SSL証明書の作成

このトピックでは、generate_ssl_keysユーティリティを実行する方法について説明します。

このユーティリティを実行する前に、キーに強いパスフレーズが選択されていることを確認してください。ユーティリティの構文の詳細は、「キー生成ユーティリティの構文」を参照してください。

重要: Endeca Serverクラスタをデプロイする場合、SSL証明書は必ず、管理サーバーにEndeca Serverをインストールした後、管理サーバーのクローンを作成して、Endeca Serverアプリケーション用に構成されたWebLogicドメインに管理対象サーバーを作成する前に生成してください。

SSL証明書を生成する手順は次のとおりです。

  1. WebLogicのEndeca Serverドメインの管理サーバーを起動します。

    起動プロシージャでは、WebLogicドメインを作成したときに指定した管理者ユーザー名とパスワードを求められます。

  2. コマンド・プロンプトから、$DOMAIN_HOME/EndecaServer/binディレクトリに移動します。
  3. ドメインのユーザー名とパスワードを使用してgenerate_ssl_keysユーティリティを実行し、証明書のパスフレーズを指定します。次に例を示します。 
    generate_ssl_keys --username ESUser --password welcome1 --sslPassphrase thx1138

    次の文で終了するメッセージによって、手順が正常に実行されたことが示されます。 

    The following non-dynamic attribute(s) have been changed on MBeans
that require server re-start:
MBean Changed : com.bea:Name=AdminServer,Type=SSL,Server=AdminServer
Attributes changed : HostnameVerificationIgnored, JSSEEnabled

Activation completed

Done! Your WLS server(s) may need to be restarted for
all changes to take effect.
  4. WebLogic管理サーバーを停止してから再起動します。
generate_ssl_keysユーティリティでは、$DOMAIN_HOME/config/sslディレクトリに次のSSL証明書を作成します。
  • dgraphCA.pem: Endeca Serverとの通信チャネルの別のエンドポイントを認証するためすべてのクライアントおよびサーバーにより使用される認証局ファイル。Dgraph --sslcafileフラグとともに使用されます。
  • dgraphCert.pem: SSLを使用してOracle Endeca Serverに接続する際にIDを指定するためすべてのクライアントおよびサーバーにより使用される証明書ファイル。この証明書は、Dgraphで強化されたシステムのIDとして、またはシステムのすべてのコンポーネントのIDとして考える必要があります。Dgraph --sslcertfileフラグとともに使用されます。
  • endecaServerCerts.ks: Java IDキーストア。
  • endecaServerClientCert.ks: Endeca Serverクライアントで使用されるJavaキーストア。EndecaCmd.propertieskeystoreパラメータに使用されます。
  • endecaServerTrustStore.ks: Endeca Serverクライアントに使用されるJavaトラストストア。EndecaCmd.propertiestruststoreパラメータに使用されます。
  • esClientCert.p12: Microsoft Internet Explorerなどのブラウザへのインポート用の個人情報交換(PKCS12フォーマット)キー・ファイル。このクライアント・キーには独自のパスワードがあり、これはユーザーが入力したパスフレーズにclientkeyが付加されたものです。
SSLキーの生成に加え、このユーティリティは次の操作を実行します。
  • キー・ファイルのパス名により、EndecaServer.propertiesおよびEndecaCmd.propertiesファイル($DOMAIN_HOME/configディレクトリ内)を更新します。
  • WebLogic Serverで7002のSSLリスニング・ポートを有効にし、Endeca Serverが起動されるポートとして7002を設定します。
  • 管理サーバーに対し、カスタムIDキーストアとしてendecaServerCerts.ksを設定し、カスタム信頼キーストアとしてendecaServerTrustStore.ksを設定します。両方の設定は、管理サーバーの「キーストア」タブで表示できます。
  • 管理サーバーに対し、秘密鍵の別名としてOracle Endeca Server証明書を設定します。設定は、管理サーバーの「SSL」タブで表示できます。

SSLポート7002が有効になっているにもかかわらず、ブラウザにesClientCert.p12証明書をインポートせずに管理コンソールに接続できるように、非SSL (HTTP)ポート7001は有効なままであることに注意してください。