusion Middleware Controlを使用したOracle BI EEコンポーネントに対するSSLの有効化」
第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」
Oracle BI EEコンポーネント間でのSSL通信を有効にするには、管理サーバーと管理対象サーバーにおいてHTTPSを使用するようにOracle WebLogic Serverが構成されている必要があります。ここでの例では、デモのWebLogic証明書を使用します。これはセキュアな状態ではありません。本番での使用では、認証局によって署名された本物の証明書を取得する必要があります。
Oracle WebLogic Server管理コンソールでSSLを使用するようにWebLogicを構成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「環境」を開いて、「サーバー」をクリックし、「サーバー構成のサマリー」タブを表示します。
「AdminServer」をクリックします。
AdminServerの設定ページの「一般」タブに移動します。
「SSLリスニング・ポート有効」を選択します。
「リスニング・アドレス」フィールドにコンピュータ名を入力します。
「保存」をクリックします。
管理対象サーバーごとに前の手順を繰り返します。
1つ以上の管理対象サーバーで構成されるクラスタがある場合、クラスタ内の各管理対象サーバーに対して次の手順を実行してください。
<ClusterName>構成の設定ページの「サーバー」タブに移動します。
管理対象サーバー・リンク(たとえば、bi_server1)をクリックします。
「SSLリスニング・ポート有効」を選択します。
「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
必要に応じて、管理サーバーと管理対象サーバーを再起動します。
1つ以上のコンポーネントを再起動する必要があることを示すメッセージが表示されないかぎり、再起動の必要はありません。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
HTTPS URLへのアクセス時、クライアントではアドレスと証明書の共通名(CN)が一致していることをチェックします。このチェックによって、介在者の攻撃から保護します。Oracle BI EEでは、WebLogicリスナー・アドレスを使用してWebLogicとやり取りします。したがって、WebLogic Server証明書のCNはリスナーと一致する必要があります。
各管理対象サーバーでWebLogic Server SSL証明書とリスナー・アドレスを必ず一致させるには、次のタスクを実行します。
証明書の共通名(CN)を確認するには:
管理対象サーバーのアイデンティティ・キーストアの場所にナビゲートします。デモの証明書を使用する場合は、次の場所にあります。
MW_HOME\wlserver_10.3\server\lib\DemoIdentity.jks
注意: WebLogic管理コンソール(「環境」→「サーバー」→「サーバー」→「AdminServer」または「biserver1」→「構成」→「キーストア」タブ)で、どのキーストアがアイデンティティに使用されているかを確認できます。デフォルトはDemoIdentity.jksです。 |
次のコマンドを実行して、証明書をリストします。
<path_to_keytool>keytool -keystore DemoIdentity.jks -list -v
例:
/Oracle_BI1/jdk/jre/bin/keytool -keystore DemoIdentity.jks -list -v
PATH環境変数に、キーツールが入っているJDK binディレクトリのパスが含まれていることを確認します。
パスワードの入力を要求されたら、[Enter]を押します。
パスワードを入力しなかったため、整合性未チェックの警告が表示されます。ここでは、これを無視できます。
***************** WARNING WARNING WARNING ***************** * The integrity of the information stored in your keystore * * has NOT been verified! In order to verify its integrity, * * you must provide your keystore password. * ***************** WARNING WARNING WARNING ***************** Keystore type: JKS Keystore provider: SUN Your keystore contains 1 entry Alias name: demoidentity Creation date: May 24, 2012 Entry type: PrivateKeyEntry Certificate chain length: 1 Certificate[1]: Owner: CN=example.com, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US Issuer: CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US Serial number: 693236433a2eaef213014aec3c013d0 Valid from: Mon Jan 23 15:27:39 GMT 2012 until: Sun Jan 24 15:27:39 GMT 2027 Certificate fingerprints: MD5: BD:56:BC:8B:97:56:9B:5A:5C:3A:9B:6E:57:23:1B:01 SHA1: 45:36:4E:1F:FC:12:9C:F8:AE:39:BD:B0:A3:9E:E8:73:ED:16:B9:AE Signature algorithm name: MD5withRSA Version: 1 ******************************************* *******************************************
この例では、CNはexample.comです。オペレーティング・システムに応じて、WebLogic Serverにより、単純なコンピュータ名または完全修飾ドメイン名を使用してデモの証明書が作成されます。商用CAによって署名された証明書を使用し、共通名が目的のリスナー・アドレスと一致しない場合は、目的のリスナー・アドレスをCNとして修正した証明書署名リクエストを送信する必要があります。
証明書のCNと一致するWebLogicリスナー・アドレスを設定します。
WebLogicリスナー・アドレスを設定するには:
Oracle WebLogic Server管理コンソールで、「環境」、「サーバー」の順に選択します。
「名前」列でサーバーをクリックします。
ドメイン内の管理サーバーとすべての管理対象サーバーに対して、次の手順を繰り返します。
「構成」タブで「一般」ページを表示します。
このタブには、HTTPとHTTPSの両方のリスニング・ポートが表示されます。
「チェンジ・センター」で「ロックして編集」をクリックします。
証明書のCNと一致するリスニング・アドレスを入力します。
リスニング・アドレスを入力すると、"localhost"を使用して同じコンピュータ上のWebLogic Serverにアクセスできなくなります。リスナー(この場合は"example.com")と同じアドレスを使用する必要があります。
「保存」、「変更のアクティブ化」の順にクリックして、ロックを解除します。
新しいリスナー・アドレスと一致するように他のURLを設定します。
新しいリスナー・アドレスと一致するように他のURLを変更するには:
Fusion Middleware Controlにログインして、「WebLogicドメイン」のbifoundation_domainにナビゲートします。
「WebLogicドメイン」メニューから、「セキュリティ」、「セキュリティ・プロバイダ構成」の順に選択します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」領域および「カスタム・プロパティ」表を表示し、ldap.urlカスタム・プロパティが存在し、次のように正しく構成されていることを確認します。
<CN>は管理サーバーの証明書に示されている共通名、<SSLPort>はSSLの実行用に選択したポート(通常7002)です。
ldap.urlのカスタム・プロパティが存在し、正しく構成されていない場合は、それを削除してから次のようにして新規作成します。
ldap.urlのカスタム・プロパティを選択して「削除」をクリックします。
「OK」をクリックして、パラメータを削除します。
「追加」をクリックして「新規プロパティの追加」ダイアログを表示します。
表5-2に示すように、フィールドの値を入力します。
「OK」をクリックして変更を保存します。
ldap.urlのカスタム・プロパティが存在しない場合は、次のようにして新規作成します。
「追加」をクリックして「新規プロパティの追加」ダイアログを表示します。
表5-2に示すように、フィールドの値を入力します。
「OK」をクリックして変更を保存します。
「OK」をクリックします。
管理サーバーおよび管理対象サーバーを再起動します。
Oracle BI EEコンポーネント間のSSL通信を有効にするには、WebLogicサーバーで実行されているコード間の信頼を有効にする必要があります。
WebLogicサーバーで実行されているコード間の信頼を有効にするには:
編集のために次のファイルを開きます。
Linuxの場合:
MW_HOME/user_projects/domains/bifoundation_domain/bin/setDomainEnv.sh
Windowsの場合:
MW_HOME\user_projects\domains\bifoundation_domain\bin\setDomainEnv.cmd
DemoTrustとDemoIdentityのキーストア・パスフレーズを識別します。
これらのパスフレーズは後で、JAVA_OPTIONS値にプロパティを追加する際に使用する必要があります。
DemoTrustキーストア・パスフレーズを識別するには:
コマンドライン・ウィンドウでJDK binディレクトリを開きます。
JDK binディレクトリは次の場所にあります。
MW_HOME/Oracle_BI1/jdk/bin
たとえば、次のコマンドを実行します。
keytool -keystore mw_home/wlserver_10.3/server/lib/DemoTrust.jks -list
パスワードを入力します。
パスワードは、「password」または「DemoTrustKeyStorePassPhrase」のいずれかになります。
正しいパスワードを入力すると、次のような内容が出力されます。
"Keystore type: JKS Keystore provider: SUN Your keystore contains 4 entries certgenca, Mar 22, 2002, trustedCertEntry, Certificate fingerprint (MD5): 8E:AB:55:50:A4:BC:06:F3:FE:C6:A9:72:1F:4F:D3:89 wlsdemocanew2, Jan 24, 2003, trustedCertEntry, Certificate fingerprint (MD5): 5B:10:D5:3C:C8:53:ED:75:43:58:BF:D5:E5:96:1A:CF wlsdemocanew1, Jan 24, 2003, trustedCertEntry, Certificate fingerprint (MD5): A1:17:A1:73:9B:70:21:B9:72:85:4D:83:01:69:C8:37 wlscertgencab, Jan 24, 2003, trustedCertEntry, Certificate fingerprint (MD5): A2:18:4C:E0:1C:AB:82:A7:65:86:86:03:D0:B3:D8:FE "
DemoIdentityキーストア・パスフレーズを識別するには:
コマンドライン・ウィンドウでJDK binディレクトリを開きます。
JDK binディレクトリは次の場所にあります。
MW_HOME/Oracle_BI1/jdk/bin
たとえば、次のコマンドを実行します。
keytool -keystore mw_home/wlserver_10.3/server/lib/DemoIdentity.jks -list
パスワードを入力します。
パスワードは、「password
」または「DemoIdentityKeyStorePassPhrase
」のいずれかになります。
正しいパスワードを入力すると、次のような内容が出力されます。
"Keystore type: JKS Keystore provider: SUN Your keystore contains 1 entry demoidentity, Jan 14, 2013, PrivateKeyEntry, Certificate fingerprint (MD5): DA:9B:F7:A2:B7:12:56:56:3F:E5:1D:C7:C1:7A:2D:8E"
手順2で識別したパスワードをJAVA_OPTIONS
プロパティに追加します。
Oracle WebLogic Server上で実行中のいくつかのOracle Business Intelligence Javaコンポーネントが、Oracle WebLogic Server上で実行する他のWebサービスを起動します。したがって、これらのプロパティを設定することにより、Oracle WebLogic Serverが自身を信頼するように構成する必要があります。
パス内の円記号(\)は、追加の円記号(\)を使用することにより、エスケープする必要があります。
デモOracle WebLogic Server証明書を使用する場合は、たとえば、次のように編集してください。
Linuxの場合(1行で入力):
JAVA_OPTIONS="${JAVA_OPTIONS} -Djavax.net.ssl.trustStore=/mw_home/wlserver_10.3/server/lib/DemoTrust.jks -Djavax.net.ssl.DemoTrustStorePassphrase=\"DemoTrustKeyStorePassPhrase\" -Djavax.net.ssl.keyStore=/mw_home/wlserver_10.3/server/lib/DemoIdentity.jks -Djavax.net.ssl.keyStorePassword=\"DemoIdentityKeyStorePassPhrase\"" export JAVA_OPTIONS
Windowsの場合(1行で入力):
set JAVA_OPTIONS=%JAVA_OPTIONS% -Djavax.net.ssl.trustStore="BIEE11G\\wlserver_10.3\\server\\lib\\DemoTrust.jks" -Djavax.net.ssl.DemoTrustKeyStorePassphrase="DemoTrustKeyStorePassPhrase" -Djavax.net.ssl.keyStore="BIEE11G\\wlserver_10.3\\server\\lib\\DemoIdentity.jks" -Djavax.net.ssl.keyStorePassword="DemoIdentityKeyStorePassPhrase"
この手順を省略すると、ログインに失敗します。
間違ったトラスト・ストアの場所を指定していると、エラー・メッセージが表示される場合があります。たとえば、SOA用Webサービスで、次のようなエラー・メッセージが表示されます。
java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
setDomainEnv.shまたはsetDomainEnv.batファイルを保存します。
Oracle WebLogic Serverを再起動し、Javaオプションの変更を反映します。
Oracle WebLogic Serverを再起動しない場合、Oracle Business Intelligenceへのログインに失敗します。
Fusion Middleware Controlを使用してOracle BI EEコンポーネントに対してSSLを有効にします。
Fusion Middleware Controlを使用してOracle BI EEコンポーネントに対してSSLを有効にするには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
ナビゲーション・ペインから「Business Intelligence」フォルダを展開し、「coreapplication」を選択します。
「セキュリティ」ページの「Secure Sockets Layer」タブに移動します。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「中間層の通信にSSLを使用」オプションが使用可能である場合は、これを選択します。
「中間層の通信にSSLを使用」オプションが使用できない場合は、WebLogic上でのSSLの有効化に失敗しています。第5.3.1項の手順を確認してください。
このチェック・ボックスを選択すると、SSLがOracle Business Intelligenceコンポーネント間の通信手段として有効になります。
「WebLogic CA証明書の場所」フィールドに、WebLogic CA証明書のパスを入力します。
WebLogic Serverのデフォルトのデモ認証局を使用するには、次のように入力します。
MW_HOME/wlserver_10.3/server/lib/CertGenCA.der
このパスは、Webサーバーの証明書の署名に使用された証明局(CA)のCAルート証明書になります。個別のWebサーバー証明書は入力しないでください。サポートされているタイプは.derおよび.pemです。証明書ファイルの拡張子を正しく入力しているか確認してください。Webサーバーの証明書が中間CA証明書を使用して署名されている場合は、中間証明書ではなく、ルートCAを入力します。
構成変更をアクティブにすると、各宛先管理対象サーバーにおいてCA証明書がテストされます。管理対象サーバーの証明書がCA証明書に基づいて立証されない場合は、その管理対象サーバーのログ・ファイルに警告メッセージが含まれます。メッセージには、その管理対象サーバーからの証明書チェーンの完全情報と、CA証明書の内容テキストが含まれます。
「適用」をクリックします。
次のような確認メッセージが表示されます。
新規証明書生成の確認 - 成功しました
次のエラー・メッセージが表示された場合:
CA証明書<your certificate path>、形式<PEM or CER>はCA証明書ではありません。CAに必要な基本的な制約が含まれていません
:
このメッセージが表示された場合は、次の手順を実行します。
次のコマンドを入力して、CA証明書の内容が正しいことを目視チェックします。
pem証明書の場合、次のコマンドを使用します。
<
mwhome
>/Oracle_BI1/bifoundation/server/bin>openssl x509 -in <
yourcertificate
>.pem -text
.
der証明書の場合、次のコマンドを使用します。
<
mwhome
>/Oracle_BI1/bifoundation/server/bin>openssl x509 -inform der -in <
yourcertificate
>.der -text
.
これらの読取り専用opensslコマンドには構成ファイルが必要ありません。そのため、次の語句で始まる警告は無視してかまいません。
警告: 構成ファイルを開けません
CA証明書が想定されるルートCA証明書であることを確認します。CA証明書には基本制約セクションがありますが、CAによってはまだこの標準に準拠していないものがあります。
CA証明書の内容が正しい場合は、setDomainEnv.shファイル(Linuxの場合)またはsetDomainEnv.batファイル(Windowsの場合)で次のプロパティを設定することで、厳密なCA証明書チェックを無効にできます。
注意: このプロパティは、CA証明書を確認してそれが正しい場合を除いて構成しないでください。 |
oracle.bi.management.ssl.omitcacheck=true
setDomainEnv.shまたはsetDomainEnv.batファイルを保存します。
第5.3.4項を繰り返します。
このダイアログを閉じます。
「変更のアクティブ化」をクリックします。
OPMNコンポーネントとWebLogic Serverを停止します。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
WebLogic Server、管理サーバー、管理対象サーバーを再起動し、OPMNコンポーネントおよびOracle Business Intelligenceコンポーネントを起動します。
Fusion Middleware Controlで、「SSL」ページに移動して、「内部SSL通信ステータスを確認するためのSSLレポートを表示します。」をクリックして、SSLステータスを表示します。
このリンクが表示される場合は、SSLが有効になっています。
7001と9704のポートを使用して、Fusion Middleware Control、Oracle WebLogic Server管理コンソールおよびOracle BI EEにログインします。
すべてのログインが成功する必要があります。
7002と9804のポートを使用して、Fusion Middleware Control、Oracle WebLogic Server管理コンソールおよびOracle BI EEにログインします。
すべてのログインが成功する必要があります。
非SSLリスニング・ポートを無効にすることにより、HTTPSプロトコルのみを使用するようにOracle WebLogic Serverを構成します。
詳細は、Oracle Fusion Middleware管理者ガイドのOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
HTTPSプロトコルのみを使用するようにOracle WebLogic Serverを構成するには:
1つ以上の管理対象サーバーで構成されるクラスタがある場合、次の手順を実行してください。
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「環境」を開いて、「クラスタ」をクリックし、「クラスタのサマリー」ページを表示します。
「bi_cluster」をクリックし、<ClusterName>の設定を表示します。
「構成」ページの「レプリケーション」タブに移動します。
「セキュア・レプリケーションの有効化」を選択します。
「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
WebLogic Serverの組込みLDAPディレクトリ・サーバーを使用している場合は、これらの手順を実行します。
詳細は、Oracle Fusion Middleware Oracle WebLogic Serverの保護のLDAPブラウザでの組込みLDAPサーバーのコンテンツ表示に関する項を参照してください。
Fusion Middleware Controlにログインし、WebLogicドメイン・フォルダを開いて、bifoundation_domainを選択します。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
メニューから、「セキュリティ」および「セキュリティ・プロバイダ構成」を選択します。
ストア・プロバイダ構成の識別を開きます。
「構成」クリックして「アイデンティティ・ストア構成」領域および「カスタム・プロパティ」表を表示します。
「追加」をクリックして次のプロパティを追加します。
例:
- プロパティ名 = ldap.url、プロパティ値 = ldaps://<listening address>:7002
注意: ldap.urlプロパティを確認し、すでに存在する場合は追加しないでください。 |
- プロパティ名 = java.naming.security.protocol、プロパティ値 = SSL
ポートは必ず7002であるわけではありません。正しいポートについては、WebLogic起動ログまたはサーバー・ログを確認してください(例: "DefaultSecure[1]" is now listening on 10.123.45.678:7503 for protocols iiops, t3s, ldaps, https
)。
「OK」をクリックします。
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「環境」を開いて、「サーバー」をクリックし、「サーバー構成のサマリー」タブを表示します。
「AdminServer」をクリックします。
「AdminServerの設定」ページ→「一般」タブに移動します。
「リスニング・ポート有効」をクリアします。
「保存」をクリックします。
1つ以上の管理対象サーバーで構成されるクラスタがある場合、クラスタ内の各管理対象サーバーに対して次の手順を実行してください。
<ClusterName>構成の設定ページの「サーバー」タブに移動します。
管理対象サーバー・リンク(たとえば、bi_server1)をクリックします。
「リスニング・ポート有効」をクリアします。
「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
再起動するのに、HTTPSポートを使用した再接続が必要な場合があります。
管理サーバーとすべての管理対象サーバーを再起動します。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
Oracle Business Intelligenceのコンポーネントおよびツールのその他のSSL構成オプションは、次のとおりです。
SSL Everywhereの集中構成によって生成された証明書は、1年後に失効します。証明書の有効期限は、SSLステータス・レポートの「メッセージ」列にリストされます。メッセージ上にマウスを置くと、このリンクについての詳細情報が表示されます。Fusion Middleware Controlの「セキュリティ」ページの「Secure Sockets Layer」タブで「内部SSL通信ステータスを確認するためのSSLレポートを表示します。」リンクをクリックすることにより、SSLステータス・レポートを表示できます。
新しい証明書を生成するには、SSLのセットアップ(第5.3.1項で説明)を繰り返して、CA証明書の場所を再入力します。CA証明書の場所を再入力すると、証明書の再生成がトリガされます。
このタスクを行うには、SMTPサーバー証明書を取得する必要があります。
Fusion Middleware Controlを使用してSMTPサーバーのSSLを構成するには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「Business Intelligence概要」ページに移動します。
「デプロイメント」ページの「メール」タブを表示します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックして、構成をロックします。
「Secure Socket Layer (SSL)」の各フィールドを、次のように処理します。
接続セキュリティ: オプションを1つ選択します。他のフィールドは後でアクティブになる場合があります。
CA証明書ソースの指定: 「ディレクトリ」または「ファイル」を選択します。
CA証明書ディレクトリ: CA証明書を含むディレクトリを指定します。
CA証明書ファイル: CA証明書のファイル名を指定します。
SSL証明書検証の深さ: 証明書に適用する検証レベルを指定します。
SSL暗号リスト: SMTPサーバーがサポートする暗号スイート名に一致する暗号のリストを指定します。たとえば、RSA+RC4+SHAなどです。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。
SASchInvokeコマンドを実行するには、次の構文を使用します。
SASchInvoke -u <Admin Name> (-j <job id> | -i <iBot path>) [-m <machine name>[:<port>]] [(-r <replace parameter filename> | -a <append parameter filename>)] [-l [ -c SSL certificate filename> -k <SSL certificate private key filename> [ -w <SSL passphrase> | -q <passphrase file> | -y ]] [-h <SSL cipher list>] [-v [-e <SSL verification depth>] [-d <CA certificate directory>] [-f <CA certificate file>] [-t <SSL trusted peer DNs>] ] ]
このコマンドでは、管理者パスワードの入力を求められます。
SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。
Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用される鍵および証明書は、Javaキーストア・データベースに格納しておく必要があります。
SSLを使用してBIスケジューラ・サーバーと通信するようにOracle BIジョブ・マネージャを構成するには、次の手順を実行します。
Oracle BIジョブ・マネージャを構成するには:
「ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。
ダイアログ・ボックスの「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。
集中SSL構成を使用している場合は、相互認証が設定されないため、このダイアログ・ボックスで追加の値を指定する必要はありません。
「OK」をクリックして終了します。
BI Schedulerが「クライアント証明書が必要」に設定されている場合は、「キー・ストア」と「キー・ストア・パスワード」を次のように設定する必要があります。
Key Store=MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\biinstances\coreapplication\ssl\client.keystore.
キー・ストア・パスワード = generateSSLCertificates操作で入力したパスフレーズ。第5.5.2項「SSL証明書の生成」のステップ10を参照してください。
「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。
「トラスト・ストア」テキスト・ボックスに、認証局ファイルを保持するキー・ストアのパスおよびファイル名を入力します。
前述の例では、CA証明書は、証明書および秘密鍵の保存場所と同じキー・ストアclient.keystoreに保存されています。
「トラスト・ストア・パスワード」テキスト・ボックスに、ステップ6で入力したキーストアのパスワードを入力します。
上記のパラメータで指定した場所に、キー・ストア・ファイルおよびトラスト・ストア・ファイルをコピーします。
Oracle Business IntelligenceのHTTP WebサーバーがSSLで有効になっている場合は、オンライン・カタログ・マネージャがOracle BIプレゼンテーション・サービスへの接続に失敗する可能性があります。WebサーバーからSSLサーバー証明書またはCA証明書をインポートし、システム変数JAVA_HOMEによって指定されているJVM (JRocketなど)のJavaキーストアに格納する必要があります。
オンライン・カタログ・マネージャを有効にして接続するには:
MW_HOME/JAVA_HOME/ jre/lib/securityにあるJavaのデフォルトのトラスト・ストアに移動します。
たとえば、mw_home\jrocket_160_17_R28.0.0-679\jre\lib\security
となります。
デフォルトのトラスト・ストア名はcacertsです。
Javaのデフォルトのトラストストアと同じ場所に、Webサーバーからエクスポートした証明書をコピーします。
次のコマンドを実行して、デフォルトのトラスト・ストアに証明書をインポートします。
keytool -importcert -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS
Webサーバーの証明書ファイル$WebserverCertFilenameが、別名bicertの下にあるcacertsというJavaのデフォルトのトラストストアにインポートされます。
たとえば、Oracle WebLogic Serverのデフォルトのデモ証明書を使用する場合であれば、証明書へのフルパスであるWLS_HOME/server/lib/CertGenCA.derを使用します。
注意: Javaトラスト・ストアのデフォルトのパスワードは「changeit」です。 |
カタログ・マネージャを再起動します。
注意: カタログ・マネージャは、セキュアなHTTPS URLを使用して起動する必要があります。 |
SSLが有効化されているBIサーバーに適切に接続するには、管理ツールもSSLを使用して通信するように構成する必要があります。Oracle BIサーバーのデータ・ソースのDSNが必要となります。
SSL経由で通信するように管理ツールを構成するには:
プレゼンテーション・サービスの「 管理 」ページに管理ユーザーとしてログインして、使用されているOracle BIサーバーのデータ・ソースのDSNを確認します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
左上隅の「Oracle BIサーバー・データ・ソース」フィールドを確認します。DSNがcoreapplication_OH<DSNnumber>という形式で一覧表示されています。
管理ツールで、「ファイル」、「開く」、「オンライン」の順に選択し、DSN番号を入力します。リストからDSNを選択します。
リポジトリのユーザー名およびパスワードを入力します。
これで、管理ツールはSSLを使用してBIサーバーに接続されます。
Oracle BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。ODBC DSNに対してSSL通信を有効化する方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のOracle Business Intelligenceとのその他のクライアントの統合に関する項を参照してください。
SSLを使用してインターネット経由で安全に通信できるようにBI Publisherを構成できます。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド』のSecure Socket Layer (SSL)通信のためのBI Publisherの構成に関する項を参照してください。
SSL構成後、BI Publisherの動作が正常でなくなったら、HTTPSプロトコルとSSLポートを再構成することが必要になる場合があります。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド』のOracle BIプレゼンテーション・サービスとの統合の構成に関する項を参照してください。
複数の認証プロバイダを構成している場合に、SSL(一方向SSLのみ)で通信するLDAP認証プロバイダを追加構成するには、仮想化(libOVD)機能で使用される追加キーストアに、該当するLDAPサーバーのルート証明書を配置する必要があります。
複数認証プロバイダの使用時にSSLを構成するには:
注意: このタスクを完了する前に、 |
キーストアを作成します。
環境変数ORACLE_HOME、WL_HOMEおよびJAVA_HOMEを設定します。
たとえば次のようにします(Windowsの場合)。
set ORACLE_HOME=
MW_HOME\Oracle_BI1
set WL_HOME=
MW_HOME\wlserver_10.3
set JAVA_HOME=
MW_HOME\OracleBI1\jdk
-createKeystoreオプションを使用して、libovdconfig.sh(UNIXの場合)またはlibovdconfig.bat(Windowsの場合)を実行し、キーストアを設定します。
たとえばUNIXでは、シェル・プロンプトを開き、MW_HOME/oracle_common/binディレクトリに移動します。その上で、次のコマンドを実行します(Oracle Business Intelligenceの管理者ユーザー名とパスワードが求められます)。
./libovdconfig.sh -host <
hostname> -port <
Admin_Server_Port> -username <BI Admin User> -domainPath MW_HOME/user_projects/domains/bifoundation_domain -createKeystore
Windowsでの場所:
MW_HOME\oracle_common\bin\libovdconfig.bat
入力を求められたら、Oracle Business Intelligenceの管理者パスワード、およびlibovdconfig.sh -createKeystoreコマンドで作成されたOVDキーストアのパスワード(キーストア・ファイルの保護に使用される新しいパスワード)を入力します。
このコマンドを実行すると、2つの新しい資格証明が、資格証明ストアと、MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\ovd\default\keystoresの下のadapters.jksという新しいキーストア・ファイルに表示されます。
ルート証明書をLDAPディレクトリからエクスポートします(方法については、LDAPのドキュメントを参照してください)。
keytoolコマンドを使用して、ルート証明書をlibOVDキーストアにインポートします。
MW_HOME/OracleBI1/jdk/bin/keytool -import -keystore
MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\ovd\default\keystores/adapters.jks -storepass <
KeyStore password> -alias <
alias of your choice> -file <
Certificate filename>
WebLogic ServerプロセスとOracle Business Intelligenceプロセスを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
この項では、システムMBeanブラウザを使用してコンポーネント間のSSL通信を構成する方法について説明します。この代替方法では、様々な証明書ストアを保護するパスフレーズの選択を含む、複数の高度な構成オプションを選択することができます。この方法ではなく、できるだけ第5.3.1項「Oracle WebLogic Server管理コンソールでのSSLを使用するためのWebLogicの構成」で説明する方法の方を使用することをお薦めしています。
表5-3は、システムMBeanブラウザを使用してコンポーネント間のSSL通信を手動で構成するためのタスクを示しています。また、より詳細な情報が提供されるリンクも含まれています。
注意: Oracle Business Intelligenceに対してSSLを有効にするには、事前にWebサーバーのSSLを構成しておく必要があります。詳細は、第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」を参照してください。 |
コンポーネント間の内部SSL通信は、Oracle Business IntelligenceマネージドBean (MBeans)を使用して手動で構成できます。MBeanは、分散環境において管理可能なJMXリソース(アプリケーションなど)を表すJavaオブジェクトです。
表5-3 タスク・マップ: システムMBeanブラウザの使用によるコンポーネント間のSSL通信の手動構成
タスク | 説明 | 参照先 |
---|---|---|
構成をロックします。 |
変更を加える前に、BIDomain MBeanを使用してドメイン構成をロックします。 |
|
SSL証明書を生成します。 |
BIDomain.BIInstance.SecurityConfiguration MBeanを使用して、SSL証明書を生成します。 |
|
SSL構成の変更をコミットします。 |
BIDomain MBeanを使用して、SSL構成の変更をコミットします。 |
|
資格証明ストアのSSL証明書を検証します。 |
SSL証明書が資格証明ストアに保存されているかどうかを検証します。 |
|
SSL構成を有効にし、Oracle Business Intelligenceコンポーネントを再起動します。 |
BIDomain.BIInstance.SecurityConfiguration MBeanを使用してコンポーネント間のSSL構成を有効にし、変更を適用するため、各コンポーネントを再起動します。 |
|
コンポーネント間のSSL通信が有効であることを確認します。 |
SSLレポートを実行し、ステータスを確認します。 |
第5.5.7項「MBeanブラウザの使用によるSSLステータスの確認」 |
メール・サーバーのSSL通信を構成します。 |
メール・サーバーのSSL通信を構成します。 |
第5.4.2項「Fusion Middleware Controlの使用によるSMTPサーバーのSSLの構成」 |
期限切れのSSL証明書を更新します。 |
期限切れのSSL証明書を更新し、新規証明書で置換します。 |
第5.5.8項「MBeaブラウザを使用した期限切れのSSL証明書の更新」 |
Oracle Business Intelligenceコンポーネント間のSSL通信を手動で構成するには、Fusion Middleware ControlのシステムMBeanブラウザを使用します。システムMBeanブラウザは、Fusion Middleware ControlにOracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインからアクセスされます。たとえばbifoundation_domainなどです。
Fusion Middleware Controlの使用およびナビゲートの詳細は、『Oracle Fusion Middleware管理者ガイド』のFusion Middleware Control内でのナビゲートに関する項を参照してください。
コンポーネント間のSSLを構成するには、BIDomain MBeanを使用して、変更を加える前に構成をロックする必要があります。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインで、Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインに移動します。このドメインを選択します。たとえばbifoundation_domainなどです。
「WebLogicドメイン」メニューから「システムMBeanブラウザ」を選択します。
MBeanナビゲーション・ツリーで「アプリケーション定義のMBean」ノードを開き、oracle.biee.adminノードを開いてbifoundation_domainノードを開きます。
目的のBIDomainノードを見つけて開き、2つのBIDomain MBeanを表示します。次に、各MBean上にカーソルを合せるか、または「MBean情報の表示」をクリックして、それぞれのフルネームを表示します。
oracle.biee.admin:type=BIDomain, group=Service
oracle.biee.admin:type=BIDomain, group=Config
MBeanナビゲーション・ツリーから、フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているBIDomain MBeanを選択します。
「操作」タブを選択して、「ロック」を選択します。
「起動」をクリックします。
構成がロックされたことを示す確認メッセージが表示されます。次の手順では、SSL証明書を生成します。詳細は、第5.5.2項「SSL証明書の生成」を参照してください。
内部SSL通信を行うには、サーバー証明書、サーバー公開鍵および秘密鍵を生成する必要があります。Oracle Business Intelligenceは、内部通信のみにおいてプライベートCA(認証局)として機能します。SSL証明書の生成には、BIDomain.BIInstance.SecurityConfiguration MBeanが使用されます。
構成をロックします。
詳細は、第5.5.1項「構成のロック」を参照してください。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインでファームを開き、「WebLogicドメイン」を開いて、「bifoundation_domain」を選択します。
「WebLogicドメイン」メニューを表示して、「システムMBeanブラウザ」を選択します。
「システムMBeanブラウザ」ページが表示されます。
MBeanナビゲーション・ツリーで「アプリケーション定義のMBean」ノードを開き、oracle.biee.adminノードを開いてbifoundation_domainノードを開きます。
BIDomain.BIInstance.SecurityConfigurationノードを特定して開きます。
BIDomain.BIInstance.SecurityConfiguration MBeanが表示されます。
BIDomain.BIInstance.SecurityConfiguration MBeanを選択します。
右側のペインに、MBeanの構成オプションが表示されます。
「属性」タブを選択し、SSLCertificatesGenerated属性を特定します。値falseは、SSL証明書が生成されていないことを示します。以前に証明書が生成されている場合は、手順を続行し、これらを新規証明書で置換できます。
「操作」タブを選択します。
「generateSSLCertificates」操作を選択します。
BIDomain.BIInstance.SecurityConfiguration MBeanのgenerateSSLCertificates属性の各パラメータが表示されます。
次のパラメータの値を指定します。
パスフレーズ: 証明書、および最も重要となる秘密鍵を保護するSSLパスフレーズ。このパスフレーズは忘れないようにしてください。たとえば、パスフレーズは、BIサーバー証明書の検証を必要とするコマンドライン・ツールを使用してBIサーバーに接続する場合などに必要となります。7文字以上である必要があります。
webServerCACertificatePath: Webサーバー証明書の署名に使用した認証局(CA)の、CAルート証明書までのパス。個別のWebサーバー証明書は入力しないでください。Oracle WebLogic Serverのデフォルトのデモ認証局の場合は、MW_HOME/wlserver_10.3/server/lib/CertGenCA.derと入力します。サポートされるタイプは.der.および.pemです。
certificateEncoding: サポートされるタイプは.der.および.pemです。Oracle WebLogic Serverのデフォルトを使用する場合は、der
と入力します。
「起動」をクリックします。
操作が正常に実行されたかどうかを示す確認メッセージが表示されます。成功した場合は、入力したCA証明書が検証され、証明書生成リクエストがキューに入れられます。次の手順は変更のコミットであり、これによって証明書の作成、およびドメイン全体への配布が完了します。詳細は、第5.5.3項「SSL構成変更のコミットとロック解除」を参照してください。
BIDomain MBeanを使用して、SSL構成変更をコミットし、ロックを解除します。
注意: Oracle Business IntelligenceのSSLを有効にする前に、Webサーバーに対してSSLを構成しておく必要があります。詳細は、第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」を参照してください。 |
システムMBeanブラウザから、BIDomain MBeanにナビゲートします。フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているMBeanを使用します。
BIDomain MBeanへのナビゲートの詳細は、第5.5.1項「構成のロック」のステップ1 - 5を参照してください。
フルネームがoracle.biee.admin:type=BIDomain, group=ServiceとなっているBIDomain MBeanを選択します。
「操作」タブを選択し、simpleCommitを選択して、変更を保存し、ロックを解除します。
「起動」をクリックします。
コミット操作が成功したかどうかを示す確認メッセージが表示されます。
次の手順では、SSL資格証明が資格証明ストア内に保存されていることを検証します。詳細は、第5.5.4項「資格証明ストアのSSL資格証明の検証」を参照してください。
コミット操作に失敗した場合は、次のようなエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件にもなっているSSLの有効化が行われていないことを示しています。詳細は、第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」を参照してください。この前提条件が整ってから、コミット操作を再実行します。
SSL資格証明は、Oracle Business Intelligenceの資格証明ストアに保存されます。
資格証明ストアのSSL資格証明を検証するには:
必要に応じて、Fusion Middleware Controlのターゲット・ナビゲーション・ペインでファームを開き、「WebLogicドメイン」を開いて、「bifoundation_domain」を選択します。
「WebLogicドメイン」メニューで、「セキュリティ」→「資格証明」を選択します。
oracle.bi.enterprise資格証明マップを開き、SSL資格証明が資格証明ストアに保存されているかどうかを検証します。成功すると、oracle.bi.enterprise資格証明マップに次のSSL資格証明が表示されます。
ssl.java.private.key
ssl.java.public.certificate
config.version
クライアント・ツールは、安全な通信のためにこれらの生成された証明書へのアクセスを必要とします。詳細は、第5.5.2項「SSL証明書の生成」を参照してください。
MW_HOME\user_projects\domains\bifoundation_domain\config\fmwconfig\biinstances\coreapplication\ssl.
各証明書ファイルは次のとおりです。
cacert.pem: プライベートCAの証明書。BIサーバーの証明書を検証しようとするコマンドライン・ツールは、このファイルをポイントします。
webservercacert.pem: Webサーバー証明書に署名したパブリックCAの証明書。これはgenerateSSLCertificate操作で登録されたCA証明書のコピーであり、.pem形式です。
javaserver.keystore: すべての証明書を、Javaクライアントによる使用に適した形式で保持。内容は次のとおりです。
別名 | 証明書 |
---|---|
javaservercert |
サーバー |
javaserverkey |
キー |
internalcacertificate |
秘密鍵 |
webservercacertificate |
WebサーバーCA |
server-key.pem: opensslサーバーの秘密鍵。
クライアントは内部CA証明書にアクセスできる必要があります。Javaクライアントは、アクセスできるキーストア内に証明書を必要とします。秘密パスフレーズによって保護されているため、Fusion Middleware Controlから証明書を作成している場合、javaserver.keystoreは使用できません。次のコマンドで、クライアントによって使用される新しいキーストアを作成します。
keytool -keystore clientkeystore -import -file cacert.pem -alias biee
このコマンドでは、独自のパスフレーズを選択することが求められます。
次の手順では、SSL構成変更を有効にします。詳細は、第5.5.6項「SSL構成の有効化」を参照してください。
SSL構成を有効にするには:
SSL構成を有効にする前に、HTTPSを使用するようにWebサーバーが構成されていることを確認します。必要に応じて、続行前に、Webサーバーを構成します。
Oracle WebLogic Serverに対してSSLを構成する方法については、第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」を参照してください。
構成をロックします。
詳細は、第5.5.1項「構成のロック」を参照してください。
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
MBeanへのナビゲーション方法は、第5.5.2項「SSL証明書の生成」を参照してください。
「属性」タブを選択し、SSLEnabled属性に対して「値」リストから「true」を選択し、「適用」をクリックします。管理サーバーおよびマネージャ・サーバーに対し、SSLリスニング・ポートを有効にする必要があります。詳細は、第5.3.5項「非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成」を参照してください。
BIDomain MBeanにナビゲートし、変更をコミットします。
詳細は、第5.5.3項「SSL構成変更のコミットとロック解除」を参照してください。
これで、コンポーネント間のSSL通信が有効になりました。変更を有効にするため、Oracle Business Intelligenceコンポーネントを再起動する必要があります。
Fusion Middleware Controlの「Oracle Business Intelligence概要」ページから、Oracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動と停止に関する項を参照してください。
BIDomain.BIInstance.SecurityConfiguration MBeanを使用してSSLレポートを実行し、コンポーネント間のSSL通信が動作していることを確認できます。
SSLレポートを実行してステータスを確認するには:
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
MBeanへのナビゲーション方法は、第5.5.2項「SSL証明書の生成」を参照してください。SSLレポートを実行する場合は、構成をロックする必要はありません。
「操作」タブを選択して、「runSSLReport」オプションを選択します。
レポートを実行するには、「起動」をクリックします。
コンポーネント間のSSL通信のステータスを表すレポートが表示されます。例5-1「SSLレポートの出力例」を参照してください。
ターゲット・コンポーネントが実行中であることを確認します。
SSLを有効にした後、コンポーネントが再起動されていることを確認します。SSL構成の変更を有効にするには、再起動が必要です。
BIDomain.BIInstanceSecurityConfiguration MBeanのSSLEnabled属性がtrueに設定されていることを確認します。SSLプロパティを変更した場合は、適用およびコミット処理を実行する必要があります。
OracleBIPresentationServicesComponent (1) <machine_name>:9710. SSL ping OK. peer: <machine_name> port: 9710 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US#9879704091745165219, expires Tue might 17 15:23:02 BST 2011 for C=US, O=org, OU=unit, CN=OBIEE Installer CA OracleBIClusterControllerComponent (No instances configured) OracleBISchedulerComponent (1) <machine_name>:9705. SSL ping OK. peer: <machine_name> port: 9705 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US OracleBIJavaHostComponent (1) <machine_name>:9810. SSL ping OK. peer: <machine_name> port: 9810 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #19, expires Tue might 17 15:23:03 BST 2011 for CN=OBIEE Installer Java, OU=Business Intelligence, O=Oracle, C=US OracleBIServerComponent (1) <machine_name>:9703. SSL ping OK. peer: <machine_name> port: 9703 protocol: SSLv3 cipher suite: SSL_RSA_WITH_RC4_128_MD5 local certificates: null peer certificates: #18, expires Tue might 17 15:23:02 BST 2011 for CN=OBIEE Installer Openssl, OU=Business Intelligence, O=Oracle, C=US SSL ok on 4 out of 4 components.
SSL Everywhereの集中構成によって生成された証明書は、1年後に失効します。証明書の有効期限は、SSLステータス・レポートにリストされます。SSLレポートの実行方法の詳細は、第5.5.7項「MBeanブラウザの使用によるSSLステータスの確認」を参照してください。証明書の失効メッセージの表示例は、例5-1「SSLレポートの出力例」を参照してください。
失効間近の証明書を置換するには、第5.5.2項「SSL証明書の生成」の手順に従って新規証明書を生成し、Oracle Business Intelligenceコンポーネントを再起動します。
デフォルトのSSL構成では、デフォルトの暗号スイートによるネゴシエーションを使用します。組織におけるセキュリティ標準ではデフォルト構成の使用が許容されない場合は、別の暗号スイートを使用するようにシステムを構成できます。デフォルト構成は、SSLステータス・レポートの出力で確認できます。
このような高度なオプションは、SSL Everywhereの一元的な構成では構成されません。かわりに、個々のコンポーネントを手動で構成する必要があります。スケールアウトによって新規コンポーネントを追加した場合は、追加した各コンポーネントを個別に手動構成する必要があります。手動構成では、構成ファイル(.iniおよび.xml)を編集します。これらのファイル・タイプに対する構文上の規則を確認するように注意してください。ファイルが不適切だと、対応するコンポーネントはログ・ファイルにエラーを記録し、起動しなくなります。
手動構成したSSL環境は、デフォルトのSSL構成と共存できます。
SSL暗号スイートを手動構成するには:
第5.5項「システムMBeanブラウザの使用によるコンポーネント間のSSL通信の構成」の指示に従い、SSL Everywhereを構成します。
注意: 手動で変更を加える前に、システムMBeanブラウザを使用して、BIDomain.BIInstance.SecurityConfigurationのSSLManualConfig MBeanを起動してください。詳細は、第5.5.1項「構成のロック」を参照してください。 |
http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA
の各オプションから、必要なJava暗号スイート名を選択します。
http://www.openssl.org/docs/apps/ciphers.html#CIPHER_LIST_FORMAT
のリストを使用して、選択した暗号スイートと一致するOpen SSL暗号スイート名を作成します。
たとえば、SSL_RSA_WITH_RC4_128_SHAというJava暗号スイート名は、Open SSLではRSA+RC4+SHAにマップされます。
ORACLE_INSTANCE\config\OracleBIJavaHostComponent\coreapplication_obijhn\ config.xmlにあるJavaHost構成ファイルを編集し、次のサブ要素をJavaHost/Listener/SSL要素に追加します。例:
<EnabledCipherSuites>SSL_RSA_WITH_RC4_128_SHA</EnabledCipherSuites>
これらの手順で記述されている構成ファイルの場所は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の構成ファイルの場所に関する項を参照してください。
ORACLE_INSTANCE/config/OracleBIPresentationServicesComponent/coreapplication_obipsn/instanceconfig.xmlにあるプレゼンテーション・サービスの構成ファイルを編集し、属性cipherSuites="RSA+RC4+SHA"をServerInstance要素内のListenerおよびJavaHostProxy要素に追加します。
ORACLE_INSTANCE/config/OracleBIServerComponent/coreapplication_obischn/NQSConfig.INIにあるBIサーバーの構成ファイルを編集し、次の値をSecurityセクションのSSL_CIPHER_LIST要素に追加します。例:
SSL_CIPHER_LIST="RSA+RC4+SHA";
ORACLE_INSTANCE/config/OracleBISchedulerComponent/coreapplication_obischn/instanceconfig.xmlにあるBIスケジューラの構成ファイルを編集し、次のサブ要素をscheduler/ServerInstance/SSLに追加します。例:
<CipherList>RSA+RC4+SHA</CipherList>
クラスタ環境の場合は、ORACLE_INSTANCE/config/OracleBIApplication/coreapplication/ClusterConfig.xmlにあるクラスタ・コントローラの構成ファイルを編集し、次の例に示すように、パラメータ<SSLCipherList>を追加します。
<SSLCipherList>RSA+RC4+SHA</SSLCipherList>;
すべてのOracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動と停止に関する項を参照してください。
システムMBeanブラウザから、BIDomain.BIInstanceSecurityConfiguration MBeanを選択します。
SSLステータス・レポートを実行する前に、SSLManualConfig属性がfalse
に設定されていることを確認します。
MBeanへのナビゲーション方法は、第5.5.2項「SSL証明書の生成」を参照してください。SSLレポートを実行する場合は、構成をロックする必要はありません。
第5.5.7項「MBeanブラウザの使用によるSSLステータスの確認」の手順に従い、SSLステータス・レポートを実行して、SSLが有効化されていることを確認します。