35 SSLの構成

この章では、WebCenter PortalおよびPortal FrameworkアプリケーションおよびコンポーネントをSSLで保護する方法を説明します。

この章には次の項が含まれます:

• 第35.1項「SSLを使用したブラウザからWebCenter Portalへの接続の保護」

• 第35.2項「SSLを使用したブラウザからPortal Frameworkアプリケーションへの接続の保護」

• 第35.3項「SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護」

• 第35.4項「SSLを使用したブラウザからディスカッションへの接続の保護」

• 第35.5項「SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護」

• 第35.6項「WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護」

• 第35.7項「SSLを使用したWebCenter PortalからContent Serverへの接続の保護」

• 第35.8項「SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護」

• 第35.9項「SSLを使用したPortal FrameworkアプリケーションからIMAPおよびSMTPへの接続の保護」

• 第35.10項「SSLを使用したOracle SESへの接続の保護」

• 第35.11項「SSLを使用したWebCenter PortalからMicrosoft Live Communication ServerおよびOffice Communication Serverへの接続の保護」

• 第35.12項「SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護」

注意: 次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。 BPELサーバー: ワークリスト WSRPプロデューサ Microsoft Live Communication Server (LCS): インスタント・メッセージおよびプレゼンス ディスカッションおよびお知らせ

権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。 第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

35.1 SSLを使用したブラウザからWebCenter Portalへの接続の保護

SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次の手順で構成されます。

• 第35.1.1項「カスタム・キーストアの作成」

• 第35.1.2項「カスタムIDキーストアおよびJava信頼キーストアの構成」

• 第35.1.3項「SSL接続の構成」

35.1.1 カスタム・キーストアの作成

最初の手順では、WebCenter Portalにカスタム・キーストアを生成します。

カスタム・キーストアを作成するには:

1. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "dname" -alias alias -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
   

   ここで:

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com)。

   • aliasは、使用する別名です(例: webcenter_wls)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。

   • keystoreは、キーストア名です(例: webcenter_wls.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle WebServices Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートして、WebCenter Portalクライアントが各自のトラスト・ストアに証明書をインポートできるようにします。

   keytool -exportcert -v -alias alias -keystore keystore 
   -storepass keystore_password -rfc -file certificate_file
   

   ここで:

   • aliasは、WebCenter Portalの別名です(例: webcenter_wls)。

   • keystoreは、キーストア名です(例: webcenter_wls.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

   • certificate_fileは、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer)。

4. 使用するトラスト・ストアを決定します。

   自己署名証明書を使用しているため、それをサーバーのトラスト・ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動してトラスト・ストアを決定する必要があります。

   1. WebLogic Server管理コンソールにログインします。

      WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

   2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   3. サーバーのリストで、WC_Spacesをクリックします。

   4. 「構成」タブ→「キーストア」サブタブを開きます。

      「キーストアの設定」ペインが表示されます。

   5. 「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます。

      cacertsファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。

5. このトラスト・ストアに、前述の手順で生成された自己署名証明書をインポートします。

   keytool -importcert -trustcacerts -alias alias -file certificate_file 
   -keystore cacerts -storepass changeit
   

   ここで:

   • aliasは、WebCenter Portalの別名です(例: webcenter_wls)。

   • certificate_fileは、キーのエクスポート先の証明書のファイル名です(例: webcenter_wls.cer)。

   自己署名証明書を信頼するかどうかを尋ねられたら、yesと答えます。

35.1.2 カスタムIDキーストアおよびJava信頼キーストアの構成

次の手順では、WebCenter Portalサーバーに、カスタムIDキーストアとJava信頼キーストアを構成します。

IDキーストアおよび信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. IDキーストアおよび信頼キーストアを構成するWebCenter Portalサーバー(WC_Spaces)をクリックします。

   対象のWebCenter Portalサーバーの「設定」ペインが表示されます。

3. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます。

4. 「変更」をクリックします。

5. 「キーストア」として、Custom Identity and Java Standard Trustを選択し、「保存」をクリックします。

6. 「アイデンティティ」の下で、第35.1.1項「カスタム・キーストアの作成」で作成したカスタムIDキーストアのパスとファイル名を入力します。

7. 「カスタムIDキーストアのタイプ」として、JKSと入力します。

8. カスタムIDキーストアのパスワードを入力し、確認のためにもう一度入力します。

9. 「信頼」の下で、Java標準信頼キーストアのパスワード(通常はchangeitに設定)を入力し、確認のためにもう一度入力します。

10. 「保存」をクリックして、エントリを保存します。

11. 「SSL」タブを開きます。

12. 「秘密鍵の別名」に値を入力します(例: webcenter_wls)。

13. 「秘密鍵のパスフレーズ」に値を入力します(例: MyPassword1)。

14. 「保存」をクリックして、エントリを保存します。

35.1.3 SSL接続の構成

SSL接続を構成するには:

1. WebCenter Portalサーバー(WC_Spaces)の「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。

   「一般構成」ペインが表示されます。

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

5. 「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」に設定されていることを確認し、「保存」をクリックします。

6. 「制御」タブを開きます。

   「制御設定」ペインが表示されます。

7. 「SSLの再起動」をクリックします。

8. WebLogic Serverを再起動し、SSL Portal URLを開きます。

   開発環境またはテスト環境の場合のみ(つまり、本番環境ではない場合)、証明書内のホスト名が実際のホスト名に一致しないときは、サーバーを次のコマンドで起動する必要があります。

   -Dweblogic.security.SSL.ignoreHostnameVerification=true

9. セッションの証明書を受け入れ、ログインします。

35.2 SSLを使用したブラウザからPortal Frameworkアプリケーションへの接続の保護

ブラウザからPortal Frameworkアプリケーションへの接続の保護では、ブラウザからWebCenter Portalへの接続の保護と同じ構成手順を使用します。唯一異なる点は、構成が、WC_Spacesサーバーではなく、Portal Frameworkアプリケーションのデプロイをホストしている管理対象サーバーに対して実行されることです。詳細は、第35.1項「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。

35.3 SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護

Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。

• 第35.3.1項「IDキーストアおよび信頼キーストアの構成」

• 第35.3.2項「SSL接続の構成」

• 第35.3.3項「Oracle HTTP Serverのインストール」

• 第35.3.4項「WebCenter PortalポートからHTTP Serverへのワイヤリング」

• 第35.3.5項「SSL証明書の構成」

35.3.1 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成する手順は、第35.1項「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。

35.3.2 SSL接続の構成

SSL接続を構成するには:

1. WebCenter Portalサーバーの「設定」ペインで、「構成」タブ→「全般」サブタブを開きます。

   「一般構成」ペインが表示されます。

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます。

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。

6. 「設定」ペインの「制御」タブを開き、「起動と停止」サブタブを選択します。

7. 「SSLの再起動」をクリックします。

8. SSL WebCenter Portal URLを開きます。

9. セッションの証明書を受け入れ、ログインします。

10. WLS管理コンソールで、「チェンジ・センター」ペインの「変更と再起動の表示」をクリックして、影響を受けたサーバーまたはコンポーネントをすべて再起動します。

35.3.3 Oracle HTTP Serverのインストール

Oracle HTTP Serverをインストールする手順は次のとおりです。

1. Web層をインストールします(第33.2.3項「OAMのインストールと構成」を参照)。

   • Webキャッシュは選択しないでください。HTTP Serverのみを選択します。

   • インストール時にWebLogicサーバーを関連付けるチェック・ボックスを選択解除します。

2. WT_ORACLE_HOME/instances/<your_instance>/binディレクトリにナビゲートし、次のコマンドを使用してOHSを起動します。

   ./opmnctl startall
   

3. 次のコマンドを使用して、OHSのステータスを確認します。

   ./opmnctl status -l
   

35.3.4 WebCenter PortalポートからHTTP Serverへのワイヤリング

WebCenter PortalポートからHTTP Serverにワイヤリングする手順は次のとおりです。

1. ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/mod_wl_ohs.confを開きます。

2. 次のエントリをmod_wl_ohs.confに追加して、WebCenter PortalがOHSと連動するようにします。

   <IfModule mod_weblogic.c>
           WebLogicHost host_id
           WebLogicPort port
           Debug OFF
           WLLogFile /tmp/ohs.log
           MatchExpression *.jsp
        </IfModule>
    
        <Location />
          SetHandler weblogic-handler
        </Location>
   

   host_idおよびportをWebCenter PortalサーバーIDおよびポート番号に置換します。

3. ファイルWT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/ssl.confを開きます。

4. 次のエントリをssl.confに追加して、WebCenter PortalがOHS SSLポートで実行されるようにします。

   <Location />
           WebLogicHost host_id
           WebLogicPort port
           SetHandler weblogic-handler
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /webcenter>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
         SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   
   <Location /webcenterhelp>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   
   <Location /rsscrawl>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /sesUserAuth>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
    
   <Location /rss>
         SetHandler weblogic-handler
           WebLogicHost host_id
           WebLogicPort port
           SecureProxy ON
           WLLogFile /tmp/ohs_ssl.log
           Debug ALL
           WlSSLWallet SSL_wallet
   </Location>
   

   host_idおよびportをWebCenter Portal SSLサーバーIDおよびポート番号(通常は8788)に置換し、SSL_walletをWebLogic SSLウォレット(たとえば、WT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/keystores/default)に置換します。

   
   

   注意: SSLは、Location/ディレクトリ・セクション内ではなく、サーバー・レベルで構成する必要があります。このため、たとえば、次のように構成するのではなく、 <Location /mylocation> WLSSLWallet <walletfile> SecureProxy ON </Location> 次のように構成します。 SecureProxy ON WlSSLWallet <walletfile> つまり、サーバー・レベル(Location/ディレクトリ・セクション外)での構成です。

   
   

5. WT_ORACLE_HOME/instances/<your_instance>/binに移動し、次のコマンドを使用してOHSを起動し、そのステータスを確認します。

   ./opmnctl stopall
    
   ./opmnctl startall
   ./opmnctl status -l
   

35.3.5 SSL証明書の構成

SSL証明書を構成するには:

1. WebCenter Portalの証明書を信頼するようにOHSを構成するには、WC_Spaces証明書をOHSトラスト・ストアにインポートする必要があります。WC_SpacesIDキーストアからこの証明書をエクスポートします。

   keytool -exportcert -v -alias webcenter_wls -keystore webcenter_wls.jks 
   -storepass <password> -rfc -file webcenter_wls.cer
   

2. WT_ORACLE_HOME/instances/<your_instance>/config/OHS/ohs1/keystores/defaultに移動し、次のorapkiコマンド(通常はIDM_HOMEにあります)を実行してOHSサイドのウォレットに証明書をインポートします。

   orapki wallet add -wallet . -trusted_cert -cert webcenter_wls.cer -auto_login_only
   

   orapkiコマンドの実行前にJAVA_HOMEを設定する必要があることに注意してください。

3. 次のコマンドの実行により、証明書DNを決定します。

   orapki wallet display -wallet wallet_location
   

4. OHS証明書を信頼するようにWebCenter Portalを構成するには、OHSウォレットからユーザー証明書をエクスポートして、それをWebLogicトラスト・ストアに信頼できる証明書としてインポートします。

   orapki wallet export -wallet . -cert cert.txt  -dn 'CN=\"Self-signed Certificate for ohs1 \",OU=EXAMPLEORGUNIT,O=EXAMPLEORG,L=EXAMPLELOCATION,ST=CA,C=US'
   

5. 前述の証明書をWC_Spaces管理対象サーバーのトラスト・ストアにインポートします。このトラスト・ストアは、/scratch/wcwlsinstall/0408/wlshome/jrockit_160_05_R27.6.2-20/jre/lib/security/cacertsにあります。

   keytool -file cert.txt -importcert -trustcacerts -alias ohs_cert 
   -keystore cacerts -storepass changeit
   

6. OHSおよびWC_Spacesサーバーを再起動します。

   これで、SSL OHSおよび非SSL OHSにアクセスできるようになりました。

35.4 SSLを使用したブラウザからディスカッションへの接続の保護

SSLを使用したブラウザからディスカッションへの接続の保護については、次の各項で説明しています。

• 第35.4.1項「カスタム・キーストアの作成」

• 第35.4.2項「IDキーストアおよび信頼キーストアの構成」

• 第35.4.3項「SSL接続の構成」

35.4.1 カスタム・キーストアの作成

次に示しているように、最初の手順ではカスタム・キーストアを生成します。

1. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "dname" -alias owc_discussions 
   -keypass key_password -keystore owc_discussions.jks -storepass keystore_password -validity days_valid
   

   ここで:

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=owc_discussions,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword1)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle WebServices Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks 
   -storepass keystore_password -rfc -file owc_discussions.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

4. 使用するトラスト・ストアを決定します。

   自己署名証明書を使用しているため、それをサーバーのトラスト・ストア内の信頼できる証明書として更新する必要があります。これを実行するには、サーバーに移動してトラスト・ストアを決定する必要があります。

   1. WebLogic Server管理コンソールにログインします。

   2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   3. サーバーのリストで、WC_Collaborationをクリックします。

   4. 「構成」タブ→「キーストア」サブタブを開きます。

      「キーストアの設定」ペインが表示されます。

   5. 「Java標準信頼キーストア」フィールド内のサーバーの場所を書き留めます。

      cacertsファイルは読取り専用である場合があります。その場合は、書込み可能になるようにその権限を変更する必要があります。

5. このトラスト・ストアに、前述の手順で生成された自己署名証明書をインポートします。

   keytool -importcert -trustcacerts -alias owc_discussions 
   -file owc_discussions.cer -keystore cacerts -storepass changeit
   

   cacertsファイルへのパスは絶対パスである必要があることに注意してください。そうでない場合、新しいcacertsファイルは、keytoolが実行されるディレクトリ(SSLポートがリスニングできない可能性のある場所)に作成されます。

   自己署名証明書を信頼するかを尋ねられたら、yesと答えます。

35.4.2 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

3. IDキーストアおよび信頼キーストアを構成するコラボレーション・サーバー(WC_Collaboration)をクリックします。

   コラボレーション・サーバーの「設定」ペインが表示されます。

4. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます。

5. 「キーストア」として、「カスタム・アイデンティティとJava標準信頼」を選択します。

6. 「アイデンティティ」の下で、キーストアをowc_discussions.jksとして指定します。

7. キーストア・タイプをJKSに設定します。

8. キーストアのパスフレーズ(例: MyPassword1)を入力し、確認のためにもう一度入力します。

9. 「信頼」の下で、「Java標準信頼キーストアのパスフレーズ」をchangeit(これは固定値)に設定し、「保存」をクリックします。

10. WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「全般」サブタブを開きます。

11. 「SSLポートの有効化」を選択して、目的のポートを指定し、設定を保存します。

12. WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「SSL」サブタブを開きます。

13. 秘密鍵の別名をowc_discussionsに指定し、パスワードをMyPassword1に設定します。

14. 「制御」タブを開きます。

    「制御設定」ペインが表示されます。

15. 「SSLの再起動」をクリックします。

35.4.3 SSL接続の構成

SSL接続を構成するには:

1. コラボレーション・サーバーの「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。

   「一般構成」ペインが表示されます。

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。

6. WC_Collaborationサーバーを再起動して、SSLディスカッションURLをhttps://host:port/owc_discussionsで開きます。

7. セッションの証明書を受け入れ、ログインします。

35.5 SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護

SSLを使用したWSRPおよびPDK-Javaポートレット・プロデューサへの接続の保護については、次の各項で説明しています。

• 第35.5.1項「カスタム・キーストアの作成」

• 第35.5.2項「IDキーストアおよび信頼キーストアの構成」

• 第35.5.3項「SSL接続の構成」

• 第35.5.4項「SSL対応WSRPプロデューサの登録およびポートレットの実行」

• 第35.5.5項「SSL対応PDK-Javaプロデューサの登録およびポートレットの実行」

• 第35.5.6項「JDeveloperでのSSL対応WSRPポートレットの消費」

35.5.1 カスタム・キーストアの作成

カスタム・キーストアを作成する手順は、第35.1.1項「カスタム・キーストアの作成」を参照してください。 キーペアの生成や証明書のエクスポートおよびインポートのコマンド例は次のとおりです。

./keytool -genkeypair -keyalg RSA -dname "cn=customidentity,dc=portlet,dc=example,dc=com"
-alias portlet -keypass MyPassword1 -keystore portlet.jks -storepass MyPassword1 -validity 360

./keytool -exportcert -v -alias portlet -keystore portlet.jks -storepass
MyPassword1 -rfc -file portlet.cer

./keytool -importcert -trustcacerts -alias portlet -file portlet.cer 
-keystore cacerts -storepass changeit 

35.5.2 IDキーストアおよび信頼キーストアの構成

IDキーストアおよび信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

3. IDキーストアおよび信頼キーストアを構成するポートレット・サーバー(たとえば、WC_Portlet)をクリックします。

   ポートレット・サーバーの「設定」ペインが表示されます。

4. 「構成」タブ→「キーストア」サブタブを開きます。

   「キーストア」ペインが表示されます。

5. 「キーストア」として、Custom Identity and Java Standard Trustを選択し、「保存」をクリックします。

6. 「制御」タブを開きます。

   「制御設定」ペインが表示されます。

7. 「SSLの再起動」をクリックします。

35.5.3 SSL接続の構成

SSL接続を構成するには:

1. 「ドメイン構造」ペインで「環境」を開き、「サーバー」を選択します。

2. SSLを構成するポートレット・サーバー(たとえば、WC_Portlet)をクリックします。

3. 「構成」を選択します。

4. 「SSLリスニング・ポートの有効化」を選択します。

5. リスニング・ポート番号を入力します。

6. 「構成」→「SSL」を選択し、ページの一番下にある「拡張オプション」を開きます。

7. 「相互クライアント証明書の動作」属性を選択し、「クライアント証明書をリクエストしない」オプションを選択します。

8. 「保存」をクリックします。

9. WebLogic Serverを再起動し、SSL URLを開きます。

10. セッションの証明書を受け入れ、ログインします。

35.5.4 SSL対応WSRPプロデューサの登録およびポートレットの実行

SSL対応WSRPプロデューサを登録し、ポートレットを実行する手順は次のとおりです。

1. カスタム・アイデンティティおよびJava標準トラスト・ストアを使用するようにWC_Spaces管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts内の証明書も使用します。

2. HTTPSプロデューサURLの証明書をダウンロードし、.PEM形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

3. 次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert -alias portlet_cert -file HOME/portlet_pem -keystore ./cacerts -storepass password
   

   ここで:

   • portlet_certは、ポートレット証明書の別名です。

   • portlet_pemは、ポートレット証明書ファイルです(例: portlet_cert.pem)。

   • passwordは、キーストアのパスワードです。

4. WC_Spacesを再起動します。

5. 第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。

6. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

   connect('user_name','password, 'host_id:port')
   

   ここで:

   • user_nameは、WC_Spacesサーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

   • passwordは、WC_Spacesサーバーにアクセスするためのパスワードです。

   • host_idは、管理サーバーのホストIDです。

   • portは、管理サーバーのポート番号です(例: 7001)。

7. registerWSRPProducer WLSTコマンドを実行して、プロデューサを登録します。

   registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl')
   

   ここで:

   • sslwsrpprodは、SSL対応WSRPプロデューサの名前です。

   • producer_wsdlは、SSL対応WSRPプロデューサのWSDL URLです。

   例:

   registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.com:7004/richtextportlet/portlets/wsrp2?WSDL')
   

8. HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。

9. ページを作成し、「ポートレット」リンクに移動します。

10. 登録済のWSRPプロデューサに移動します。

11. ポートレットをページに追加します。

12. ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。

35.5.5 SSL対応PDK-Javaプロデューサの登録およびポートレットの実行

SSL対応PDK-Javaプロデューサを登録し、ポートレットを実行する手順は次のとおりです。

1. デモのアイデンティティおよびトラスト・ストアを使用するようにWebCenter Portal管理対象サーバーを構成します。これは、JDK_HOME/jre/lib/security/cacerts内の証明書も使用します。

2. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

3. 「ドメイン構造」ペインで「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

4. サーバーのリストで、WC_Spacesをクリックします。

   「設定」ペインが表示されます。

5. 「構成」タブを開き、「キーストア」タブを選択します。

6. 「デモIDとデモ信頼」の値がjksまたは空白のままになっていることを確認します。

7. 「保存」をクリックします。

8. HTTPSプロデューサURLの証明書をダウンロードし、.PEM形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

9. 次のkeytoolコマンドを使用して、JDK_HOME/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert HOME/portlet_cert.pem -keystore ./cacerts -storepass changeit
   

10. WC_Spacesを再起動します。

11. 第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。

12. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

    connect('user_name','password, 'host_id:port')
    

    ここで:

    • user_nameは、WC_Spacesサーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

    • passwordは、WC_Spacesサーバーにアクセスするためのパスワードです。

    • host_idは、管理サーバーのホストIDです。

    • portは、管理サーバーのポート番号です(例: 7001)。

13. registerPDKJavaProducerコマンドを実行します。

    registerPDKJavaProducer('webcenter', 'ssljpdkprod', 'producer_wsdl')
    

    ここで:

    • ssljpdkprodは、SSL対応PDK-Javaプロデューサの名前です。

    • producer_wsdlは、SSL対応PDK-JavaプロデューサのWSDL URLです。

    これによって、Webプロデューサに対して一方向SSLが有効になります。つまり、サーバー・サイド(Webプロデューサ)でのみ証明書が使用されるようになります。Webプロデューサ・コードでは、クライアント認証に共有鍵機能(後述します)も使用されます。

14. HTTPまたはHTTPSのWebCenter Portal URLに移動します。

15. ページを作成し、「ポートレット」リンクに移動します。

16. 登録済のPDK-Javaプロデューサに移動します。

17. ポートレットをページに追加します。

18. ページの表示モードに変更して、PDK-Javaポートレットが適切にレンダリングすることを確認します。

35.5.6 JDeveloperでのSSL対応WSRPポートレットの消費

SSL対応ポートレットをJDeveloperで消費している場合、プロデューサの管理対象サーバー上でSSLを有効化します(第35.5.3項「SSL接続の構成」を参照)。

1. 登録には、証明書(自己署名証明書であるため)が、JDeveloperランタイム・トラスト・ストアによって信頼される必要があります。つまり、JDeveloperインスタンスによって使用されているJDKを探し、(JDeveloperインスタンスによって使用されるトラスト・ストアである)cacertsファイルを更新し、続いて次のサンプル・コマンドを使用してcacertsファイルを更新する必要があります。

   <JDK_BIN>/keytool -importcert -trustcacerts -alias portlet_producer_cert -file producer.cert -keystore ./cacerts -storepass changeit
   

2. 統合WebLogicサーバーは通常、JDeveloper以外のトラスト・ストアを使用します。このトラスト・ストアを確認するには、統合WebLogicサーバーのコンソールにアクセスします。

   1. WebLogicコンソールにアクセスします。

   2. 「環境」ノードを開き、「サーバー」をクリックします。

   3. 「DefaultServer」をクリックします。

   4. 「構成」タブを開き、「キーストア」タブを開きます。

      Demo Trust Keystore属性の値が、統合WebLogicサーバーによって使用されるトラスト・ストアです。

   トラスト・ストアの場所は、統合WebLogicサーバーのログを参照して確認することもできます。統合WebLogicサーバーを起動し、ログ内で「-Djavax.net.ssl.trustStore」を検索することによって、トラスト・ストアの場所を確認します。

   このプロセス・パラメータがある場合、統合WebLogicサーバーはJVMパラメータを使用して指定されるトラスト・ストアを使用します。次の例のように、コマンドを使用してこのトラスト・ストアに証明書をインポートする必要があります。

   <JDK6>/bin/keytool -importcert -trustcacerts -alias portlet_producer_cert
   -file producer_cert.cert -keystore
   <JDEV_MW_HOME>/wlserver_10.3/server/lib/DemoTrust.jks -storepass
   DemoTrustKeyStorePassPhrase
   

35.6 WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護

SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、第31章「アイデンティティ・ストアの構成」を参照してください。

注意: プロバイダ固有の情報を入力する場合は、SSLポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。

Oracle WebLogicサーバーにとってCAが不明である場合は、次の各項で説明している2つの追加手順を完了します。

• 第35.6.1項「OID認証局(CA)のエクスポート」

• 第35.6.2項「WebLogicサーバーの設定」

35.6.1 OID認証局(CA)のエクスポート

Oracle WebLogicサーバーにとってCAが不明である場合(ユーザーがコマンドからキーストアのパスワードの入力を求められた場合)、orapkiを使用して証明書を作成する必要があります。次の例は、このコマンドを使用して、証明書serverTrust.certを作成する方法を示しています。

orapki wallet export -wallet CA -dn "CN=myCA" -cert oid_server_trust.cert

35.6.2 WebLogicサーバーの設定

Oracle WebLogicサーバーにとってCAが不明である場合、ユーティリティkeytoolを使用して、Oracle Internet DirectoryのCAをWebLogicトラスト・ストアにインポートする必要があります。次の例は、keytoolを使用して、ファイルoid_server_trust.certをサーバーのトラスト・ストアcacertsにインポートする方法を示しています。

keytool -importcert -v -trustcacerts -alias oid_server_trust -file 
oid_server_trust.cer -keystore cacerts -storepass changeit

35.7 SSLを使用したWebCenter PortalからContent Serverへの接続の保護

リポジトリへの接続を作成するContent ServerおよびWebCenter Portalアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播はセキュアではありません。アイデンティティ伝播のセキュリティを確保するには、Content ServerにSSLを構成する必要もあります。

SSLを使用したContent Serverの保護には、次のタスクが含まれます。

• 第35.7.1項「クライアント・サイドでのキーストアおよびキーの構成」

• 第35.7.2項「サーバー・サイドでのキーストアおよびキーの構成」

• 第35.7.3項「信頼できるクライアントのシグネチャの検証」

• 第35.7.4項「アイデンティティ伝播の保護」

本番環境では、実際の証明書のみを使用することをお薦めします。実際の証明書を使用するときにキーストアを構成する方法の詳細は、『Oracle Fusion Middleware Oracle WebCenter Contentの管理』の「Content Serverセキュリティ・プロバイダの理解」の章を参照してください。

35.7.1 クライアント・サイドでのキーストアおよびキーの構成

WebCenter Portalアプリケーション(クライアント)サイドでキーストアを構成するには:

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 次のkeytoolコマンドを実行して、クライアント・キーストアを生成します。

   keytool -genkey -keyalg RSA -validity 5000 -alias Client private key alias -keystore client-keystore.jks 
   -dname "cn=client" -keypass Private key password -storepass KeyStore password
   

3. キーが正常に作成されたことを確認するために、オプションで次のkeytoolコマンドを実行できます。

   keytool -list -keystore client-keystore.jks -storepass KeyStore password
   

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

   keytool -selfcert -validity 5000 -alias Client private key alias -keystore client-keystore.jks 
   -keypass Private key password -storepass KeyStore password
   

5. 次のkeytoolコマンドを実行して、クライアントの公開鍵をエクスポートします。

   keytool -export -alias Client private key alias -keystore client-keystore.jks 
   -file client.pubkey -keypass Private key password -storepass KeyStore password
   

35.7.2 サーバー・サイドでのキーストアおよびキーの構成

Content Serverサイドでキーストアを構成するには:

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 次のkeytoolコマンドを実行して、サーバー・キーストアを生成します。

   keytool -genkey -keyalg RSA -validity 5000 -alias Server public key alias 
   -keystore server-keystore.jks -dname "cn=server" -keypass Private server key password -storepass KeyStore password
   

3. キーが正常に作成されたことを確認するには、次のkeytoolコマンドを実行します。

   keytool -list -keystore server-keystore.jks -keypass Server private key password -storepass KeyStore password
   

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

   keytool -selfcert -validity 5000 -alias Server public key alias -keystore server-keystore.jks 
   -keypass Private server key password -storepass KeyStore password
   

5. 次のkeytoolコマンドを実行して、サーバーの公開鍵をサーバー・キーストアにエクスポートします。

   keytool -export -alias Server public key alias -keystore server-keystore.jks 
   -file server.pubkey -keypass Server private key password -storepass KeyStore password
   

35.7.3 信頼できるクライアントのシグネチャの検証

信頼できるクライアントのシグネチャを検証するには、クライアントの公開鍵をサーバー・キーストアにインポートします。

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。

2. 信頼できるクライアントのシグネチャを検証するには、次のkeytoolコマンドを実行して、クライアントの公開鍵をサーバー・キーストアにインポートします。

   keytool -import -alias Client public key alias -file client.pubkey -keystore 
   server-keystore.jks -keypass Private server key password -storepass KeyStore password
   

3. 次のkeytoolコマンドを実行して、サーバーの公開鍵をクライアント・キーストアにインポートします。

   keytool -import -alias Server public key alias -file server.pubkey -keystore 
   client-keystore.jks -keypass Private key password -storepass KeyStore password
   

   キーを自己認証するかどうかを尋ねられたら、Yesと入力します。例35-1に、この手順が正常に完了すると生成されるサンプル出力を示します。

   例35-1 keytoolにより生成されるサンプル出力

   [user@server]$ keytool -import -alias client -file client.pubkey
   -keystore server-keystore.jks -keypass Server private key password -storepass Keystore password
   Owner: CN=client
   Issuer: CN=client
   Serial number: serial number, for example, 123a19cb
   Valid from: Date, Year, and Time until: Date, Year, and Time
   Certificate fingerprints:
           ...
   Trust this certificate? [no]:  yes
   Certificate was added to keystore.
   

35.7.4 アイデンティティ伝播の保護

アイデンティティ伝播を保護するには、Content ServerにSSLを構成する必要があります。

1. 管理者としてContent Serverにログオンします。

2. 「管理」から、「プロバイダ」を選択します。

3. 「新規プロバイダの作成」ページで、sslincomingの「追加」をクリックします。

4. 「受信プロバイダの追加」ページの「プロバイダ名」に、プロバイダの名前(たとえば、sslincomingprovider)を入力します。

   新規プロバイダが設定されたら、そのプロバイダ名を持つディレクトリが、CONTENT_SERVER_HOME/data/providersディレクトリのサブディレクトリとして作成されます。

5. 「プロバイダの説明」に、プロバイダの短い説明(たとえば、SSL Incoming Provider for securing the Content Server)を入力します。

6. 「プロバイダ・クラス」に、sslincomingプロバイダのクラス(たとえば、idc.provider.ssl.SSLSocketIncomingProvider)を入力します。

   
   

   注意: 新規のSSLキープアライブ受信ソケット・プロバイダまたは新規のSSL受信ソケット・プロバイダを追加できます。キープアライブ・ソケットを使用すると、セッションのパフォーマンスが向上するため、ほとんどの実装で推奨されます。

   
   

7. 「接続クラス」に、接続のクラス(たとえば、idc.provider.KeepaliveSocketIncomingConnection)を入力します。

8. 「サーバー・スレッド・クラス」に、サーバー・スレッドのクラス(たとえば、idc.server.KeepaliveIdcServerThread)を入力します。

9. 「サーバー・ポート」に、オープン・サーバー・ポート(たとえば、5555)を入力します。

10. 「クライアントの認証が必要」チェック・ボックスを選択します。

11. 「キーストア・パスワード」に、キーストアにアクセスするためのパスワードを入力します。

12. 「別名」に、キーストアの別名を入力します。

13. 「別名パスワード」に、別名のパスワードを入力します。

14. 「トラスト・ストア・パスワード」に、トラスト・ストアのパスワードを入力します。

15. 「追加」をクリックします。

    新規の受信プロバイダが追加されました。

16. 手順4で作成した新規のプロバイダ・ディレクトリに移動します。

17. トラスト・ストアおよびキーストアを指定するには、sslconfig.hdaという名前のファイルを作成します。

18. サーバー・キーストアをサーバーにコピーします。

19. sslconfig.hdaファイルを構成します。例35-2は、トラスト・ストアおよびキーストアの情報が指定された.hdaファイルの内容を示しています。

    例35-2 サンプルのsslconfig.hdaファイル

    @Properties LocalData
    TruststoreFile=/tmp/ssl/server_keystore
    KeystoreFile=/tmp/ssl/server_keystore
    @end
    

35.8 SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護

メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。

SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。

1. ブラウザを開き、次のコマンドを使用してIMAPサーバーに接続します。

   https://imapserver:ssl_port
   

   例:

   https:mailserver.example:993 
   

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブをクリックし、「ファイルにコピー...」をクリックします。

   必ずDER encoded binary(X.509)形式を使用してファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

6. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias imap_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 第15.4項「メール・サーバーの登録」で説明しているとおりに、メール・サーバーへの接続を登録します。

8. WebCenter Portalを再起動します。

9. WebCenter Portalにログインし、メール資格証明を提供します。

35.9 SSLを使用したPortal FrameworkアプリケーションからIMAPおよびSMTPへの接続の保護

SSLを使用して、Portal FrameworkアプリケーションからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。

1. 第35.8項「SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護」の手順7までを実行します。

2. 次のプロパティをトラスト・ストアに追加します。

   -Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts
   -Djavax.net.ssl.trustStorePassword=changeit
   

   例:

   set JAVA_PROPERTIES=-Dplatform.home=%WL_HOME% -Dwls.home=%WLS_HOME% 
   -Dweblogic.home=%WLS_HOME% 
   -Djavax.net.ssl.trustStore=C:\jive\mailtool\jssecacerts 
   -Djavax.net.ssl.trustStorePassword=changeit
   

3. Portal Frameworkアプリケーションを再起動します。

4. アプリケーションにログインし、メール資格証明を提供します。

35.10 SSLを使用したOracle SESへの接続の保護

SES用にSSLを構成するシナリオは2つあります。1つ目のシナリオは、WebCenter PortalまたはPortal FrameworkアプリケーションがすでにSSLを使用して保護されているが、SESは保護されていない場合です。2つ目のシナリオは、SESがすでにSSLを使用して保護されているが、WebCenter PortalまたはPortal Frameworkアプリケーションは保護されていない場合です。これら2つのシナリオについて、次の各項で説明します。

• 第35.10.1項「SSLを使用したOracle SESの保護」

• 第35.10.2項「SSLを使用したOracle SESへの接続の保護」

35.10.1 SSLを使用したOracle SESの保護

このシナリオでは、WebCenter PortalまたはPortal FrameworkアプリケーションはすでにSSLを使用して保護されていますが、SESは保護されていません。SSLを使用してSESを保護する手順は次のとおりです。

SESへの接続を登録する前に、まず、証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。

HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。

1. 次の証明書名を使用して、WebCenter側でSSLを構成します。

   cn=<myhost>
   

   <myhost>は、WebCenterがインストールされているホストの完全修飾名です。

   WebCenter PortalでのSSLの構成の詳細は、第35.1項「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。 Portal Frameworkアプリケーションに対するSSLの構成の詳細は、第35.2項「SSLを使用したブラウザからPortal Frameworkアプリケーションへの接続の保護」を参照してください。

2. WebCenter証明書をPEM形式で(つまり<myhost>.crtとして)エクスポートします。

   Firefox 3.0以降を使用すると、証明書を.PEM形式で直接ダウンロードできます。それ以外のブラウザの場合は、次の手順を実行した後、WebLogic Serverのder2pemツールを使用してPEM形式に変換してください。

   1. 「証明書」をクリックします。

   2. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

      DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。

   3. .DER形式の証明書を.PEM形式に変換します。

      der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

3. SESで、次のキーストアに証明書をインポートします。

   • <SES Installation Directory>/jdk6/jre/lib/security/cacerts

   • <SES Installation Directory>/seshome/jdk/jre/lib/security/cacerts

   次のコマンドを使用します。

   keytool -importcert -trustcacerts -alias webcenter_wls -file <myhost>.crt -keystore cacerts -storepass changeit
   

4. SESで、クロールおよび認可エンドポイントがWebCenter PortalまたはPortal FrameworkアプリケーションのHTTPSポートを指す、Oracle WebCenterのソースを作成します。

5. クロールのスケジュールおよびソース・グループを作成します(第18.5.1.2項「Fusion Middleware Controlを使用した検索パラメータとクローラの構成」を参照)。

6. SESのWebCenter側の構成を完了し、SESとWebCenter PortalまたはPortal Frameworkアプリケーションを再起動します。

7. WebCenter PortalまたはPortal Frameworkアプリケーション内にいくつかのオブジェクトを作成し、クロールを開始します。

8. クロールが完了したら、キーワード検索を実行します。WebCenter内に結果が表示されるはずです。

35.10.2 SSLを使用したOracle SESへの接続の保護

このシナリオでは、WebCenter PortalまたはPortal FrameworkアプリケーションはSSLを使用して保護されていませんが、SESは保護されています。

HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。

1. ブラウザを使用して、Oracle Secure Enterprise Searchが検索リクエストを有効化するために公開するWebサービスURLにナビゲートします。

   http://host:port/search/query/OracleSearch
   

   例:

   https://example.com:7777/search/query/OracleSearch
   

2. ページにカーソルを置いて、マウスで右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

   DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

6. 次のコマンドを使用して、DemoTrustKeyStore.jksまたはJDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias ses_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 第18.4.2項「Oracle Secure Enterprise Search Serverの登録」で説明しているとおりに、SESへの接続を登録します。

8. WebCenter PortalまたはPortal Frameworkアプリケーションを再起動します。

35.11 SSLを使用したWebCenter PortalからMicrosoft Live Communication ServerおよびOffice Communication Serverへの接続の保護

SSLを使用して、WebCenter PortalからMicrosoft Live Communication Server (LCS)またはOffice Communication Server 2007 (OCS)への接続を保護するには、次の手順に従って証明書をトラスト・ストアにインポートし、そのトラスト・ストアを使用するようにWebCenter Portalを指定します。SSLを使用したWebCenter PortalからMicrosoft Live Communication ServerまたはOffice Communication Serverへの接続の保護は、WS-Securityを使用して機密保護で構成できるため、オプションとなっています。

LCSまたはOCSへの接続を登録する前に、まず、証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、証明書をトラスト・ストアに格納します。

1. ブラウザを開き、通信サーバー(たとえば、https://example.com/RTC)に移動します。

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

5. 次のkeytoolコマンドを使用して、証明書をcacertsにインポートします。

   keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

6. インストール環境で通信サーバーが使用しているcacertsファイルを見つけ、通信サーバーが参照するこのcacertsファイルをこの証明書で更新します。

   keytool -import -alias lcs_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

7. 第14.3項「インスタント・メッセージおよびプレゼンス・サーバーの登録」で説明しているとおりに、通信サーバーへの接続を登録します。

8. WebCenter Portalサーバーを再起動します。

35.12 SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護

この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。

注意: SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、第31.1項「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。

SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護する手順は次のとおりです。

1. WebCenter PortalからSOAドメインに公開証明書(webcenter_wls.cer)をコピーします。

2. JDK_HOME/bin/に移動し、コマンド・プロンプトを開きます。

3. 次のkeytoolコマンドを使用して、SOAドメインにカスタム・キーストアを生成し、そのキーストアに名前soa_server1.jksと別名soa_server1を付けます。

   keytool -genkeypair -keyalg RSA -dname dname -alias soa_soa_server1 -keypass 
   key_pass -keystore soa_server1.jks -storepass keystore_password -validity days_valid
   

   ここで:

   • dnameは、使用するDN(識別名)です(例: cn=customidentity,dc=example,dc=com)。

   • key_passは、新規公開鍵のパスワードです(例: MyPassword1)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

   • days_validは、キーのパスワードが有効な日数です(例: 360)。

4. 次のコマンドを使用して、soa_wls.jksから証明書をエクスポートします。

   keytool -exportcert -v -alias soa_server1 -keystore soa_server1.jks 
   -storepass keystore_password -rfc -file soa_server1.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

5. SOAドメインでWebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、第1.13.2項「Oracle WebLogic Server管理コンソール」を参照してください。

6. ナビゲーション・ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

7. 「構成」タブで、サーバーのリストからsoa_server1をクリックします。

   soa_server1の「設定」ページが表示されます。

8. 「キーストア」タブを開きます。

   soa_server1のキーストアの設定が表示されます。

9. 「キーストア」として、Custom Identity and Java Standard Trustを選択します。

10. 前述の手順で作成したキーストア(soa_server1.jks)のパスとファイル名を指定します。

11. 「Java標準信頼キーストア」フィールドに指定したJava標準信頼(cacertsファイル)が含まれるディレクトリに移動して、SOAおよびWebCenter Portal公開証明書をこのファイルにインポートし、サーバーによってこれらの証明書が信頼されるようにします。

    keytool -importcert -trustcacerts -alias webcenter_wls -file webcenter_wls.cer 
    -keystore cacerts -storepass keystore_password
    
    keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer 
    -keystore cacerts -storepass keystore_password
    

    ここで:

    • keystore_passwordは、キーストアのパスワードです(例: MyPassword1)。

    証明書を信頼するかを尋ねられたら、yesと答えます。

12. SOAドメインでWLS管理コンソールから「SSL」タブを開きます。

    soa_server1のSSLの設定が表示されます。

13. 「秘密鍵の別名」としてsoa_server1を指定します。

14. 秘密鍵のパスワード(例: MyPassword1)を入力し、確認のためにもう一度入力して、「保存」をクリックします。

15. 「全般」タブを開きます。

    soa_server1の全般設定が表示されます。

16. 「リスニング・ポートの有効化」が選択されていないことを確認します。

17. 「SSLリスニング・ポートの有効化」を選択し、「SSLリスニング・ポート」を指定して、「保存」をクリックします。

18. 「制御」タブ→「起動と停止」サブタブを開きます。

    soa_server1の開始/停止の設定が表示されます。

19. サーバーのリストからsoa_server1を選択し、「SSLの再起動」をクリックします。

20. SOAドメインでsoa_server1管理対象サーバーを再起動します。

21. 次のkeytoolコマンドを使用して、WebCenter Portalドメインからsoa_server1.cer証明書を信頼できる証明書としてサーバーのトラスト・ストア(cacerts)にインポートします。

    keytool -importcert -trustcacerts -alias soa_server1 -file soa_server1.cer 
    -keystore cacerts -storepass changeit
    

    証明書を信頼するかを尋ねられたら、yesと答えます。

22. BPEL URLを定義するときに、soa_server1にhost:ssl_port設定を指定して、第20.4.2項「ワークリスト接続の登録」で説明しているとおりにWebCenter Portalドメインにワークリスト接続を追加します。

23. WC_Spacesサーバーを再起動します。