36 WS-Securityの構成

この章では、WebCenter PortalおよびPortal Frameworkアプリケーション、および関連するサービスとコンポーネントに、使用するトポロジに基づいてWS-Securityを設定する方法を説明します。ここでは、次の構成を扱います。

• 単純トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとすべてのコンポーネントが同一ドメインを共有しています。

• 標準トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとコンポーネントが2つのドメインに分かれています。

• 複合トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとコンポーネントが複数のドメインに分かれています。

これら3つのトポロジにおける、WebCenter PortalまたはPortal Frameworkアプリケーション、ディスカッション、ワークリストおよびWSRPプロデューサに対する構成について説明します。これらの構成およびWebCenter Portal APIを使用するアプリケーションの保護手順は、次の各項で説明しています。

• 第36.1項「単純トポロジの場合のWS-Securityの構成」

• 第36.2項「標準トポロジの場合のWS-Securityの構成」

• 第36.3項「複合トポロジの場合のWS-Securityの構成」

• 第36.4項「WebCenter Portal Client APIを使用するアプリケーションに対するWS-Securityを使用したWebCenter Portalの保護」

権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。 第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

36.1 単純トポロジの場合のWS-Securityの構成

この項では、WebCenter PortalおよびPortal Frameworkアプリケーション、BPELサーバーおよびWSRPプロデューサが同一ドメインを共有するトポロジの場合にWS-Securityを構成する方法を説明します(図36-1)。

図36-1 単純構成の場合のWS-Security

「図36-1 単純構成の場合のWS-Security」の説明

単一ドメインの単純トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

• 第36.1.1項「単純トポロジの場合のWS-Securityの構成のロードマップ」

• 第36.1.2項「WebCenter Portalドメイン・キーストアの設定」

• 第36.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」

• 第36.1.4項「単純トポロジの場合のコマンド・サマリー」

36.1.1 単純トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図36-1)と表(表36-1)は、単一ドメインの単純トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図36-2 単純トポロジの場合のWS-Securityの構成

「図36-2 単純トポロジの場合のWS-Securityの構成」の説明

表36-1は、単純トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表36-1 単純トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク	ノート
管理者	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成
	2. ディスカッション・サーバーの構成	2.a ディスカッション・エンドポイントの保護
		2.b ディスカッション・サーバーの接続設定の構成

36.1.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバーおよびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。

この項には次のサブセクションが含まれます:

• 第36.1.2.1項「WebCenter Portalドメイン・キーストアの作成」

• 第36.1.2.2項「WLSTを使用したキーストアの構成」

• 第36.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.1.2.1 WebCenter Portalドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。

WebCenter Portalドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias orakey 
   -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です。これには適切な形式であるかぎり、任意の文字列を指定できます(例: cn=spaces,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストア名です(例: default-keystore.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-1 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey 
     -keypass MyPassword -keystore default-keystore.jks -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias orakey -keystore keystore -storepass
   keystore_password -rfc -file orakey.cer
   

   ここで:

   • keystoreは、キーストア名です(例: default-keystore.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-2 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass MyPassword -rfc -file orakey.cer
   

4. 証明書を別名webcenter_spaces_wsでインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias webcenter_spaces_ws -file orakey.cer 
   -keystore default-keystore.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです。

   例36-3 証明書のインポート

   keytool -importcert -alias webcenter_spaces_ws -file orakey.cer -keystore 
   default-keystore.jks -storepass MyPassword
   

5. 第36.1.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

   表36-2は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

   表36-2 単純トポロジの場合のPortalドメイン・キーストアのコンテンツ

   キーの別名	説明
   orakey	WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
   webcenter_spaces_ws	WebCenter Portalドメインで使用されるorakey秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalドメイン内のBPEL Server1にあるワークフロー・アプリケーションから、WebCenter PortalドメインのWebサービスAPIへのアウトバウンドWebサービス・メッセージの暗号化に使用されます。

   
   

36.1.2.2 WLSTを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

資格証明ストアを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

   <serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   

3. default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされており、locationとして./default-keystore.jksが指定されていることを確認します。

   <serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password=private_key_password, desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password=private_key_password, desc="Signing key")
   

   ここで:

   • keystore_passwordは、第36.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword)。

   • private_key_passwordは、第36.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword)。

   例36-4 資格証明ストアの更新

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.1.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.1.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. default-keystore.jksキーストア・ファイルが、<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./default-keystore.jksを指定します。

2. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

3. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。

4. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

   「セキュリティ・プロバイダ構成」ページが表示されます。

5. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

6. 「構成」をクリックします。

   「キー・ストアの構成」ページが表示されます。

7. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./default-keystore.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: orakey

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: orakey

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

8. 「OK」をクリックして、設定を保存します。

9. ドメインの管理サーバーを再起動します。

36.1.3 単純トポロジの場合のディスカッション・サーバーの構成

単純トポロジでは、ディスカッション・サーバーはWC_Spacesサーバーと同じドメインにあるため、追加のキーストア構成は必要ありません。これは、WebCenter Portalドメインに構成されているキーストアがディスカッションでも使用されるからです。ただし、本番環境では、ディスカッションのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要があります。それらの設定手順は、次の各項で説明します。

• 第36.1.3.1項「WebCenter PortalおよびディスカッションWebサービス・エンドポイントに対するセキュリティ・ポリシーの添付」

• 第36.1.3.2項「ディスカッション・エンドポイントの保護」

• 第36.1.3.3項「ディスカッション・サーバーの接続設定の構成」

注意: WebCenter PortalおよびPortal Frameworkアプリケーションからディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第35章「SSLの構成」を参照してください。

36.1.3.1 WebCenter PortalおよびディスカッションWebサービス・エンドポイントに対するセキュリティ・ポリシーの添付

新規またはパッチ適用済のWebCenter Portalインスタンスでは、割り当てられたセキュリティ/ポリシーの構成は、セキュリティ・ポリシーなしに設定されます。Oracle Web Services Manager (OWSM)のセキュリティ・ポリシーを、WebCenter PortalのWebサービス・エンドポイントおよびディスカッションの認証Webサービス・エンドポイントに添付する必要があります。本番環境では、第36.1.3.2項「ディスカッション・エンドポイントの保護」の手順に従って、セキュリティを強化することで続行します。

注意: パッチが適用されるWebCenter Portalインスタンスでは、パッチを適用する前にポリシー名を決定し、パッチを適用した後にポリシーを添付する必要があります。必要な手順は、『Oracle Fusion Middlewareパッチ適用ガイド』のOracle WebCenter Portalへのパッチ適用に関する項を参照してください。

Webサービス・セキュリティ・ポリシー構成を新しいインスタンスに添付する手順は次のとおりです。

注意: クラスタ化環境では、WebCenter Portalおよびディスカッションがデプロイされている管理対象サーバーごとにこれらの手順を繰り返します。

1. WC_SpacesおよびWC_Collaboration管理対象サーバーが実行中であることを確認します。

2. 次のWLSTコマンドを実行して、OWSMポリシーをWebCenter Portal Webサービス・エンドポイントに添付します。

   attachWebServicePolicy(application='webcenter', moduleName='webcenter',
   moduleType='web', serviceName='SpacesWebService',
   subjectName='SpacesWebServiceSoapHttpPort',
   policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')
   

3. 次のWLSTコマンドを実行して、OWSMポリシーをディスカッションWebサービス・エンドポイントに添付します。

   attachWebServicePolicy(application='owc_discussions',
   moduleName='owc_discussions', moduleType='web',
   serviceName='OWCDiscussionsServiceAuthenticated',
   subjectName='OWCDiscussionsServiceAuthenticated',
   policyURI='oracle/wss10_saml_token_service_policy')
   

4. WC_SpacesおよびWC_Collaboration管理対象サーバーを再起動します。

36.1.3.2 ディスカッション・エンドポイントの保護

ディスカッションのWebサービス・エンドポイントでは、WebCenter Portalから発信されるコールに対してユーザー・アイデンティティを伝播する必要があります。本番環境では、転送中に他者がメッセージを改ざんしたり、表示したりできないように、Webサービス・エンドポイントをOWSMポリシーで保護する必要があります。これを実行するには、パブリック・アクセス用のWebサービス・エンドポイントと認証済ユーザー・アクセス用のエンドポイントの両方を、Fusion Middleware ControlまたはWLSTを使用して適切なOWSMポリシーで保護する必要があります。

この項には次のサブセクションが含まれます:

• 第36.1.3.2.1項「Fusion Middleware Controlを使用したディスカッション・サーバー・エンドポイントの保護」

• 第36.1.3.2.2項「WLSTを使用したディスカッション・サーバー・エンドポイントの保護」

36.1.3.2.1 Fusion Middleware Controlを使用したディスカッション・サーバー・エンドポイントの保護

Fusion Middleware Controlを使用してディスカッション・エンドポイントを保護する手順は次のとおりです。

1. Fusion Middleware Controlにログインして、ナビゲーション・ペインから、「WebCenter」→「ポータル」→「ディスカッション」を開いて、Discussions(WC_Collaboration)をクリックします。

   「ディスカッション」ホームページが表示されます(図36-3を参照)。

   図36-3 「ディスカッション」ホームページ

   
   「図36-3 「ディスカッション」ホームページ」の説明
   
   

2. owc_discussionsターゲットをクリックします。

   owc_discussionsアプリケーションのホームページが表示されます(図36-4を参照)。

   図36-4 owc_discussionsのホームページ

   
   「図36-4 owc_discussionsのホームページ」の説明
   
   

3. 「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。

   owc_discussionsアプリケーションの「Webサービス」ページが表示されます(図36-5を参照)。

   図36-5 owc_discussionsの「Webサービス」ページ

   
   「図36-5 owc_discussionsの「Webサービス」ページ」の説明
   
   

4. 「Webサービス」タブを開き、OWCDiscussionsServiceAuthenticated Webサービス・エンドポイントをクリックします。

   owc_discussionsの「Webサービス・エンドポイント」ページが表示されます(図36-6を参照)。

   図36-6 「Webサービス・エンドポイント」ページ

   
   「図36-6 「Webサービス・エンドポイント」ページ」の説明
   
   

5. 「アタッチ/デタッチ」をクリックします。

   「ポリシーの添付」ページが表示されます(図36-7を参照)。

   図36-7 「ポリシーの添付」ページ

   
   「図36-7 「ポリシーの添付」ページ」の説明
   
   

6. 「アタッチ」ボタンと「デタッチ」ボタンを使用して、oracle/wss11_saml_token_with_message_protection_service_policyを添付し、oracle/wss10_saml_token_service_policyを削除します。

7. 「OK」をクリックします。

36.1.3.2.2 WLSTを使用したディスカッション・サーバー・エンドポイントの保護

WLSTを使用してディスカッション・サーバー・エンドポイントを保護するには、次のWLSTコマンドを使用して、wss10_saml_token_service_policyを削除し、wss11_saml_token_with_message_protection_service_policyを添付します。

detachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web',
serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated',
policyURI='oracle/wss10_saml_token_service_policy')

attachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web',
serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated',
policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')

36.1.3.3 ディスカッション・サーバーの接続設定の構成

第12.3項「ディスカッション・サーバーの登録」で説明しているように、使用しているWebCenter PortalまたはPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。 図36-8は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。

図36-8 「ディスカッションおよびお知らせ接続の編集」ページ

「図36-8 「ディスカッションおよびお知らせ接続の編集」ページ」の説明

36.1.4 単純トポロジの場合のコマンド・サマリー

単純トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey
-keypass MyPassword -keystore default-keystore.jks -storepass MyPassword -validity 1064

keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass MyPassword -rfc -file orakey.cer

keytool -importcert -alias webcenter_spaces_ws -file orakey.cer 
-keystore default-keystore.jks -storepass MyPassword

証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。

keytool -importcert -alias df_orakey_public -file orakey.cer 
-keystore owc_discussions.jks -storepass MyPassword

default-keystore.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーします。

キーストアの構成

WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。

updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword", desc="Encryption key")
updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword", desc="Signing key")

36.2 標準トポロジの場合のWS-Securityの構成

この項では、WebCenter PortalアプリケーションとWSRPプロデューサは同一ドメインを共有しているが、BPELサーバーは外部ドメイン(SOAドメイン)に配置されているトポロジの場合にWS-Securityを構成する方法を説明します(図36-9を参照)。

図36-9 標準構成の場合のWS-Security

「図36-9 標準構成の場合のWS-Security」の説明

標準の2つのドメイン・トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

• 第36.2.1項「標準トポロジの場合のWS-Securityの構成のロードマップ」

• 第36.2.2項「WebCenter Portalドメイン・キーストアの設定」

• 第36.2.3項「標準トポロジの場合のディスカッション・サーバーの構成」

• 第36.2.4項「SOAドメインの設定」

• 第36.2.5項「標準トポロジの場合のコマンド・サマリー」

36.2.1 標準トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図36-10)と表(表36-3)は、標準の2つのドメイン・トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図36-10 標準トポロジの場合のWS-Securityの構成

「図36-10 標準トポロジの場合のWS-Securityの構成」の説明

表36-3は、標準の2つのドメイン・トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表36-3 標準トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク	ノート
管理者	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成
	2. ディスカッション・サーバーの構成	2.a ディスカッション・エンドポイントの保護
		2.b ディスカッション・サーバーの接続設定の構成

36.2.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。

この項には次のサブセクションが含まれます:

• 第36.2.2.1項「WebCenter Portalドメイン・キーストアの作成」

• 第36.2.2.2項「WLSTを使用したキーストアの構成」

• 第36.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.2.2.1 WebCenter Portalドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。

WebCenter Portalドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストア名です(例: webcenter.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-5 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
     webcenter -keypass MyPassword -keystore webcenter.jks -storepass MyPassword 
     -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias webcenter -keystore keystore 
   -storepass keystore_password -rfc -file webcenter_public.cer
   

   ここで:

   • keystoreは、キーストア名です(例: webcenter.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-6 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias webcenter -keystore webcenter.jks 
   -storepass MyPassword -rfc -file webcenter_public.cer
   

4. 第36.2.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

   表36-4は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

   表36-4 標準トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ

   キーの別名	説明
   webcenter	WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
   orakey	SOAドメインで使用されるBPEL秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalドメイン内のBPEL Server1にあるワークフロー・アプリケーションから、SOAドメインのSOAサーバーに対するワークリスト・コンポーネントへのアウトバウンドWebサービス・メッセージの暗号化に使用されます。

   
   

36.2.2.2 WLSTを使用したキーストアの構成

WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password=private_key_password, desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password=private_key_password, desc="Signing key")
   

   ここで:

   • keystore_passwordは、第36.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword)。

   • private_key_passwordは、第36.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword)。

   例36-7 資格証明ストアの更新

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.2.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。

3. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

   「セキュリティ・プロバイダ構成」ページが表示されます。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キー・ストアの構成」ページが表示されます。

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./webcenter.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: webcenter

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: webcenter

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.2.3 標準トポロジの場合のディスカッション・サーバーの構成

標準トポロジの場合のディスカッション・サーバーの構成は、単純トポロジの場合とまったく同じです。詳細は、第36.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」を参照してください。

36.2.4 SOAドメインの設定

この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。

• 第36.2.4.1項「SOAドメイン・キーストアの作成」

• 第36.2.4.2項「WLSTを使用したキーストアの構成」

• 第36.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.2.4.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。

   keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
    -keystore bpel.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • 例36-8 公開証明書のインポート

     keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
     -keystore bpel.jks -storepass MyPassword
     

3. keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel
   -keypass key_password -keystore keystore -storepass keystore_password
   -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストアの名前です(例: bpel.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-9 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
     -keypass MyPassword -keystore bpel.jks -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

4. 別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。

   keytool -exportcert -v -alias bpel -keystore keystore -storepass keystore_password -rfc -file orakey.cer
   

   ここで:

   • keystoreは、キーストア名です(例: webcenter.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-10 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword -rfc -file orakay.cer
   

5. 異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks
   -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです。

   例36-11 証明書のインポート

   keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass MyPassword
   

36.2.4.2 WLSTを使用したキーストアの構成

SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを構成します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.2.4.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、SOAドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。

3. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キー・ストアの構成」ページが表示されます。

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./bpel.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: bpel

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: bpel

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.2.5 標準トポロジの場合のコマンド・サマリー

標準トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
webcenter -keypass MyPassword -keystore webcenter.jks -storepass MyPassword -validity 1064

keytool -exportcert -v -alias webcenter -keystore webcenter.jks 
-storepass MyPassword -rfc -file webcenter_public.cer

keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer 
-keystore bpel.jks -storepass MyPassword

証明書がすでに存在することを伝えるプロンプトが表示されたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass MyPassword -keystore bpel.jks -storepass MyPassword -validity 1024

keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword 
-rfc -file orakay.cer

keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks 
-storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias df_webcenter_public -file webcenter_public.cer 
-keystore owc_discussions.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

webcenter.jksファイルをdomain_home/config/fmwconfigディレクトリにコピーし、bpel.jksファイルをsoa_domain_home/config/fmwconfigディレクトリにコピーします。

WebCenter Portalドメイン・キーストアの構成

次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。

2. まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./webcenter.jksを指定します。

6. WLSTを使用して、WebCenter Portalドメインに管理ユーザーとして接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
   

SOAドメイン・キーストアの構成

次の手順に従って、SOAドメインのサービス・インスタンス参照を構成します。

1. <SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。

2. まだ実行していない場合は、bpel.jksを<SOA_DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./bpel.jksを指定します。

6. WLSTを使用して、SOAドメインに管理ユーザーとして接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
   

36.3 複合トポロジの場合のWS-Securityの構成

この項では、WebCenter Portalアプリケーション、ディスカッション・サーバーおよびWSRPプロデューサが同一ドメインにあり、2つのBPELサーバーが別々のSOAドメインにあり、1つのWSRPプロデューサが外部ポートレット・ドメインにある複合トポロジの場合にWS-Securityを構成する方法を説明します(図36-11を参照)。

図36-11 複合構成の場合のWS-Security

「図36-11 複合構成の場合のWS-Security」の説明

複数のドメインが含まれる複合トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。

• 第36.3.1項「複合トポロジの場合のWS-Securityの構成のロードマップ」

• 第36.3.2項「WebCenter Portalドメイン・キーストアの設定」

• 第36.3.3項「複合トポロジの場合のディスカッション・サーバーの構成」

• 第36.3.4項「1つ目のSOAドメインの設定」

• 第36.3.5項「2つ目のSOAドメインの設定」

• 第36.3.6項「外部ポートレット・ドメイン・キーストアの設定」

• 第36.3.7項「外部WebCenterドメイン・キーストアの設定」

• 第36.3.8項「複合トポロジの場合のコマンド・サマリー」

36.3.1 複合トポロジの場合のWS-Securityの構成のロードマップ

この項のフロー・チャート(図36-12)と表(表36-5)は、複数ドメインの複合トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。

図36-12 複合トポロジの場合のWS-Securityの構成

「図36-12 複合トポロジの場合のWS-Securityの構成」の説明

表36-5は、複合トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。

表36-5 複合トポロジの場合のWS-Securityの構成

担当者	タスク	サブタスク	ノート
管理者	1. WebCenter Portalドメイン・キーストアの設定	1.a WebCenter Portalドメイン・キーストアの作成
		1.b キーストアの構成	.
	2. ディスカッション・サーバーの構成	2.a ディスカッション・エンドポイントの保護
		2.b ディスカッション・サーバー・キーストアの作成
		2.c 資格証明ストアの更新
		2.d ディスカッション・サーバー接続の構成	.
	3. 1つ目のSOAドメインの設定	3.a 1つ目のSOAドメイン・キーストアの作成
		3.b 1つ目のSOAドメイン・キーストアの構成
	4. 2つ目のSOAドメインの設定	4.a 2つ目のSOAドメイン・キーストアの作成
		4.b 2つ目のSOAドメイン・キーストアの構成
		4.c ワークリスト接続の構成
	5. 外部ポートレット・ドメイン・キーストアの設定	5.a 外部ポートレット・ドメイン・キーストアの作成
		5.b 外部ポートレット・ドメイン・キーストアの構成
	6. 外部WebCenterドメイン・キーストアの設定	6.a 外部WebCenterドメイン・キーストアの作成
		6.b Portal Frameworkアプリケーションの外部ドメイン・キーストアの構成

36.3.2 WebCenter Portalドメイン・キーストアの設定

Javaキーストア(JKS)を使用して、WebCenter Portal、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサ(これも別のドメイン内)のセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。

この項には次のサブセクションが含まれます:

• 第36.3.2.1項「WebCenter PortalドメインおよびFrameworkキーストアの作成」

• 第36.3.2.2項「WLSTを使用したキーストアの構成」

• 第36.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.3.2.1 WebCenter PortalドメインおよびFrameworkキーストアの作成

この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytoolユーティリティを使用します。

WebCenter PortalドメインおよびFrameworkキーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、webcenterキーストアにキー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter
   -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=spaces,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストア名です(例: webcenter.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-12 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias webcenter -keypass MyPassword -keystore webcenter.jks -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias webcenter -keystore wecenter.jks 
   -storepass keystore_password -rfc -file webcenter_public.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-13 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias webcenter -keystore webcenter.jks 
   -storepass MyPassword -rfc -file webcenter_public.cer
   

4. orakey証明書をインポートします。

   keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks
   -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-14 orakey証明書のインポート

   keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass MyPassword
   

5. 第36.3.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

   表36-6は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

   表36-6 複合トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ

   キーの別名	説明
   webcenter	WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
   orakey	SOA 1ドメインで使用されるBPEL秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 1ドメイン内のSOA_Server3へのアウトバウンド・メッセージの暗号化に使用されます。
   soa_server3_public_key	SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。
   producer_public_key	WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter PortalからWebCenter Portalアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。
   external_webcenter_custom_public_key	WebCenter Portal Webサービスに対してWebサービス・コールを行うPortal Frameworkアプリケーションをホストする外部WebCenterドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalから外部WebCenterドメイン内のPortal Frameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。
   owc_discussions_public	ディスカッションをホストする外部ディスカッション・ドメインで使用される外部owc_discussions秘密鍵に対応する公開鍵が含まれる証明書です。この証明書はディスカッションWebサービスに対してWebサービス・コールを行うWebCenter PortalおよびPortal Frameworkアプリケーションによって使用されます。

   
   

36.3.2.2 WLSTを使用したキーストアの構成

WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.2.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。

3. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

   「セキュリティ・プロバイダ構成」ページが表示されます(図36-13を参照)。

   図36-13 「セキュリティ・プロバイダ構成」ページ

   
   「図36-13 「セキュリティ・プロバイダ構成」ページ」の説明
   
   

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キーストアの構成」ページが表示されます(図36-14を参照)。

   図36-14 「キーストアの構成」ページ

   
   「図36-14 「キーストアの構成」ページ」の説明
   
   

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./webcenter.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: webcenter

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: webcenter

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.3.3 複合トポロジの場合のディスカッション・サーバーの構成

複合トポロジでは、ディスカッション・サーバーはWebCenter Portalとは異なるドメインにあるため、ディスカッション・サーバーにキーストアを作成して構成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートする必要があります。本番環境では、ディスカッションのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要もあります。それらの設定手順は、次の各項で説明します。

• 第36.3.3.1項「ディスカッション・サービス・エンドポイントの保護」

• 第36.3.3.2項「ディスカッション・サーバー・キーストアの作成」

• 第36.3.3.3項「資格証明ストアの更新」

• 第36.3.3.4項「ディスカッション・サーバーの接続設定の構成」

注意: Portal Frameworkアプリケーションからディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第35章「SSLの構成」を参照してください。

36.3.3.1 ディスカッション・サービス・エンドポイントの保護

ディスカッションのWebサービス・エンドポイントでは、WebCenter Portalから発信されるコールに対してユーザー・アイデンティティを伝播する必要があります。第36.1.3.2項「ディスカッション・エンドポイントの保護」の手順に従い、Fusion Middleware ControlまたはWLSTを使用してこれらのエンドポイントを保護します。

36.3.3.2 ディスカッション・サーバー・キーストアの作成

この項では、OWSMで使用されるキー・ペアが含まれるキーストアをディスカッション・サーバーに作成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートできるようにする方法を説明します。

owc_discussionsキーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、owc_discussionsキーストアにキー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias owc_discussions
   -keypass key_password -keystore keystore -storepass keystore_password -validity
   days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=owc_discussions,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストア名です(例: owc_discussions.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-15 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=owc_discussions,dc=example,dc=com"
     -alias owc_discussions -keypass MyPassword -keystore owc_discussions.jks
     -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks
   -storepass keystore_password -rfc -file owc_discussions_public.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-16 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks
   -storepass MyPassword -rfc -file owc_discussions_public.cer
   

4. webcenter_public証明書をインポートします。

   keytool -importcert -alias webcenter_public -file webcenter_public.cer
   -keystore owc_discussions.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-17 webcenter_public証明書のインポート

   keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore
   owc_discussions.jks -storepass MyPassword
   

5. owc_discussions_public証明書をインポートします。

   keytool -importcert -alias owc_discussions_public -file
   owc_discussions_public.cer -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-18 owc_discussions_public証明書のインポート

   keytool -importcert -alias owc_discussions_public -file owc_discussions_public.cer
   -keystore webcenter.jks -storepass MyPassword
   

6. 第36.3.3.3項「資格証明ストアの更新」で説明しているように、WLSTを使用して資格証明ストアを更新し、続行します。

36.3.3.3 資格証明ストアの更新

WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

   <!-- KeyStore Service Instance -->
   <serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
   <description>Default JPS Keystore Service</description>
   

3. webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./webcenter.jksを指定します。

   <serviceInstance name="keystore" provider="keystore.provider" location="./webcenter.jks">
   <description>Default JPS Keystore Service</description>
   

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.3.4 ディスカッション・サーバーの接続設定の構成

第12.3項「ディスカッション・サーバーの登録」で説明しているように、WebCenter Portalまたは使用しているPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。 図36-15は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。

図36-15 「ディスカッションおよびお知らせ接続の編集」ページ

「図36-15 「ディスカッションおよびお知らせ接続の編集」ページ」の説明

36.3.4 1つ目のSOAドメインの設定

この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。

• 第36.3.4.1項「SOAドメイン・キーストアの作成」

• 第36.3.4.2項「WLSTを使用したキーストアの構成」

• 第36.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.3.4.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. WebCenter Portalドメインから公開証明書(webcenter_public.cer)をインポートして、キーストアを作成します。

   keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
    -keystore bpel.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • 例36-19 公開証明書のインポート

     keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer -keystore bpel.jks -storepass MyPassword
     

3. keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel -keypass
   key_password -keystore bpel.jks -storepass keystore_password -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=bpel,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-20 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
     -keypass MyPassword -keystore bpel.jks -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

4. 別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。

   keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass keystore_password -rfc -file orakey.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-21 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword -rfc -file orakay.cer
   

5. 再度WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がorakeyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-22 証明書のインポート

   keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass MyPassword
   

6. 証明書をSOAドメインにインポートします。

   keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer 
   -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-23 証明書のインポート

   keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer
   -keystore webcenter.jks -storepass MyPassword
   

7. 第36.3.4.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

   表36-7は、SOA 1ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

   表36-7 複合トポロジの場合のSOA 1ドメイン・キーストアのコンテンツ

   キーの別名	説明
   bpel	SOA 1ドメインのサーバーからのアウトバウンド・メッセージの署名に使用される秘密鍵です。この鍵は、SOA 1ドメインのSOAサーバーにデプロイされているワークリスト・アプリケーションによって使用されます。
   webcenter_spaces_ws	WebCenter Portalドメインで使用されるwebcenter秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、SOA 1ドメイン内のBPEL Server1からWebCenter PortalドメインのWebサービスAPIへのアウトバウンド・ワークフロー・メッセージの暗号化に使用されます。

   
   

36.3.4.2 WLSTを使用したキーストアの構成

SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. bpel.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./bpel.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.4.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。

3. 「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キーストアの構成」ページが表示されます(図36-16を参照)。

   図36-16 「キーストアの構成」ページ

   
   「図36-16 「キーストアの構成」ページ」の説明
   
   

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./bpel.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: bpel

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: bpel

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.3.5 2つ目のSOAドメインの設定

この項では、2つ目のSOAドメイン・キーストアを設定する方法について説明します。内容は次のとおりです。

• 第36.3.5.1項「SOAドメイン・キーストアの作成」

• 第36.3.5.2項「WLSTを使用したキーストアの構成」

• 第36.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」

• 第36.3.5.4項「2つ目のSOAサーバーのワークリスト接続の構成」

36.3.5.1 SOAドメイン・キーストアの作成

この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。

SOAドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias soa_server3
    -keypass key_password -keystore soa_server3.jks -storepass keystore_password
    -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=soa_server3,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-24 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias 
     soa_server3 -keypass MyPassword -keystore soa_server3.jks -storepass MyPassword 
     -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

3. 別名orakeyを使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。

   keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks
    -storepass keystore_password -rfc -file soa_server3_public_key.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-25 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks 
   -storepass MyPassword -rfc -file soa_server3_public_key.cer
   

4. WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がsoa_server3_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias soa_server3_public_key -file soa_server3_public_
   key.cer  -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-26 証明書のインポート

   keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer 
   -keystore webcenter.jks -storepass MyPassword
   

5. soa_server3_public_key証明書をインポートします。

   keytool -importcert -alias soa_server3_public_key -file
   soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-27 soa_server3_public_key証明書のインポート

   keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer -keystore webcenter.jks -storepass MyPassword
   

6. producer_public_key証明書をインポートします。

   keytool -importcert -alias producer_public_key -file producer_public_key.cer
   -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-28 producer_public_key証明書のインポート

   keytool -importcert -alias producer_public_key -file producer_public_key.cer
   -keystore webcenter.jks -storepass MyPassword
   

7. external_webcenter_custom_public_key証明書をインポートします。

   keytool -importcert -alias external_webcenter_custom_public_key -file
   external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass
   keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-29 external_webcenter_custom_public_key証明書のインポート

   keytool -importcert -alias external_webcenter_custom_public_key -file
   external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass MyPassword
   

8. 第36.3.5.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

   表36-8は、SOA 2ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。

   表36-8 複合トポロジの場合のSOA 2ドメイン・キーストアのコンテンツ

   キーの別名	説明
   webcenter	WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。
   orakey	SOA 1ドメインで使用されるBPEL秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 1ドメイン内のSOA_Server3へのアウトバウンド・メッセージの暗号化に使用されます。
   soa_server3_public_key	SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。
   producer_public_key	WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter PortalからWebCenter Portalアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。
   external_webcenter_custom_public_key	WebCenter Portal Webサービスに対してWebサービス・コールを行うPortal Frameworkアプリケーションをホストする外部WebCenterドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalから外部WebCenterドメイン内のPortal Frameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。

   
   

36.3.5.2 WLSTを使用したキーストアの構成

2つ目のSOAドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. soa_server3.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./soa_server3.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.5.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.5.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。

3. 「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キーストアの構成」ページが表示されます(図36-17を参照)。

   図36-17 「キーストアの構成」ページ

   
   「図36-17 「キーストアの構成」ページ」の説明
   
   

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./soa_server3.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: soa_server3

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: soa_server3

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.3.5.4 2つ目のSOAサーバーのワークリスト接続の構成

通常、ワークリスト接続では、oracle/wss10_saml_token_with_message_protection_client_policyポリシーを使用して、SOAサーバーへのアウトバウンドSOAPメッセージが保護されます。ただし、WebCenter Portalドメインで複数のワークリスト接続が同時に使用される複合デプロイメントの場合は、追加のOWSMポリシーを作成して、受信者キーの別名が、WebCenter Portal側の目的のSOAサーバーの証明書の別名と一致するように、そのポリシーを構成する必要があります。

複数のワークリスト接続を同時に使用するには、次の手順を実行します。

1. 外部SOAドメインから証明書をエクスポートし、それを新規別名(次の例ではsoa_server3_key)でWebCenter Portalドメインにインポートします。

2. Fusion Middleware Controlを使用して新規OWSMポリシーを作成し、前の手順と同じ別名を使用するように受信者キーの別名をオーバーライドします。

   1. Fusion Middleware Controlで、「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。

      「Webサービス・ポリシー」ページが表示されます(図36-18を参照)。

      図36-18 「Webサービス・ポリシー」ページ

      
      「図36-18 「Webサービス・ポリシー」ページ」の説明
      
      

   2. 新規ポリシー作成のベースとして使用するクライアント・ポリシーを選択して、「類似作成」をクリックします。

      「ポリシーの作成」ページが表示されます(図36-19を参照)。

      図36-19 「ポリシーの作成」ページ

      
      「図36-19 「ポリシーの作成」ページ」の説明
      
      

   3. 新規ポリシーの名前(たとえば、oracle_wss10_saml_token_with_message_protection_client_policy_soa_server3)を入力して、「保存」をクリックします。

      「Webサービス・ポリシー」ページに、新規ポリシーが表示されます。

   4. 「Webサービス・ポリシー」ページで、新規ポリシーを選択して、「編集」をクリックします。

   5. 「ポリシーの編集」ページで、「構成」タブを開き、「編集」をクリックします。

   6. 受信者キーの別名を値soa_server3_keyでオーバーライドして、「保存」をクリックします。

3. BPEL接続を作成し、次のWLSTコマンドを使用して、前の手順で作成したポリシーにセキュリティ・ポリシーを設定します。

   setBPELConnection(appName='webcenter',
   name='WebCenter-Worklist-SOAServer3',url='<your_url>',
   policy='oracle/wss10_saml_token_with_message_protection_client_policy_soa_server3')
   

36.3.6 外部ポートレット・ドメイン・キーストアの設定

この項では、この複合トポロジのWSRPプロデューサの1つで使用されている外部ポートレット・ドメインにキーストアを設定する方法を説明します。

この項には次のサブセクションが含まれます:

• 第36.3.6.1項「外部ポートレット・ドメイン・キーストアの作成」

• 第36.3.6.2項「WLSTを使用したキーストアの構成」

• 第36.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.3.6.1 外部ポートレット・ドメイン・キーストアの作成

外部ポートレット・ドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。

   keytool -importcert -alias webcenter_public -file webcenter_public.cer
   -keystore producer.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです。

   例36-30 証明書のインポート

   keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore
   producer.jks -storepass MyPassword
   

3. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias producer
    -keypass key_password -keystore producer.jks -storepass keystore_password
    -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=producer,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystoreは、キーストア名です(例: webcenter.jks)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-31 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias 
     producer -keypass MyPassword -keystore producer.jks -storepass MyPassword
      -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

4. WebCenter Portalドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias producer -keystore producer.jks -storepass
   keystore_password -rfc -file producer_public_key.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-32 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias producer -keystore producer.jks -storepass MyPassword 
   -rfc -file producer_public_key.cer
   

5. WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がproducer_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias producer_public_key -file producer_public_key.cer 
   -keystore webcenter.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-33 証明書のインポート

   keytool -importcert -alias producer_public_key -file producer_public_key.cer 
   -keystore webcenter.jks -storepass MyPassword
   

6. 第36.3.6.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

36.3.6.2 WLSTを使用したキーストアの構成

外部ポートレット・ドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. producer.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認して、locationとして./producer.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.6.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.6.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。

3. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キーストアの構成」ページが表示されます(図36-20を参照)。

   図36-20 「キーストアの構成」ページ

   
   「図36-20 「キーストアの構成」ページ」の説明
   
   

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./producer.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: producer

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: producer

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.3.7 外部WebCenterドメイン・キーストアの設定

この項では、WebCenter Portal Webサービス・コールを行うPortal Frameworkアプリケーションで使用される外部WebCenterドメインを設定する方法を説明します。

この項には次のサブセクションが含まれます:

• 第36.3.7.1項「外部WebCenterドメイン・キーストアの作成」

• 第36.3.7.2項「WLSTを使用したキーストアの構成」

• 第36.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」

36.3.7.1 外部WebCenterドメイン・キーストアの作成

外部WebCenterドメイン・キーストアを作成するには:

1. JDK_HOME/jdk/binに移動し、コマンド・プロンプトを開きます。

2. keytoolを使用して、WebCenterドメインの公開証明書をインポートすることでキーストアを生成します。

   keytool -importcert -alias webcenter_public -file webcenter_public.cer
    -keystore external_webcenter_custom.jks -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです。

   例36-34 証明書のインポート

   keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore 
   external_webcenter_custom.jks -storepass MyPassword
   

3. keytoolを使用して、キー・ペアを生成します。

   keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias
   external_webcenter_custom -keypass key_password -keystore
   external_webcenter_custom.jks -storepass keystore_password -validity days_valid
   

   ここで:

   • consumer_dnameは、コンシューマの名前です(例: cn=external_webcenter_custom,dc=example,dc=com)。

   • key_passwordは、新規公開鍵のパスワードです(例: MyPassword)。

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   • days_validは、キーのパスワードが有効な日数です(例: 1064)。

     例36-35 キーペアの生成

     keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,
     dc=example,dc=com" -alias external_webcenter_custom -keypass MyPassword 
     -keystore external_webcenter_custom.jks -storepass MyPassword -validity 1064
     

   
   

   注意: キーを生成するためにkeytoolによって使用されるデフォルト・アルゴリズム(DSA)は、Oracle Web Services Security Managerの要件に適合しないため、上に示すように、-keyalgパラメータを使用し、その値としてRSAを指定する必要があります。

   
   

4. WebCenter Portalドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。

   keytool -exportcert -v -alias external_webcenter_custom -keystore external_
   webcenter_custom.jks -storepass keystore_password -rfc -file external_
   webcenter_custom_public_key.cer
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-36 公開鍵が含まれる証明書のエクスポート

   keytool -exportcert -v -alias external_webcenter_custom -keystore external_
   webcenter_custom.jks -storepass MyPassword -rfc -file external_webcenter_custom_
   public_key.cer
   

5. WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がexternal_webcenter_custom_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。

   keytool -importcert -alias external_webcenter_custom_public_key -file 
   external_webcenter_custom_public_key.cer -keystore webcenter.jks
   -storepass keystore_password
   

   ここで:

   • keystore_passwordは、キーストアのパスワードです(例: MyPassword)。

   例36-37 証明書のインポート

   keytool -importcert -alias external_webcenter_custom_public_key -file external_
   webcenter_custom_public_key.cer -keystore webcenter.jks -storepass MyPassword
   

6. 第36.3.7.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。

36.3.7.2 WLSTを使用したキーストアの構成

外部WebCenterドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。

キーストア・サービスを構成するには:

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動し、エディタでjps-config.xmlファイルを開きます。

2. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

3. webcenter.jksキーストア・ファイルが<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーされていることを確認し、locationとして./webcenter.jksを指定します。

4. 次のWLSTコマンドを使用して、資格証明ストアを更新します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom", 
   password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key",
   user="external_webcenter_custom", password="MyPassword", desc="Signing key")
   

5. すべてのサーバーを再起動します。

36.3.7.3 Fusion Middleware Controlを使用したキーストアの構成

キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.7.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。

キーストア・プロバイダを構成するには:

1. Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。

   Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。

2. ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain)をクリックします。

3. 「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

4. 「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。

5. 「構成」をクリックします。

   「キーストアの構成」ページが表示されます(図36-21を参照)。

   図36-21 「キーストアの構成」ページ

   
   「図36-21 「キーストアの構成」ページ」の説明
   
   

6. 次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。

   • キーストア・パス: ./external_webcenter_custom.jks

   • パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。

   • キーの別名: external_webcenter_custom

   • 署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。

   • 暗号化の別名: external_webcenter_custom

   • 暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。

7. 「OK」をクリックして、設定を保存します。

8. ドメインの管理サーバーを再起動します。

36.3.8 複合トポロジの場合のコマンド・サマリー

複合トポロジの場合にキーストアおよびDFプロパティを迅速に構成するには、次のコマンド・サマリーを使用します。

キーストアの生成

次のkeytoolコマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。

keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias 
webcenter  -keypass MyPassword -keystore webcenter.jks -storepass MyPassword -validity 1064

keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass 
MyPassword -rfc -file webcenter_public.cer

keytool -importcert -alias df_webcenter_public -file webcenter_public.cer 
-keystore owc_discussions.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer 
-keystore bpel.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel 
-keypass MyPassword -keystore bpel.jks

keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword -rfc -file orakay.cer

keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias 
 soa_server3 -keypass MyPassword -keystore soa_server3.jks -storepass MyPassword 
-validity 1024

keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks -storepass 
MyPassword -rfc -file soa_server3_public_key.cer

keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer 
-keystore webcenter.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore 
producer.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias 
producer -keypass MyPassword -keystore producer.jks -storepass MyPassword -validity 1024

keytool -exportcert -v -alias producer -keystore producer.jks 
-storepass MyPassword -rfc -file producer_public_key.cer

keytool -importcert -alias webcenter_public -file webcenter_public.cer 
-keystore external_webcenter_custom.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,dc=example,dc=com" 
-alias external_webcenter_custom -keypass MyPassword -keystore external_webcenter_custom.jks 
-storepass MyPassword -validity 1024

keytool -exportcert -v -alias external_webcenter_custom -keystore 
external_webcenter_custom.jks -storepass MyPassword -rfc -file 
external_webcenter_custom_public_key.cer

keytool -importcert -alias producer_public_key -file producer_public_key.cer 
-keystore webcenter.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

keytool -importcert -alias external_webcenter_custom_public_key -file
external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass MyPassword

証明書を信頼するかを尋ねられたら、yesと答えます。

webcenter.jksをdomain_home/config/fmwconfigディレクトリに、bpel.jksをSOA1_domain_home/config/fmwconfigディレクトリに、soa_server3.jksをSOA_2_domain_home/config/fmwconfigディレクトリに、producer.jksをExternal_Portlet_domain_home/config/fmwconfigディレクトリに、およびexternal_webcenter_custom.jksをExternal_WebCenter_domain_home/config/fmwconfigディレクトリにコピーします。

WebCenter Portalドメイン・キーストアの構成

次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。

2. まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./webcenter.jksを指定します。

6. WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter",
   password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter",
   password="MyPassword", desc="Signing key")
   

外部ディスカッション・サーバー・ドメイン・キーストアの構成

次の手順に従って、ディスカッション・サーバーのサービス・インスタンス参照を構成します。

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。

2. まだ実行していない場合は、webcenter.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./owc_discussions.jksを指定します。

6. WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key",
   user="owc_discussions", password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key",
   user="owc_discussions", password="MyPassword", desc="Signing key")
   

SOA1ドメイン・キーストアの構成

次の手順に従って、SOA1ドメインのサービス・インスタンス参照を構成します。

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。

2. まだ実行していない場合は、bpel.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./bpel.jksを指定します。

6. WLSTを使用して、SOA1ドメインに管理ユーザーとして接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel",
   password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel",
   password="MyPassword", desc="Signing key")
   

SOA2ドメイン・キーストアの構成

次の手順に従って、SOA2ドメインのサービス・インスタンス参照を構成します。

1. <DOMAIN_HOME>/config/fmwconfigディレクトリに移動します。

2. まだ実行していない場合は、soa_server3.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./soa_server3.jksを指定します。

6. WLSTを使用して、SOA2ドメインに管理ユーザーとして接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3",
   password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3",
   password="MyPassword", desc="Signing key")
   

外部ポートレット・プロデューサ・ドメイン・キーストアの構成

次の手順に従って、外部ポートレット・プロデューサ・ドメイン・キーストアおよび外部WebCenterドメイン・キーストアのサービス・インスタンス参照を構成します。

1. 外部ポートレット・プロデューサ・ドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。

2. まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

3. エディタでjps-config.xmlを開きます。

4. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

5. locationとして./producer.jksを指定します。

6. WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。

   updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
   password="MyPassword", desc="Keystore key")
   updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer",
   password="MyPassword", desc="Encryption key")
   updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer",
   password="MyPassword", desc="Signing key")
   

7. 外部WebCenterドメインの<DOMAIN_HOME>/config/fmwconfigディレクトリにナビゲートします。

8. まだ実行していない場合は、producer.jksを<DOMAIN_HOME>/config/fmwconfigディレクトリにコピーします。

9. エディタでjps-config.xmlを開きます。

10. keystore.providerプロバイダの<serviceInstanceノードを見つけます。

11. locationとして./external_webcenter_custom.jksを指定します。

12. WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。

    updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
    password="MyPassword", desc="Keystore key")
    updateCred(map="oracle.wsm.security", key="enc-csf-key",
    user="external_webcenter_custom", password="MyPassword", desc="Encryption key")
    updateCred(map="oracle.wsm.security", key="sign-csf-key",
    user="external_webcenter_custom", password="MyPassword", desc="Signing key")
    

ディスカッション・サーバー接続の構成

第12.3項「ディスカッション・サーバーの登録」で説明しているように、WebCenter Portalまたは使用しているPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定します。 また、第36.3.3.4項「ディスカッション・サーバーの接続設定の構成」で、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を参照してください。

36.4 WebCenter Portal Client APIを使用するアプリケーションに対するWS-Securityを使用したWebCenter Portalの保護

この項では、WebCenter Portal APIを公開するアプリケーション(コンシューマ)とWebCenter Portal (プロデューサ)の間の通信のセキュリティが確保され、それらのAPIを呼び出すユーザーのアイデンティティが保護されるように、WebCenter PortalにWS-Securityを構成する場合に必要な管理者タスクについて説明します。

WebCenter PortalクライアントAPIを使用するアプリケーション開発のための開発者タスクの詳細は、『Oracle Fusion Middleware Oracle WebCenter PortalおよびOracle Jdeveloperでのポータルの開発』のWebCenter Portal APIを使用するようにPortal Frameworkアプリケーションを設定する方法に関する項を参照してください。

この項には次のサブセクションが含まれます:

• 第36.4.1項「WebCenter PortalクライアントAPIを使用するアプリケーションの単純トポロジの構成」

• 第36.4.2項「WebCenter PortalクライアントAPIを使用するアプリケーションの標準トポロジの構成」

• 第36.4.3項「WebCenter PortalクライアントAPIを使用するアプリケーションの複合トポロジの構成」

36.4.1 WebCenter PortalクライアントAPIを使用するアプリケーションの単純トポロジの構成

クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");

クライアント・アプリケーションがJDeveloperであり、WebCenter Portalサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.1.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("orakey");

36.4.2 WebCenter PortalクライアントAPIを使用するアプリケーションの標準トポロジの構成

クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

クライアント・アプリケーションがJDeveloperであり、WebCenter Portalサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.2.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

36.4.3 WebCenter PortalクライアントAPIを使用するアプリケーションの複合トポロジの構成

クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()に対して次のコマンドを設定するだけで済みます。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");

クライアント・アプリケーションがJDeveloperの場合、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dirにコピーして、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.3.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。

GroupSpaceWSContext context = new GroupSpaceWSContext();
context.setRecipientKeyAlias("webcenter");