WebLogic ServerでのIASに対するSSLの有効化

この手順では、WebLogic Serverで動作するIASアプリケーションを保護する方法について説明しています。これによって、どのIASクライアントからでもIASへのセキュアな接続が可能となります。セキュアな接続は、相互認証またはサーバーのみによる認証のいずれかによって可能です。

このタスクでは、キーストア・ファイルおよびトラストストア・ファイルの作成をすでに完了済している必要があります。

注意: 簡略化のために、次のパスはWindows構文を使用しています。UNIXパスの場合も同様です。

WebLogic ServerのIASに対してSSLを有効化するには、次の手順を行います。

  1. WebLogic ServerのIASアプリケーションを停止します。

    たとえばコマンド・プロンプトから、C:\Oracle\Middleware\user_projects\domains\ias\binstopWebLogicを実行します。

  2. WebLogic Serverを実行しているマシンに、キーストア・ファイルおよびトラストストア・ファイルを格納するためのディレクトリを作成します。

    <IAS domain>\config配下にsslディレクトリを作成することをお薦めします。

    たとえばデフォルトのWindowsインストールでは、これはC:\Oracle\Middleware\user_projects\domains\ias\config\sslとなります。

  3. 以前に作成したキーストア・ファイルを<IAS domain>\config\sslにコピーします。
  4. 相互認証を有効化する場合は、以前に作成したトラストストア・ファイルも<IAS domain>\config\sslにコピーします。
  5. WebLogic Server管理コンソールを起動し、IASアプリケーション用のキーストア・ファイルおよびトラストストア・ファイルの場所を構成します。(この手順で、管理コンソールの「構成」 > 「キーストア」タブでパス、パスフレーズなどを指定します。)

    このWebLogicタスクは、http://docs.oracle.com/cd/E23943_01/apirefs.1111/e13952/taskhelp/security/ConfigureKeystoresAndSSL.htmlのWebLogicドキュメントで説明されています。

  6. WebLogic Server管理コンソールで、IASアプリケーション用に秘密鍵の別名とパスワード値を構成します。(これらの値は、管理コンソールの「構成」 > 「SSL」タブで設定します。)
  7. WebLogic Server管理コンソールで、SSLリスニング・ポートを有効化し、ポート番号8402を指定します。(これらの値は、管理コンソールの「構成」 > 「一般」タブで設定します。)
  8. 相互認証を有効化する場合は、管理コンソールで「相互クライアント証明書の動作」設定も構成します。(これらの値は、管理コンソールの「構成」 > 「SSL」 > 「詳細」セクションで設定します。)

    このWebLogicタスクは、http://docs.oracle.com/cd/E23943_01/apirefs.1111/e13952/taskhelp/security/ConfigureTwowaySSL.htmlのWebLogicドキュメントで説明されています。

  9. IASドメイン環境スクリプトを変更して、SSL設定を有効化します。
    1. Windowsの場合は<install path>\IAS\<version>\binに、UNIXの場合は<install path>/IAS/<version>/binに移動します。
    2. テキスト・エディタで、setIasEnv.cmd (Windowsの場合)またはsetIasEnv.sh (UNIXの場合)のどちらかを開きます。
    3. トラストストアの場所(-Djavax.net.ssl.trustStore)、タイプ(-Djavax.net.ssl.trustStoreType)およびパスワード(-Djavax.net.ssl.trustStorePassword)に関して、Javaオプションをコメント解除します。
    4. トラストストアの場所のパス、タイプおよびパスワード値に関して、ご使用の環境に適するように、次に列挙したトークンを置換します。
      プロパティ 置換対象のトークン
      javax.net.ssl.trustStore @TRUSTSTORE_FILE@
      javax.net.ssl.trustStoreType JKS
      javax.net.ssl.trustStorePassword @TRUSTSTORE_PASSWORD@

      たとえばWindowsでは、次のようにオプションをコメント解除して変更します。

      REM Set the JVM default trust store and key store locations.
      SET JVM_ARGS=-Djavax.net.ssl.trustStore="C:\Oracle\Endeca\IAS\workspace\conf\truststore.ks" %JVM_ARGS%
      SET JVM_ARGS=-Djavax.net.ssl.trustStoreType=JKS %JVM_ARGS%
      SET JVM_ARGS=-Djavax.net.ssl.trustStorePassword=endeca %JVM_ARGS%

      たとえばUNIXでは、次のようにオプションをコメント解除して変更します。

      # Setup the Trust Store
      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.trustStore=$IAS_WORKSPACE/conf/truststore.ks"
      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.trustStoreType=JKS"
      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.trustStorePassword=endeca"
    5. 相互認証を有効化した場合、キーストア場所(-Djavax.net.ssl.keyStore)、タイプ(-Djavax.net.ssl.keyStoreType)およびパスワード(-Djavax.net.ssl.keyStorePassword)に関してJavaオプションをコメント解除します。
    6. キーストア・オプションをコメント解除した場合、キーストアの場所のパス、タイプおよびパスワード値に関して、ご使用の環境に適するように、次に列挙したトークンを置換します。
      プロパティ 置換対象のトークン
      javax.net.ssl.keyStore @KEYSTORE_FILE@
      javax.net.ssl.keyStoreType JKS
      javax.net.ssl.keyStorePassword @KEYSTORE_PASSWORD@

      たとえばWindowsでは、次のようにオプションをコメント解除して変更します。

      SET JVM_ARGS=-Djavax.net.ssl.keyStore="C:\Oracle\Endeca\IAS\workspace\conf\keystore.ks" %JVM_ARGS%
      SET JVM_ARGS=-Djavax.net.ssl.keyStoreType=JKS %JVM_ARGS%
      SET JVM_ARGS=-Djavax.net.ssl.keyStorePassword=endeca %JVM_ARGS%

      たとえばUNIXでは、次のようにオプションをコメント解除して変更します。

      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.keyStore=$IAS_WORKSPACE/conf/keystore.ks"
      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.keyStoreType=JKS"
      JVM_ARGS="$JVM_ARGS -Djavax.net.ssl.keyStorePassword=endeca"
    7. setIasEnv.cmd (Windowsの場合)またはsetIasEnv.sh (UNIXの場合)を保存して閉じます。
  10. WebLogic ServerでIASを再起動します。
    たとえばコマンド・プロンプトから、C:\Oracle\Middleware\user_projects\domains\ias\binstartWebLogicを実行します。

Webブラウザを起動してSSLポートでIAS Server WSDLをロードすることによって、あるいはリダイレクトを有効化している場合は、これを非SSLポートでロードすることによって、IASアプリケーションに対してSSLが有効化されていることを確認できます。たとえば、https://<hostname>:8402/ias-server/ias/?wsdlを指定するか、またはリダイレクトを有効化している場合はhttp://<hostname>:8401/ias-server/ias/?wsdlを指定します。次のWSDLが表示されます。

<?xml version="1.0" encoding="UTF-8" ?> 
- <wsdl:definitions name="IasCrawlerService" targetNamespace="http://endeca.com/eidi/ias/2011-12" xmlns:ns1="http://schemas.xmlsoap.org/soap/http" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:tns="http://endeca.com/eidi/ias/2011-12" xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
- <wsdl:types>
...