Integrator Acquisition SystemでのSSLの構成について

Integrator Acquisition SystemでSSLを構成すると、すべてのIASコンポーネント間でのSSL通信が可能になります。

次に示されているのは、WebLogic Serverインストール環境でIASに対してSSLを構成するための高レベルなプロセスです。
  1. WebLogic ServerのIASに対してSSLを有効化します。オプションで、相互認証を有効化します。
  2. オプションで、HTTPSリダイレクトを有効化します。
  3. IASコマンドライン・ユーティリティに対してSSLを有効化します。
  4. SSLに対応したレコード・ストア・インスタンスに書込みをするために、Endeca Web Crawlerを有効化します。
Jetty Webサーバーのインストール向けの高レベルのプロセスは、WebLogicでIASアプリケーションのかわりにEndeca IAS Serviceを保護すること以外は、非常に類似しています。
  1. Endeca IAS Serviceに対してSSLを有効化します。オプションで、相互認証を有効化します。Jettyでは、HTTPSリダイレクトはデフォルトで有効化されています。
  2. IASコマンドライン・ユーティリティに対してSSLを有効化します。
  3. SSLに対応したレコード・ストア・インスタンスに書込みをするために、Endeca Web Crawlerを有効化します。

HTTPSリダイレクト

HTTPSリダイレクトの有効化はオプションですが、IAS構成を簡略化するために強くお薦めします。インストール中にデフォルトのIASポートを使用でき、それからデフォルト・ポート(HTTP)からセキュア・ポート(HTTPS)にリクエストをリダイレクトするための最小限の構成を実行します。

Jetty Webサーバー・インストールでは、IAS構成ファイルにはデフォルトでHTTPSリダイレクトが有効化されています。WebLogic Serverインストールでは、「WebLogic ServerでのIASに対するHTTPSリダイレクトの有効化」を参照してください。

相互認証およびサーバーのみの認証

Integrator Acquisition Systemは、相互認証(クライアントとサーバー間の双方向認証とも呼ぶ)とサーバーのみの認証(サーバーからクライアントへの一方向認証とも呼ぶ)の両方をサポートしています。ご使用の環境を相互認証に構成することをお薦めします。

相互認証には、IASクライアント向けのキーストアおよびトラストストアが必要です。サーバーのみの認証には、トラストストア構成のみが必要です。

SSLバージョン3.0

The Integrator Acquisition Systemは、Secure Sockets Layer (SSL)プロトコルのバージョン3.0をサポートしています。

enecerts、Java keytoolおよび完全修飾ホスト名について

IASに対して使用されるSSL証明書は、IASを実行するサーバーの完全修飾ホスト名に対して発行される必要があります。完全修飾ホスト名は、サーバー証明書における最初の共通名(CN)または任意のサブジェクトの代替名と一致する必要があります。CNおよび任意のサブジェクトの代替名には、ワイルドカードを使用できます。また証明書は、*.endeca.comのようにワイルドカードを指定することによって、あるドメインにおけるすべてのホストに対して発行可能です。

generate_ssl_keysユーティリティ(WebLogic Server上で動作するEndeca Serverのドメインの一部として含まれる)を実行してキーストアおよびトラストストアを生成済の場合、キーストアおよびトラストストアには完全修飾ホスト名は含まれません。Java keytoolなどの他のユーティリティを使用して、独自のキーストアおよびトラストストアを生成する必要があります。これは、Windowsの場合は<install path>\Oracle\Endeca\IAS\<version>\java\bin\keytool.exeに、UNIXの場合はusr/local/oracle/endeca/IAS/<version>/java/bin/keytool.shに格納されているIASとともにインストールされたJavaインスタンスの一部として利用可能です。

Java keytoolの実行時に、プロンプト「姓名を入力してください。」に対して、完全修飾ホスト名またはワイルドカードを指定します。次に例を示します。
Enter keystore password: endeca
What is your first and last name?
[Unknown]: machine.endeca.com

一般的に、ご使用の環境全体に対してはトラストストアを1つ作成し(複数エントリを含むことが可能)、マシンごとにキーストアを作成することをお薦めします。トラストストアを共通ディレクトリ(例: C:\Oracle\Endeca\truststore\truststore.ksまたは/usr/local/oracle/endeca/truststore/truststore.ks)に置き、IAS構成の場所を指し示すことができます。