Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.8.3) E51441-03 |
|
前 |
次 |
この章では、WebCenter PortalおよびPortal Frameworkアプリケーション、および関連するサービスとコンポーネントに、使用するトポロジに基づいてWS-Securityを設定する方法を説明します。ここでは、次の構成を扱います。
単純トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとすべてのコンポーネントが同一ドメインを共有しています。
標準トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとコンポーネントが2つのドメインに分かれています。
複合トポロジ。WebCenter PortalまたはPortal Frameworkアプリケーションとコンポーネントが複数のドメインに分かれています。
これら3つのトポロジにおける、WebCenter PortalまたはPortal Frameworkアプリケーション、ディスカッション、ワークリストおよびWSRPプロデューサに対する構成について説明します。これらの構成およびWebCenter Portal APIを使用するアプリケーションの保護手順は、次の各項で説明しています。
権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic Serverの 第1.8項「管理操作、ロールおよびツールの理解」も参照してください。 |
この項では、WebCenter PortalおよびPortal Frameworkアプリケーション、BPELサーバーおよびWSRPプロデューサが同一ドメインを共有するトポロジの場合にWS-Securityを構成する方法を説明します(図36-1)。
単一ドメインの単純トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図36-1)と表(表36-1)は、単一ドメインの単純トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表36-1は、単純トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバーおよびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。
この項には次のサブセクションが含まれます:
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias orakey
-keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です。これには適切な形式であるかぎり、任意の文字列を指定できます(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストア名です(例: default-keystore.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias orakey -keystore keystore -storepass
keystore_password -rfc -fileorakey.cer
ここで:
keystore
は、キーストア名です(例: default-keystore.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
証明書を別名webcenter_spaces_ws
でインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです。
第36.1.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表36-2は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表36-2 単純トポロジの場合のPortalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
WebCenter Portalドメインで使用される |
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.1.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
資格証明ストアを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
default-keystore.jks
キーストア・ファイルが、<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされており、locationとして./default-keystore.jks
が指定されていることを確認します。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password=private_key_password, desc="Signing key")
ここで:
keystore_password
は、第36.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword
)。
private_key_password
は、第36.1.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword
)。
例36-4 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.1.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
default-keystore.jks
キーストア・ファイルが、<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./default-keystore.jks
を指定します。
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./default-keystore.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: orakey
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: orakey
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
単純トポロジでは、ディスカッション・サーバーはWC_Spaces
サーバーと同じドメインにあるため、追加のキーストア構成は必要ありません。これは、WebCenter Portalドメインに構成されているキーストアがディスカッションでも使用されるからです。ただし、本番環境では、ディスカッションのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要があります。それらの設定手順は、次の各項で説明します。
注意: WebCenter PortalおよびPortal Frameworkアプリケーションからディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第35章「SSLの構成」を参照してください。 |
新規またはパッチ適用済のWebCenter Portalインスタンスでは、割り当てられたセキュリティ/ポリシーの構成は、セキュリティ・ポリシーなしに設定されます。Oracle Web Services Manager (OWSM)のセキュリティ・ポリシーを、WebCenter PortalのWebサービス・エンドポイントおよびディスカッションの認証Webサービス・エンドポイントに添付する必要があります。本番環境では、第36.1.3.2項「ディスカッション・エンドポイントの保護」の手順に従って、セキュリティを強化することで続行します。
注意: パッチが適用されるWebCenter Portalインスタンスでは、パッチを適用する前にポリシー名を決定し、パッチを適用した後にポリシーを添付する必要があります。必要な手順は、『Oracle Fusion Middlewareパッチ適用ガイド』のOracle WebCenter Portalへのパッチ適用に関する項を参照してください。 |
Webサービス・セキュリティ・ポリシー構成を新しいインスタンスに添付する手順は次のとおりです。
注意: クラスタ化環境では、WebCenter Portalおよびディスカッションがデプロイされている管理対象サーバーごとにこれらの手順を繰り返します。 |
WC_Spaces
およびWC_Collaboration
管理対象サーバーが実行中であることを確認します。
次のWLSTコマンドを実行して、OWSMポリシーをWebCenter Portal Webサービス・エンドポイントに添付します。
attachWebServicePolicy(application='webcenter', moduleName='webcenter',
moduleType='web', serviceName='SpacesWebService',
subjectName='SpacesWebServiceSoapHttpPort',
policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')
次のWLSTコマンドを実行して、OWSMポリシーをディスカッションWebサービス・エンドポイントに添付します。
attachWebServicePolicy(application='owc_discussions',
moduleName='owc_discussions', moduleType='web',
serviceName='OWCDiscussionsServiceAuthenticated',
subjectName='OWCDiscussionsServiceAuthenticated',
policyURI='oracle/wss10_saml_token_service_policy')
WC_Spaces
およびWC_Collaboration
管理対象サーバーを再起動します。
ディスカッションのWebサービス・エンドポイントでは、WebCenter Portalから発信されるコールに対してユーザー・アイデンティティを伝播する必要があります。本番環境では、転送中に他者がメッセージを改ざんしたり、表示したりできないように、Webサービス・エンドポイントをOWSMポリシーで保護する必要があります。これを実行するには、パブリック・アクセス用のWebサービス・エンドポイントと認証済ユーザー・アクセス用のエンドポイントの両方を、Fusion Middleware ControlまたはWLSTを使用して適切なOWSMポリシーで保護する必要があります。
この項には次のサブセクションが含まれます:
Fusion Middleware Controlを使用してディスカッション・エンドポイントを保護する手順は次のとおりです。
Fusion Middleware Controlにログインして、ナビゲーション・ペインから、「WebCenter」→「ポータル」→「ディスカッション」を開いて、Discussions(WC_Collaboration)
をクリックします。
「ディスカッション」ホームページが表示されます(図36-3を参照)。
owc_discussions
ターゲットをクリックします。
owc_discussions
アプリケーションのホームページが表示されます(図36-4を参照)。
「アプリケーションのデプロイ」メニューから、「Webサービス」を選択します。
owc_discussions
アプリケーションの「Webサービス」ページが表示されます(図36-5を参照)。
「Webサービス」タブを開き、OWCDiscussionsServiceAuthenticated
Webサービス・エンドポイントをクリックします。
owc_discussionsの「Webサービス・エンドポイント」ページが表示されます(図36-6を参照)。
「アタッチ/デタッチ」をクリックします。
「ポリシーの添付」ページが表示されます(図36-7を参照)。
「アタッチ」ボタンと「デタッチ」ボタンを使用して、oracle/wss11_saml_token_with_message_protection_service_policy
を添付し、oracle/wss10_saml_token_service_policy
を削除します。
「OK」をクリックします。
WLSTを使用してディスカッション・サーバー・エンドポイントを保護するには、次のWLSTコマンドを使用して、wss10_saml_token_service_policy
を削除し、wss11_saml_token_with_message_protection_service_policy
を添付します。
detachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web',
serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated',
policyURI='oracle/wss10_saml_token_service_policy')
attachWebServicePolicy(application='owc_discussions', moduleName='owc_discussions', moduleType='web',
serviceName='OWCDiscussionsServiceAuthenticated', subjectName='OWCDiscussionsServiceAuthenticated',
policyURI='oracle/wss11_saml_token_with_message_protection_service_policy')
第12.3項「ディスカッション・サーバーの登録」で説明しているように、使用しているWebCenter PortalまたはPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。 図36-8は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
単純トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias orakey
-keypass MyPassword -keystore default-keystore.jks -storepass MyPassword -validity 1064 keytool -exportcert -v -alias orakey -keystore default-keystore.jks -storepass MyPassword -rfc -file orakey.cer keytool -importcert -alias webcenter_spaces_ws -file orakey.cer
-keystore default-keystore.jks -storepass MyPassword
証明書がすでに存在することを伝えるプロンプトが表示されたら、yes
と答えます。
keytool -importcert -alias df_orakey_public -file orakey.cer
-keystore owc_discussions.jks -storepass MyPassword
default-keystore.jks
ファイルをdomain_home/config/fmwconfig
ディレクトリにコピーします。
キーストアの構成
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="MyPassword", desc="Signing key")
この項では、WebCenter PortalアプリケーションとWSRPプロデューサは同一ドメインを共有しているが、BPELサーバーは外部ドメイン(SOAドメイン)に配置されているトポロジの場合にWS-Securityを構成する方法を説明します(図36-9を参照)。
標準の2つのドメイン・トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図36-10)と表(表36-3)は、標準の2つのドメイン・トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表36-3は、標準の2つのドメイン・トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
Javaキーストア(JKS)を使用して、WebCenter Portalアプリケーション、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサのセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。
この項には次のサブセクションが含まれます:
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter Portalドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter -keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore keystore
-storepass keystore_password -rfc -filewebcenter_public.cer
ここで:
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.2.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表36-4は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表36-4 標準トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOAドメインで使用される |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password=keystore_password, desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password=private_key_password, desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password=private_key_password, desc="Signing key")
ここで:
keystore_password
は、第36.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定したキーストア・パスワードです(例: MyPassword
)。
private_key_password
は、第36.2.2.1項「WebCenter Portalドメイン・キーストアの作成」の手順2で指定した秘密鍵パスワードです(例: MyPassword
)。
例36-7 資格証明ストアの更新
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.2.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合のディスカッション・サーバーの構成は、単純トポロジの場合とまったく同じです。詳細は、第36.1.3項「単純トポロジの場合のディスカッション・サーバーの構成」を参照してください。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer
)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel
-keypass key_password -keystore keystore -storepass keystore_password
-validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=bpel,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストアの名前です(例: bpel.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore keystore -storepass keystore_password -rfc -file orakey.cer
ここで:
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
異なる別名で証明書をインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks
-storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです。
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
bpel.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./bpel.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを構成します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.2.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、SOAドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キー・ストアの構成」ページが表示されます。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
標準トポロジの場合にキーストアを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass MyPassword -keystore webcenter.jks -storepass MyPassword -validity 1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks
-storepass MyPassword -rfc -file webcenter_public.cer keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass MyPassword
証明書がすでに存在することを伝えるプロンプトが表示されたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass MyPassword -keystore bpel.jks -storepass MyPassword -validity 1024 keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword
-rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks
-storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
webcenter.jks
ファイルをdomain_home/config/fmwconfig
ディレクトリにコピーし、bpel.jks
ファイルをsoa_domain_home/config/fmwconfig
ディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./webcenter.jks
を指定します。
WLSTを使用して、WebCenter Portalドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
SOAドメイン・キーストアの構成
次の手順に従って、SOAドメインのサービス・インスタンス参照を構成します。
<SOA_DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、bpel.jks
を<SOA_DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./bpel.jks
を指定します。
WLSTを使用して、SOAドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
この項では、WebCenter Portalアプリケーション、ディスカッション・サーバーおよびWSRPプロデューサが同一ドメインにあり、2つのBPELサーバーが別々のSOAドメインにあり、1つのWSRPプロデューサが外部ポートレット・ドメインにある複合トポロジの場合にWS-Securityを構成する方法を説明します(図36-11を参照)。
複数のドメインが含まれる複合トポロジの場合にWS-Securityを構成する手順は、次の各項で説明しています。
この項のフロー・チャート(図36-12)と表(表36-5)は、複数ドメインの複合トポロジでWS-Securityを構成するために必要な前提条件とタスクの概要を示しています。
表36-5は、複合トポロジの場合にWS-Securityを構成するためのタスクとサブタスクを示しています。
表36-5 複合トポロジの場合のWS-Securityの構成
担当者 | タスク | サブタスク | ノート |
---|---|---|---|
管理者 |
1. WebCenter Portalドメイン・キーストアの設定 |
1.a WebCenter Portalドメイン・キーストアの作成 |
|
1.b キーストアの構成 |
. |
||
2. ディスカッション・サーバーの構成 |
2.a ディスカッション・エンドポイントの保護 |
||
2.b ディスカッション・サーバー・キーストアの作成 |
|||
2.c 資格証明ストアの更新 |
|||
2.d ディスカッション・サーバー接続の構成 |
. |
||
3. 1つ目のSOAドメインの設定 |
3.a 1つ目のSOAドメイン・キーストアの作成 |
||
3.b 1つ目のSOAドメイン・キーストアの構成 |
|||
4. 2つ目のSOAドメインの設定 |
4.a 2つ目のSOAドメイン・キーストアの作成 |
||
4.b 2つ目のSOAドメイン・キーストアの構成 |
|||
4.c ワークリスト接続の構成 |
|||
5. 外部ポートレット・ドメイン・キーストアの設定 |
5.a 外部ポートレット・ドメイン・キーストアの作成 |
||
5.b 外部ポートレット・ドメイン・キーストアの構成 |
|||
6. 外部WebCenterドメイン・キーストアの設定 |
6.a 外部WebCenterドメイン・キーストアの作成 |
||
6.b Portal Frameworkアプリケーションの外部ドメイン・キーストアの構成 |
Javaキーストア(JKS)を使用して、WebCenter Portal、ディスカッション・サーバー、BPELサーバー(別のドメイン内)およびWSRPプロデューサ(これも別のドメイン内)のセキュリティ資格証明を取得および管理できます。キーストアとは、使用可能な公開鍵および秘密鍵の情報を提供するファイルです。キーは、認証やデータ整合性など、様々な目的に使用されます。また、ユーザー証明書や、ピア証明書の検証に必要なトラスト・ポイントも、ウォレットまたはキーストアにセキュアに格納されます。JKSの詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドを参照してください。
この項には次のサブセクションが含まれます:
この項では、Javaキーストア(JKS)を使用してキーストアおよびキーを作成する方法について説明します。JKSは、Sun Microsystemsにより定義された独自仕様のキーストア形式です。JKSでキーおよび証明書を作成して管理するには、Java JDK 6とともに配布されるkeytool
ユーティリティを使用します。
WebCenter PortalドメインおよびFrameworkキーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、webcenter
キーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias webcenter
-keypass key_password -keystore keystore -storepass keystore_password -validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=spaces,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias webcenter -keystore wecenter.jks
-storepass keystore_password -rfc -filewebcenter_public.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
orakey
証明書をインポートします。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks
-storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.2.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.2.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表36-6は、キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表36-6 複合トポロジの場合のWebCenter Portalドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOA 1ドメインで使用される |
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter PortalからWebCenter Portalアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WebCenter Portal Webサービスに対してWebサービス・コールを行うPortal Frameworkアプリケーションをホストする外部WebCenterドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalから外部WebCenterドメイン内のPortal Frameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
|
ディスカッションをホストする外部ディスカッション・ドメインで使用される外部owc_discussions秘密鍵に対応する公開鍵が含まれる証明書です。この証明書はディスカッションWebサービスに対してWebサービス・コールを行うWebCenter PortalおよびPortal Frameworkアプリケーションによって使用されます。 |
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図36-13を参照)。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図36-14を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./webcenter.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: webcenter
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: webcenter
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジでは、ディスカッション・サーバーはWebCenter Portalとは異なるドメインにあるため、ディスカッション・サーバーにキーストアを作成して構成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートする必要があります。本番環境では、ディスカッションのWebサービス・エンドポイントをOWSMポリシーで保護し、ディスカッション・サーバー接続設定を構成する必要もあります。それらの設定手順は、次の各項で説明します。
注意: Portal Frameworkアプリケーションからディスカッション・サーバーに送信されるディスカッション固有のWebサービス・メッセージは暗号化されません。メッセージの機密保護のため、Secure Socket Layer (SSL)を介してディスカッション・サーバーのURLにアクセスする必要があります。詳細は、第35章「SSLの構成」を参照してください。 |
ディスカッションのWebサービス・エンドポイントでは、WebCenter Portalから発信されるコールに対してユーザー・アイデンティティを伝播する必要があります。第36.1.3.2項「ディスカッション・エンドポイントの保護」の手順に従い、Fusion Middleware ControlまたはWLSTを使用してこれらのエンドポイントを保護します。
この項では、OWSMで使用されるキー・ペアが含まれるキーストアをディスカッション・サーバーに作成し、公開鍵が含まれる証明書をエクスポートして、それをWebCenter Portalドメインにインポートできるようにする方法を説明します。
owc_discussions
キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、owc_discussions
キーストアにキー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias owc_discussions
-keypass key_password -keystore keystore -storepass keystore_password -validity
days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=owc_discussions,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストア名です(例: owc_discussions.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias owc_discussions -keystore owc_discussions.jks
-storepass keystore_password -rfc -fileowc_discussions_public.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
webcenter_public
証明書をインポートします。
keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
owc_discussions_public
証明書をインポートします。
keytool -importcert -alias owc_discussions_public -file
owc_discussions_public.cer -keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.3.3項「資格証明ストアの更新」で説明しているように、WLSTを使用して資格証明ストアを更新し、続行します。
WebCenter Portalドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
<!-- KeyStore Service Instance -->
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks">
<description>Default JPS Keystore Service</description>
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./webcenter.jks
を指定します。
<serviceInstance name="keystore" provider="keystore.provider" location="./webcenter.jks">
<description>Default JPS Keystore Service</description>
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="owc_discussions", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="owc_discussions", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
第12.3項「ディスカッション・サーバーの登録」で説明しているように、WebCenter Portalまたは使用しているPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定する必要があります。 図36-15は、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を示しています。
この項では、SOAドメイン・キーストアの設定方法について説明します。この項の内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
WebCenter Portalドメインから公開証明書(webcenter_public.cer
)をインポートして、キーストアを作成します。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias bpel -keypass
key_password -keystore bpel.jks -storepass keystore_password -validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=bpel,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass keystore_password -rfc -file orakey.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
再度WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がorakey
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias orakey -file orakey.cer -keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
証明書をSOAドメインにインポートします。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer
-keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.4.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表36-7は、SOA 1ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表36-7 複合トポロジの場合のSOA 1ドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
SOA 1ドメインのサーバーからのアウトバウンド・メッセージの署名に使用される秘密鍵です。この鍵は、SOA 1ドメインのSOAサーバーにデプロイされているワークリスト・アプリケーションによって使用されます。 |
|
WebCenter Portalドメインで使用される |
SOAドメイン・キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.4.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
bpel.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./bpel.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.4.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図36-16を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./bpel.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: bpel
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: bpel
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、2つ目のSOAドメイン・キーストアを設定する方法について説明します。内容は次のとおりです。
この項では、Javaキーストア(JKS)を使用してSOAドメイン・キーストアおよびキーを作成する方法について説明します。
SOAドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、メッセージの署名と暗号化のためにSOAドメインで使用するキーペアを作成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias soa_server3
-keypass key_password -keystore soa_server3.jks -storepass keystore_password
-validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=soa_server3,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
別名orakey
を使用してWebCenter Portalドメインにインポートできるように証明書をエクスポートします。
keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks
-storepass keystore_password -rfc -filesoa_server3_public_key.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がsoa_server3_public_key
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias soa_server3_public_key -file soa_server3_public_
key.cer -keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
soa_server3_public_key
証明書をインポートします。
keytool -importcert -alias soa_server3_public_key -file
soa_server3_public_key.cer -keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
producer_public_key
証明書をインポートします。
keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
external_webcenter_custom_public_key
証明書をインポートします。
keytool -importcert -alias external_webcenter_custom_public_key -file
external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass
keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.5.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
表36-8は、SOA 2ドメイン・キーストアの作成および構成後に確認する必要のあるキーストアのコンテンツを示しています。
表36-8 複合トポロジの場合のSOA 2ドメイン・キーストアのコンテンツ
キーの別名 | 説明 |
---|---|
|
WebCenter Portalからのアウトバウンド・メッセージの署名と暗号化に使用されるキー・ペアです。このキーは、OWSM (ポートレットおよびワークリスト)とディスカッションの両方で使用されます。 |
|
SOA 1ドメインで使用される |
|
SOA 2ドメインで使用されるsoa_server3秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、ワークリスト・コンポーネントからSOA 2ドメイン内のBPEL Server2へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WSRPプロデューサ1アプリケーションをホストする外部ポートレット・ドメインで使用されるプロデューサ秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter PortalからWebCenter Portalアプリケーションに登録されているWSRPプロデューサ1へのアウトバウンド・メッセージの暗号化に使用されます。 |
|
WebCenter Portal Webサービスに対してWebサービス・コールを行うPortal Frameworkアプリケーションをホストする外部WebCenterドメインで使用されるexternal_webcenter_custom秘密鍵に対応する公開鍵が含まれる証明書です。この証明書は、WebCenter Portalから外部WebCenterドメイン内のPortal Frameworkアプリケーションへのアウトバウンド・メッセージの暗号化に使用されます。 |
2つ目のSOAドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.5.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
soa_server3.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./soa_server3.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.5.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、SOAドメインをクリックします。
「SOAドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図36-17を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./soa_server3.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: soa_server3
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: soa_server3
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
通常、ワークリスト接続では、oracle/wss10_saml_token_with_message_protection_client_policy
ポリシーを使用して、SOAサーバーへのアウトバウンドSOAPメッセージが保護されます。ただし、WebCenter Portalドメインで複数のワークリスト接続が同時に使用される複合デプロイメントの場合は、追加のOWSMポリシーを作成して、受信者キーの別名が、WebCenter Portal側の目的のSOAサーバーの証明書の別名と一致するように、そのポリシーを構成する必要があります。
複数のワークリスト接続を同時に使用するには、次の手順を実行します。
外部SOAドメインから証明書をエクスポートし、それを新規別名(次の例ではsoa_server3_key
)でWebCenter Portalドメインにインポートします。
Fusion Middleware Controlを使用して新規OWSMポリシーを作成し、前の手順と同じ別名を使用するように受信者キーの別名をオーバーライドします。
Fusion Middleware Controlで、「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。
「Webサービス・ポリシー」ページが表示されます(図36-18を参照)。
新規ポリシー作成のベースとして使用するクライアント・ポリシーを選択して、「類似作成」をクリックします。
「ポリシーの作成」ページが表示されます(図36-19を参照)。
新規ポリシーの名前(たとえば、oracle_wss10_saml_token_with_message_protection_client_policy_soa_server3
)を入力して、「保存」をクリックします。
「Webサービス・ポリシー」ページに、新規ポリシーが表示されます。
「Webサービス・ポリシー」ページで、新規ポリシーを選択して、「編集」をクリックします。
「ポリシーの編集」ページで、「構成」タブを開き、「編集」をクリックします。
受信者キーの別名を値soa_server3_key
でオーバーライドして、「保存」をクリックします。
BPEL接続を作成し、次のWLSTコマンドを使用して、前の手順で作成したポリシーにセキュリティ・ポリシーを設定します。
setBPELConnection(appName='webcenter',
name='WebCenter-Worklist-SOAServer3',url='<your_url>',
policy='oracle/wss10_saml_token_with_message_protection_client_policy_soa_server3')
この項では、この複合トポロジのWSRPプロデューサの1つで使用されている外部ポートレット・ドメインにキーストアを設定する方法を説明します。
この項には次のサブセクションが含まれます:
外部ポートレット・ドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenter Portalドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore producer.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias producer
-keypass key_password -keystore producer.jks -storepass keystore_password
-validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=producer,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore
は、キーストア名です(例: webcenter.jks
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
WebCenter Portalドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias producer -keystore producer.jks -storepass
keystore_password -rfc -file producer_public_key.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がproducer_public_key
の既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.6.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部ポートレット・ドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.6.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
producer.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認して、locationとして./producer.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm", password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.6.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図36-20を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./producer.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: producer
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: producer
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
この項では、WebCenter Portal Webサービス・コールを行うPortal Frameworkアプリケーションで使用される外部WebCenterドメインを設定する方法を説明します。
この項には次のサブセクションが含まれます:
外部WebCenterドメイン・キーストアを作成するには:
JDK_HOME
/jdk/bin
に移動し、コマンド・プロンプトを開きます。
keytoolを使用して、WebCenterドメインの公開証明書をインポートすることでキーストアを生成します。
keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです。
keytoolを使用して、キー・ペアを生成します。
keytool -genkeypair -keyalg RSA -dname "consumer_dname" -alias
external_webcenter_custom -keypass key_password -keystore
external_webcenter_custom.jks -storepass keystore_password -validity days_valid
ここで:
consumer_dname
は、コンシューマの名前です(例: cn=external_webcenter_custom,dc=example,dc=com
)。
key_password
は、新規公開鍵のパスワードです(例: MyPassword
)。
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
days_valid
は、キーのパスワードが有効な日数です(例: 1064
)。
注意: キーを生成するために |
WebCenter Portalドメインのキーストアにインポートできるように、公開鍵が含まれる証明書をエクスポートします。
keytool -exportcert -v -alias external_webcenter_custom -keystore external_
webcenter_custom.jks -storepass keystore_password -rfc -file external_
webcenter_custom_public_key.cer
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
WebCenter Portalドメインに、異なる別名で証明書をインポートします(別名がexternal_webcenter_custom_public_keyの既存の証明書を上書きするかどうかを尋ねられたら「Yes」を選択します)。
keytool -importcert -alias external_webcenter_custom_public_key -file
external_webcenter_custom_public_key.cer -keystore webcenter.jks
-storepass keystore_password
ここで:
keystore_password
は、キーストアのパスワードです(例: MyPassword
)。
第36.3.7.2項「WLSTを使用したキーストアの構成」で説明しているようにWLSTを使用して、または第36.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明しているようにFusion Middleware Controlを使用して、キーストアを構成し、続行します。
外部WebCenterドメイン・キーストアの作成後に、キーストア・サービスを構成して、資格証明ストアを更新し、OWSMでキーストアおよびキーを正常に読み取れるようにします。これは、第36.3.7.3項「Fusion Middleware Controlを使用したキーストアの構成」で説明されているとおりにFusion Middleware Controlを使用して、または次の説明のとおりにWLSTを使用して実行できます。
キーストア・サービスを構成するには:
<DOMAIN_HOME>
/config/fmwconfig
ディレクトリに移動し、エディタでjps-config.xml
ファイルを開きます。
keystore.provider
プロバイダの<serviceInstance
ノードを見つけます。
webcenter.jks
キーストア・ファイルが<DOMAIN_HOME>
/config/fmwconfig
ディレクトリにコピーされていることを確認し、locationとして./webcenter.jks
を指定します。
次のWLSTコマンドを使用して、資格証明ストアを更新します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="external_webcenter_custom",
password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key",
user="external_webcenter_custom", password="MyPassword", desc="Signing key")
すべてのサーバーを再起動します。
キーストアの作成後、OWSMがキーストアとキーを正しく読み取れるように、キーストア・サービスを構成し、資格証明ストアを更新します。これは、第36.3.7.2項「WLSTを使用したキーストアの構成」で説明されているとおりにWLSTを使用して、または次の説明のとおりにFusion Middleware Controlを使用して実行できます。
キーストア・プロバイダを構成するには:
Fusion Middleware Controlを開き、WebCenter Portalドメインにログインします。
Fusion Middleware Controlへのログインの詳細は、第6章「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、「WebLogicドメイン」ノードを開き、WebCenter Portalドメイン(デフォルトではwc_domain
)をクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページで「キー・ストア」セクションを開きます。
「構成」をクリックします。
「キーストアの構成」ページが表示されます(図36-21を参照)。
次の設定を使用して、証明書と秘密鍵を含むキーストアの場所、および署名鍵と暗号化鍵の別名を指定します。
キーストア・パス: ./external_webcenter_custom.jks
パスワード: キーストアのパスワードを入力し、確認のためにもう一度入力します。
キーの別名: external_webcenter_custom
署名のパスワード: 署名鍵のパスワードを入力し、確認のためにもう一度入力します。
暗号化の別名: external_webcenter_custom
暗号化のパスワード: 暗号化鍵のパスワードを入力し、確認のためにもう一度入力します。
「OK」をクリックして、設定を保存します。
ドメインの管理サーバーを再起動します。
複合トポロジの場合にキーストアおよびDFプロパティを迅速に構成するには、次のコマンド・サマリーを使用します。
キーストアの生成
次のkeytool
コマンドを使用して、キーストアを生成し、太字で示した値をローカル環境の値に置き換えます。
keytool -genkeypair -keyalg RSA -dname "cn=spaces,dc=example,dc=com" -alias
webcenter -keypass MyPassword -keystore webcenter.jks -storepass MyPassword -validity 1064 keytool -exportcert -v -alias webcenter -keystore webcenter.jks -storepass
MyPassword -rfc -file webcenter_public.cer keytool -importcert -alias df_webcenter_public -file webcenter_public.cer
-keystore owc_discussions.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias webcenter_spaces_ws -file webcenter_public.cer
-keystore bpel.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=bpel,dc=example,dc=com" -alias bpel
-keypass MyPassword -keystore bpel.jks keytool -exportcert -v -alias bpel -keystore bpel.jks -storepass MyPassword -rfc -file orakay.cer keytool -importcert -alias orakey -file orakay.cer -keystore webcenter.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=soa_server3,dc=example,dc=com" -alias
soa_server3 -keypass MyPassword -keystore soa_server3.jks -storepass MyPassword
-validity 1024 keytool -exportcert -v -alias soa_server3 -keystore soa_server3.jks -storepass
MyPassword -rfc -file soa_server3_public_key.cer keytool -importcert -alias soa_server3_public_key -file soa_server3_public_key.cer
-keystore webcenter.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias webcenter_public -file webcenter_public.cer -keystore
producer.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=producer,dc=example,dc=com" -alias
producer -keypass MyPassword -keystore producer.jks -storepass MyPassword -validity 1024 keytool -exportcert -v -alias producer -keystore producer.jks
-storepass MyPassword -rfc -file producer_public_key.cer keytool -importcert -alias webcenter_public -file webcenter_public.cer
-keystore external_webcenter_custom.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -genkeypair -keyalg RSA -dname "cn=external_webcenter_custom,dc=example,dc=com"
-alias external_webcenter_custom -keypass MyPassword -keystore external_webcenter_custom.jks
-storepass MyPassword -validity 1024 keytool -exportcert -v -alias external_webcenter_custom -keystore
external_webcenter_custom.jks -storepass MyPassword -rfc -file
external_webcenter_custom_public_key.cer keytool -importcert -alias producer_public_key -file producer_public_key.cer
-keystore webcenter.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
keytool -importcert -alias external_webcenter_custom_public_key -file
external_webcenter_custom_public_key.cer -keystore webcenter.jks -storepass MyPassword
証明書を信頼するかを尋ねられたら、yes
と答えます。
webcenter.jks
をdomain_home/config/fmwconfig
ディレクトリに、bpel.jks
をSOA1_domain_home/config/fmwconfig
ディレクトリに、soa_server3.jks
をSOA_2_domain_home/config/fmwconfig
ディレクトリに、producer.jks
をExternal_Portlet_domain_home/config/fmwconfig
ディレクトリに、およびexternal_webcenter_custom.jks
をExternal_WebCenter_domain_home/config/fmwconfig
ディレクトリにコピーします。
WebCenter Portalドメイン・キーストアの構成
次の手順に従って、WebCenter Portalドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./webcenter.jks
を指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="webcenter",
password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="webcenter",
password="MyPassword", desc="Signing key")
外部ディスカッション・サーバー・ドメイン・キーストアの構成
次の手順に従って、ディスカッション・サーバーのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、webcenter.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./owc_discussions.jks
を指定します。
WLSTを使用して、管理者としてWebCenter Portalドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key",
user="owc_discussions", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key",
user="owc_discussions", password="MyPassword", desc="Signing key")
SOA1ドメイン・キーストアの構成
次の手順に従って、SOA1ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、bpel.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./bpel.jks
を指定します。
WLSTを使用して、SOA1ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="bpel",
password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="bpel",
password="MyPassword", desc="Signing key")
SOA2ドメイン・キーストアの構成
次の手順に従って、SOA2ドメインのサービス・インスタンス参照を構成します。
<DOMAIN_HOME>/config/fmwconfig
ディレクトリに移動します。
まだ実行していない場合は、soa_server3.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./soa_server3.jks
を指定します。
WLSTを使用して、SOA2ドメインに管理ユーザーとして接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="soa_server3",
password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="soa_server3",
password="MyPassword", desc="Signing key")
外部ポートレット・プロデューサ・ドメイン・キーストアの構成
次の手順に従って、外部ポートレット・プロデューサ・ドメイン・キーストアおよび外部WebCenterドメイン・キーストアのサービス・インスタンス参照を構成します。
外部ポートレット・プロデューサ・ドメインの<DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、producer.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./producer.jks
を指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key", user="producer",
password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key", user="producer",
password="MyPassword", desc="Signing key")
外部WebCenterドメインの<DOMAIN_HOME>/config/fmwconfig
ディレクトリにナビゲートします。
まだ実行していない場合は、producer.jks
を<DOMAIN_HOME>/config/fmwconfig
ディレクトリにコピーします。
エディタでjps-config.xml
を開きます。
keystore.providerプロバイダの<serviceInstanceノード
を見つけます。
locationとして./external_webcenter_custom.jks
を指定します。
WLSTを使用して、管理者として外部ポートレット・プロデューサ・ドメインに接続し、次のコマンドを実行します。
updateCred(map="oracle.wsm.security", key="keystore-csf-key", user="owsm",
password="MyPassword", desc="Keystore key") updateCred(map="oracle.wsm.security", key="enc-csf-key",
user="external_webcenter_custom", password="MyPassword", desc="Encryption key") updateCred(map="oracle.wsm.security", key="sign-csf-key",
user="external_webcenter_custom", password="MyPassword", desc="Signing key")
ディスカッション・サーバー接続の構成
第12.3項「ディスカッション・サーバーの登録」で説明しているように、WebCenter Portalまたは使用しているPortal Frameworkアプリケーションに構成されているディスカッション・サーバーの接続にWS-Securityクライアント証明書情報を指定します。 また、第36.3.3.4項「ディスカッション・サーバーの接続設定の構成」で、「ディスカッションおよびお知らせ接続の編集」ページの接続詳細設定の例を参照してください。
この項では、WebCenter Portal APIを公開するアプリケーション(コンシューマ)とWebCenter Portal (プロデューサ)の間の通信のセキュリティが確保され、それらのAPIを呼び出すユーザーのアイデンティティが保護されるように、WebCenter PortalにWS-Securityを構成する場合に必要な管理者タスクについて説明します。
WebCenter PortalクライアントAPIを使用するアプリケーション開発のための開発者タスクの詳細は、『Oracle Fusion Middleware Oracle WebCenter PortalおよびOracle Jdeveloperでのポータルの開発』のWebCenter Portal APIを使用するようにPortal Frameworkアプリケーションを設定する方法に関する項を参照してください。
この項には次のサブセクションが含まれます:
クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがJDeveloperであり、WebCenter Portalサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.1.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("orakey");
クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperであり、WebCenter Portalサーバーの構成済キーストアにアクセスできる場合は、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーし、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.2.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがWebCenter Portalと同じドメインの一部である場合は、GroupSpaceWSContext()
に対して次のコマンドを設定するだけで済みます。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");
クライアント・アプリケーションがJDeveloperの場合、同じキーストアをJDeveloperのDefaultDomain/config/fmwconfig/dir
にコピーして、このキーストアを使用するようにJDeveloperドメインを構成します。ここで必要な手順は、第36.3.2.2項「WLSTを使用したキーストアの構成」のものとまったく同じであり、その上で、クライアント・スタブに次のコマンドを指定する必要があります。
GroupSpaceWSContext context = new GroupSpaceWSContext(); context.setRecipientKeyAlias("webcenter");