| Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド 11gリリース2 (11.1.2.2) B71695-05 |
|
 前 |
 次 |
ポリシー配布は、Oracle Entitlements Server管理サーバーから指定されたセキュリティ・モジュールへ構成済のポリシーとポリシー・オブジェクトを配布するプロセスです。ポリシー配布に成功した後は、管理サーバーがオンラインでなくても、データを配布された各セキュリティ・モジュールがアクセス・リクエストを評価できます。ポリシーの評価によって、アクセス・リクエストに対して付与または拒否の認可決定が下されます。この章の内容は次のとおりです。
Oracle Entitlements Serverポリシー配布コンポーネントでは、アプリケーションおよびサービスを保護する個々のセキュリティ・モジュールへのポリシーの配布タスクを処理します。ポリシー・データは、制御された方法または制御されない方法のいずれかで配布されます。配布モードは、各セキュリティ・モジュールに対して、jps-config.xml構成ファイルで定義されます。指定した配布モードは、そのセキュリティ・モジュールにバインドされたすべてのアプリケーション・オブジェクトに適用可能です。詳細は、次の各項を参照してください。
セキュリティ・モジュールおよびサポートされているポリシー配布モードの詳細は、表8-1「セキュリティ・モジュールおよびサポートされているポリシー配布モード」を参照してください。
制御された配布は、ポリシー配布コンポーネントによって開始され、最後の配布以降に作成または変更されたポリシー・データをPDPクライアント(セキュリティ・モジュール)が受信することを保証します。この点において、配布は、新規または更新済のポリシー・データを配布するための明示的なアクションを実行する、ポリシー管理者によって制御されます。(ポリシー配布コンポーネントは、ポリシー変更および配布を追跡するバージョニング・メカニズムを維持します。)制御された配布を有効化すると、セキュリティ・モジュールは、ポリシー配布コンポーネントの配布を直接リクエストできません。
|
注意: セキュリティ・モジュールが開始し、それ自体を構成IDを持つポリシー配布コンポーネントに登録する場合は例外です。セキュリティ・モジュールにバインドされた適切なアプリケーションが(ポリシーの)配布の準備完了とマークされているかぎり、この登録に基づいてポリシーがセキュリティ・モジュールに配布されます。 |
制御された配布の場合、ポリシー配布コンポーネントは、ローカルの永続キャッシュ(ポリシー・オブジェクトを格納し、ポリシー・ストアから独立するためにPDPによって維持されているファイルベースのキャッシュ)にデータを格納するセキュリティ・モジュールに、新規または更新済のポリシー・データを配布します。ポリシー配布コンポーネントは、セキュリティ・モジュール・クライアントへの一定のライブ接続を維持しません。ポリシーを配布する前に接続を確立します。そのため、セキュリティ・モジュールは、ポリシーを決定する際にポリシー・ストアに依存しません。ポリシー・ストアがオフラインの場合、それ自体のローカル・キャッシュを使用できます。セキュリティ・モジュールが開始すると、ポリシー・ストアが使用可能かどうかチェックされます。使用不可の場合、セキュリティ・モジュールはローカルの永続キャッシュからポリシー・データを使用します。制御された配布では、ポリシー配布操作が失敗すると、ポリシー配布全体が失敗します。
|
注意: 制御された配布は、データベース・タイプのポリシー・ストアでのみサポートされ、LDAPベースのポリシー・ストアではサポートされません。LDAPポリシー・ストア用に配布APIが呼び出される場合、それは操作不能になります。 |
PDPクライアント(セキュリティ・モジュール)がポリシー・ストアからポリシーおよびポリシー変更を定期的に取得(プル)する場合、これは制御されない配布と呼ばれます。ポリシー変更がポリシー・ストアに保存されるとすぐに、制御されない配布によってポリシー変更が使用可能になります。制御されない配布は、セキュリティ・モジュールによって開始され、完了していないポリシーを取得することがあります。ポリシー・ストアは、オンラインで、制御されない配布に対して常に使用可能である必要があります。制御されない配布は、リレーショナル・データベース、LDAPディレクトリまたはXMLを含む任意のポリシー・ストア・タイプでサポートされます。
ポリシーの管理とポリシーの配布は、異なる操作です。ポリシー管理操作は、ポリシー・ストア内のポリシーを定義、変更および削除するために使用されます。ポリシー配布コンポーネントは、保護されたリソースへのアクセス権を付与または拒否するためにデータを使用するセキュリティ・モジュールで、ポリシーを使用可能にします。ポリシーは、配布されるまで適用できません。理論的には、ポリシー配布には、次のアクションのいずれかまたはすべてが含まれます。
ポリシー・ストアからのポリシーの読取り。
認可リクエスト処理中に使用するセキュリティ・モジュールによって維持されるメモリー内ポリシー・キャッシュにあるポリシー・オブジェクトのキャッシング。
ポリシー配布コンポーネントに対してローカルな、ポリシー・ストアから独立したファイルベースの永続キャッシュにあるポリシー・オブジェクトの保存。
中央のOracle Entitlements Server管理コンソールと、(保護されたアプリケーションに)ローカルにインストールされたセキュリティ・モジュールの両方に、ポリシー配布コンポーネントコンポーネントが含まれます。このアーキテクチャによって、次の2つのデプロイメント・シナリオが認められます。1つ目は、多くのセキュリティ・モジュールと通信できる集中ポリシー配布コンポーネントに関係し、2つ目は、1つのセキュリティ・モジュールに対してのみローカルで、1つのセキュリティ・モジュールとのみ通信するポリシー配布コンポーネントに関係します。
|
注意: ポリシー配布用のセキュリティ・モジュール・パラメータの構成の詳細は、A.1項「ポリシー配布構成」を参照してください。定義の作成およびセキュリティ・モジュールのバインドの詳細は、10.2項「セキュリティ・モジュール定義の構成」を参照してください。 |
次の各項では、詳細を説明します。
集中ポリシー配布コンポーネント・シナリオは、セキュリティ・モジュールのポリシー配布コンポーネント・クライアントと通信するサーバーとして機能する、(管理コンソール内の)ポリシー配布コンポーネントの使用に関係します。図6-1は、このシナリオで、セキュリティ・モジュールのポリシー配布コンポーネント・クライアントがポリシー・ストアと通信しない方法を示します。ポリシーの配布は、Oracle Entitlements Server管理者によって開始され、ポリシー配布コンポーネント・クライアントにプッシュされます。現在、6.1.1項「制御された配布」で説明しているように、制御された方法でのみデータをプッシュできます。このシナリオでは、多くのセキュリティ・モジュールと通信できる集中ポリシー配布コンポーネントが許可されます。
図6-1 Oracle Entitlements Serverポリシー配布コンポーネントの使用
ローカルの(セキュリティ・モジュールへの)シナリオは、ポリシー・ストアと直接通信するセキュリティ・モジュールのポリシー配布コンポーネントに関係します。このシナリオでは、ローカルのポリシー配布コンポーネントは、1つのセキュリティ・モジュールのみと通信できます。アプリケーションは、管理操作を管理し、ポリシー配布コンポーネントのセキュリティ・モジュール・インスタンスがポリシーまたはポリシー・デルタを配布するタイミングを決定します。このデプロイメントでは、図6-2に示すように、ポリシー配布コンポーネントは、(配布されるデータがあるかポリシー・ストアを定期的にチェックすることによって、)ポリシー・ストアからデータをプルし、ポリシー・ストアからポリシー・データを送信して、管理者が開始したポリシー配布の後にPDPに対して使用可能にします。
現在、6.1.1項「制御された配布」で説明しているような制御された方法、または、6.1.2項「制御されない配布」で説明しているような制御されない方法のいずれかで、データをプルできます。
|
注意: 大規模なポリシー・セットがセキュリティ・モジュールに配布される場合、パフォーマンスおよびスケーラビリティを高めるために、本番環境では制御プル・モードを使用することをお薦めします。 |
上位レベルから、ポリシーを配布できるポイント到達するように、次の手順を実行する必要があります。これらの手順を(管理コンソールまたはAPIから)使用してポリシーを配布する方法は、制御された配布でのみ有効です。制御されない配布用に構成されたセキュリティ・モジュールは、ポリシー・ストアから直接ポリシー・データを取得するので、明示的な配布は必要ありません。
セキュリティ・モジュール定義を作成します。
10.2.1項「セキュリティ・モジュール定義の作成」を参照してください。
定義を適切なアプリケーションにバインドします。
10.2.2項「セキュリティ・モジュールへのアプリケーションのバインド」を参照してください。セキュリティ・モジュールをバインド解除するには、10.2.3項「セキュリティ・モジュールからのアプリケーションのバインド解除」を参照してください。
「ホーム」領域でアプリケーションを開きます。
6.3.1項「管理コンソールを使用したポリシーの配布」を参照してください。
ポリシーを配布します。
6.3.1項「管理コンソールを使用したポリシーの配布」を参照してください。
ポリシーは、アプリケーション内から配布されます。次の手順では、管理コンソールを使用したポリシーの配布方法を説明します。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
配布するポリシーが含まれるアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」タブ、委任管理者タブおよびポリシー配布タブはすべてアクティブです。
ポリシー配布タブをクリックします。
「配布」をクリックします。
ポリシーは、アプリケーションにバインドされているすべてのセキュリティ・モジュールに配布されます。
「リフレッシュ」をクリックして、配布の進行状況を更新します。
Secure Sockets Layer (SSL)は、公開鍵暗号化テクノロジを使用して、サーバーのアイデンティティと信頼を確立および確認します。公開鍵暗号化では、サーバーの公開鍵と秘密鍵が生成されます。公開鍵で暗号化されたデータは対応する秘密鍵でのみ復号化でき、秘密鍵で暗号化されたデータは対応する公開鍵でのみ復号化できます。秘密鍵は、その所有者のみが公開鍵で暗号化されたメッセージを復号化できるように保護されます。公開鍵は、公開鍵の所有者を示す他の情報(名前、住所および電子メール・アドレスなど)とともにデジタル証明書に埋め込まれています。
|
注意: デジタル証明書に埋め込まれたデータは、認証局(CA)によって検証され、信頼できるCAのデジタル証明書を使用して署名されています。信頼できるCAのデジタル証明書により、アプリケーションのデジタル証明書自体の信頼が確立されます。 |
SSL接続に参加しているアプリケーションは、そのデジタル証明書を相手が評価して受け入れた場合に認証されます。Webブラウザ、サーバーおよび他のSSL対応アプリケーションは一般に、信頼できる認証局によって署名されるか、または他の方法で有効とされているデジタル証明書を本物として受け入れます。
セキュリティ・モジュール・インスタンスを作成する際に(詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照)、デフォルトのOracle Entitlements Serverセキュリティ・モジュール(クライアント)デジタル証明書はyour_oes_sm_folder/oes_sm_instances/your_oes_sm/security/identity.jksに格納され、信頼できる認証局(CA)デジタル証明書はyour_oes_sm_folder/oes_sm_instances/your_oes_sm/security/trust.jksに格納されます。どちらも、セキュリティ・モジュール・インスタンスの作成中に定義されたパスワードが設定されているJavaキーストアです。このパスワードは、暗号化されて、標準Oracleウォレットに(自動ログオンで)格納されます。デフォルトのOracle Entitlements Serverクライアント・キーは、それ自体によって生成され、登録プロセス中に署名されます。次の各項では、サード・パーティ証明書を適用可能なセキュリティ・モジュールで使用する方法について説明します。
6.4.1項「サード・パーティの証明書が管理サーバーで使用される場合のOracle Entitlements Serverセキュリティ・モジュール(クライアント)の構成」
6.4.2項「サード・パーティの証明書がIBM Websphere管理側を用いてセキュリティ・モジュールで使用される場合の署名者の追加」
6.4.6項「WebSphere Application Serverセキュリティ・モジュールによるサード・パーティ証明書の使用」
|
注意: デフォルトでは、WebLogic Serverのインストール時にDemoIdentity.jksとDemoTrust.jksがそれぞれアイデンティティ・ストアとトラスト・ストアとして作成および使用されます。これらのストアの場所へのフルパスは、WebLogic Serverコンソールで確認できます。トラスト・ストアのデフォルトのパスワードは、DemoTrustKeyStorePassPhraseです。 |
この項では、サード・パーティの証明書を管理側で使用する場合のセキュリティ・モジュールの構成に関する情報について説明します。
サード・パーティの証明書を管理側で使用する場合、WebLogicセキュリティ・モジュールを設定するには、次の手順を実行します。
./config.shコマンドをOES_CLIENT_HOME/oessm/binから次のように実行します。
config.sh -smType wls -smConfigId mySM_WLS -skipEnroll
表6-1では、コマンド行で指定するパラメータについて説明します。
管理証明書をWebLogic Server (SM)トラスト・ストアにインポートします。
WebLogicトラスト・ストアは、WebLogicコンソールを使用して確認できます。デフォルトはWLS_HOME/wlserver_10.3/server/lib/DemoTrust.jksです。
次のコマンドを発行します。
keytool -import -alias jksuser
-file /scratch/tools/certs/jksuser.crt
-keystore WLS_HOME/wlserver_10.3/server/lib/DemoTrust.jks
-storepass DemoTrustKeyStorePassPhrase
-storetype JKS
-trustcacerts
サード・パーティの証明書を管理側で使用する場合にWebサービスまたはJavaセキュリティ・モジュールを設定するには、次の手順を実行します。
./config.shコマンドをOES_CLIENT_HOME/oessm/binから次のように実行します。
config.sh -smType ws (or java) -smConfigId mySM_ws -skipEnroll
アイデンティティ・ストア・ファイルとトラスト・ストア・ファイルをOES_SM_INSTANCE_HOME/securityにコピーします。
アイデンティティ・ストア・ファイル名と信頼ストア・ファイル名は、それぞれidentity.jksおよびtrust.jksである必要があります。
または、このファイルの場所を含めるように、jps-config.xmlファイルを編集できます。
たとえば、次のように入力します。
<property name="oracle.security.jps.pd.client.ssl.identityKeyStoreFileName" value="OES_SM_INSTANCE_HOME/security/identity.jks"/> <property name="oracle.security.jps.pd.client.ssl.trustKeyStoreFileName" value="OES_SM_INSTANCE_HOME/security/trust.jks"/>
前述のkeytoolコマンドを使用して、この信頼ストアで管理証明書の署名者を信頼する必要があります。
OES_SM_INSTANCE_HOME/binディレクトリでoesPassword.shを実行して、アイデンティティ・ストアおよびトラスト・ストアのパスワードを資格証明ストアに保存します。
./oesPassword.sh -initenroll
|
注意: oesPassword.shを実行する前に、CLASSPATHに対して次のクラスを設定します。
|
サード・パーティの証明書を管理側で使用する場合、IBM WebSphereセキュリティ・モジュールを設定するには、次の手順を実行します。
./config.shコマンドをOES_CLIENT_HOME/oessm/binから次のように実行します。
./config.sh -smType was -smConfigId mySM_WAS -serverLocation WAS_HOME/ -skipEnroll -profileName dmgr_profileName -serverName OesServer
WAS_HOMEは、IBM WebSphere Application Serverの場所です。
表6-2では、コマンド行で指定するパラメータについて説明します。
IBM WebSphere Application ServerのSSLを次のように構成します。
次の例に示すように、keytoolを使用して顧客の信頼証明書を顧客の信頼キーストア・ファイルから.derにエクスポートすることで、信頼証明書をIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。
keytool -exportcert -keystore <your_trust_store> -alias your_alias -file ~/was.der
信頼ストアの場所を指定する必要があります。
次のように、was.derファイルをIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「<NodeDefaultTrustStore> <CellDefaultTrustStore>」 (ここでは名前を1つ選択する必要があります)→「Signer certificates」。
「追加」をクリックします。
別名を入力します。たとえば、WLSです。
エクスポート済の.derファイルを選択し、データ型にはDERを選択します。
次のように、秘密鍵をIBM WebSphereノードのデフォルト・キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「NodeDefaultKeyStore」→「Personal certificates」。
「インポート」をクリックします。
「Keystore」を選択し、キーストア・ファイル(使用中のキーストア・ファイル)へのパスを入力します。
タイプにJKSを選択し、キーストア・ファイルの作成に使用したパスワードを入力します。
証明書の別名はホスト名と同じです。
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するインバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Inbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「Server_name_running_IBM_WebSphere_Security_Module」を表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」ボタンをクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「適用」をクリックします。
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するアウトバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Outbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「Server_name_running_IBM_WebSphere_Security_Module」を表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」をクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「適用」をクリックします。
サード・パーティの証明書をWebSphere Application Serverのセキュリティ・モジュール側で使用する場合、そのサード・パーティの証明書の署名者をIBM WebSphereの管理トラスト・ストアに追加する必要があります。
keytoolを使用して信頼証明書ファイルを信頼キーストア・ファイルからエクスポートすることで、信頼証明書をIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。たとえば、次の例はtrust.jksファイルから.derへの場合です。
keytool -exportcert -keystore trust.jks -alias wlscertgencab -file ~/was.der
次のように、was.derファイルをIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「<NodeDefaultTrustStore> <CellDefaultTrustStore>」 (ここでは名前を1つ選択する必要があります)→「Signer certificates」。
「追加」をクリックします。
別名を入力します。たとえば、WSです。
エクスポート済の.derファイルを選択し、データ型にはDERを選択します。
サード・パーティの証明書をWebLogic Serverのセキュリティ・モジュール側で使用する場合、そのサード・パーティの証明書の署名者をWebLogic Serverの管理トラスト・ストアに追加する必要があります。手順は次のとおりです。
次のコマンドを使用して、サード・パーティにより生成された証明書をWebLogic Serverのトラスト・ストアにインポートします。
keytool -import -alias keyAlias -file cert_file -keystore ./DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -storetype JKS -keypass password
管理サーバーでは、デフォルトではDemoIdentity.jksとDemoTrust.jksがそれぞれデフォルトのアイデンティティ・ストアとトラスト・ストアとして使用されます。
次の手順では、WebLogic Serverセキュリティ・モジュールでサード・パーティ証明書を使用する方法を説明します。
次のコマンドを使用して、サード・パーティにより生成された証明書を管理トラスト・ストアにインポートします。
WebSphere管理側を使用している場合は、6.4.2項「サード・パーティの証明書がIBM Websphere管理側を用いてセキュリティ・モジュールで使用される場合の署名者の追加」の手順に従います。
WebLogic管理側を使用している場合は、6.4.3項「サード・パーティの証明書がWebLogic管理側を用いてセキュリティ・モジュールで使用される場合の署名者の追加」の手順に従います。
keytoolコマンド行インタフェースを使用して、管理CA証明書をクライアント・トラスト・ストアにインポートします。
次のコマンドにより、デフォルトのトラスト・ストアのCA証明書をクライアント・トラスト・ストアにインポートします。クライアント・トラスト・ストアへの絶対パスは、WebLogic管理コンソールで定義されています。コマンドのパラメータは、デプロイメントに合わせて変更します。
keytool -importkeystore -srckeystore ./DemoTrust.jks
-destkeystore yourTrustStore -srcstorepass DemoTrustKeyStorePassPhrase
-deststorepass passwordForYourTrustStore
-srcalias wlscertgencab -destalias wlscertgencab
デフォルトのトラスト・ストアを使用する場合は、この手順を実行する必要はありません。
WebLogic ServerドメインでWebLogic Server管理コンソールを使用して、適切なセキュリティ・モジュール用にサード・パーティ・キーストアを構成します。
管理コンソールの左ペインで、「環境」を開き、「サーバー」を選択します。
アイデンティティ・キーストアおよび信頼キーストアを構成するサーバーの名前をクリックします。
「構成」→「キーストア」をクリックします。
「キーストア」フィールドで、秘密鍵/デジタル証明書のペアおよび信頼できるCA証明書を格納および管理する方法を選択します。使用可能なオプションは、表6-3を参照してください。
表6-3 証明書オプションの格納と管理
| オプション | 説明 |
|---|---|
|
デモIDとデモ信頼 |
デモ用のアイデンティティ・キーストアおよび信頼キーストア( |
|
カスタムIDとJava標準信頼 |
ユーザーが作成するキーストアおよびcacertsファイル( |
|
カスタムIDとカスタム信頼 |
ユーザーが作成するアイデンティティ・キーストアおよび信頼キーストアが構成されます。 |
|
カスタムIDとコマンド行信頼 |
ユーザーが作成するアイデンティティ・キーストア、および信頼キーストアの場所を指定するコマンド行引数が構成されます。 |
「ID」セクションで、アイデンティティ・キーストア属性の値を定義します。表6-4に属性を定義します。
表6-4 アイデンティティ・キーストア属性の使用
| 属性 | 説明 |
|---|---|
|
カスタムIDキーストア |
アイデンティティ・キーストアへの完全修飾パス。 |
|
カスタムIDキーストアのタイプ |
キーストアのタイプ。一般に、この属性はJavaキーストア(JKS)を定義します。空白のままにすると、デフォルトでJKSを定義します。 |
|
カスタムIDキーストアのパスフレーズ |
キーストアに対する読取りまたは書込みの際に入力するパスワード。この属性は、キーストアのタイプに応じてオプションまたは必須になります。すべてのキーストアではキーストアへの書込みにパスフレーズが必要ですが、一部のキーストアではキーストアからの読取りにパスフレーズは不要です。WebLogic Serverはキーストアからのみ読取りを行うため、このプロパティを定義するかどうかは、キーストアの要件によって異なります。 注意: デモ用IDキーストアのパスフレーズは、DemoIdentityKeyStorePassPhraseです。 |
「信頼」セクションで、信頼キーストア属性の値を定義します。
キーストアとしてJava標準信頼を選択した場合(表6-3を参照)、キーストアの作成時に定義したパスワードを指定し、確認します。カスタム信頼を選択した場合は、表6-5で説明されている属性を定義します。
表6-5 信頼キーストア属性の使用
| 属性 | 説明 |
|---|---|
|
カスタム信頼キーストア |
信頼キーストアへの完全修飾パス。 |
|
カスタム信頼キーストアのタイプ |
キーストアのタイプ。一般に、この属性にはJKSを指定します。空白のままにすると、デフォルトでJKSに設定されます。 |
|
カスタム信頼キーストアのパスフレーズ |
キーストアに対する読取りまたは書込みの際に入力するパスワード。この属性は、キーストアのタイプに応じてオプションまたは必須になります。すべてのキーストアでは、キーストアへの書込みにパスフレーズが必要です。ただし、一部のキーストアでは、キーストアからの読取りにパスフレーズは不要です。WebLogic Serverはキーストアからのみ読取りを行うため、このプロパティを定義するかどうかは、キーストアの要件によって異なります。 |
「保存」をクリックします。
管理コンソールの「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
変更内容によってはサーバーを再起動する必要があります。
次の手順では、WebサービスまたはJavaのセキュリティ・モジュールでサード・パーティ証明書を使用する方法を説明します。
次のコマンドを使用して、サード・パーティにより生成された証明書を管理トラスト・ストアにインポートします。
keytool -import -alias keyAlias -file cert_file -keystore ./DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -storetype JKS -keypass password
管理サーバーでは、デフォルトではDemoIdentity.jksとDemoTrust.jksがそれぞれデフォルトのアイデンティティ・ストアとトラスト・ストアとして使用されます。
keytoolコマンド行インタフェースを使用して、管理CA証明書をクライアント・トラスト・ストアにインポートします。
次のコマンドにより、デフォルトのトラスト・ストアのCA証明書をクライアント・トラスト・ストアにインポートします。クライアント・トラスト・ストアへの絶対パスは、WebLogic管理コンソールで定義されています。コマンドのパラメータは、デプロイメントに合わせて変更します。
keytool -importkeystore -srckeystore ./DemoTrust.jks
-destkeystore yourTrustStore -srcstorepass DemoTrustKeyStorePassPhrase
-deststorepass passwordForYourTrustStore
-srcalias wlscertgencab -destalias wlscertgencab
デフォルトのトラスト・ストアを使用する場合は、この手順を実行する必要はありません。
次のプロパティをjps-config.xmlで構成します。
oracle.security.jps.pd.client.ssl.identityKeyStoreFileName
oracle.security.jps.pd.client.ssl.trustKeyStoreFileName
oracle.security.jps.pd.client.ssl.identityKeyStoreKeyAlias
詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
適切なSM-instance/binディレクトリでoesPassword.shを実行して、トラスト・ストアのパスワード、キーストアのパスワードおよび鍵のパスワードを資格証明ストアに保存します。
トラスト・ストア、キーストアおよび鍵のすべてで同一のパスワードを使用する場合、./oesPassword.shを実行します。
トラスト・ストア、キーストアおよび鍵のすべてで異なるパスワードを使用する場合、./oesPassword.sh -diffpassを実行します。identity.jksキーストア、trust.jksトラスト・ストアおよび鍵のパスワードを入力(および確認)するように要求されます。
デフォルトのキーストア(アイデンティティ・ストア)、キーストアに入力されているそれぞれの鍵、およびデフォルトのトラスト・ストアは、パスワードとしてwelcome1を使用します。
|
注意: oesPassword.shを実行する前に、CLASSPATHに対して次のクラスを設定します。
|
次の手順では、WebSphere Application Serverセキュリティ・モジュールでサード・パーティ証明書を使用する方法を説明します。
次のコマンドを使用して、サード・パーティにより生成された証明書を管理トラスト・ストアにインポートします。
keytool -import -alias keyAlias -file cert_file -keystore ./DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -storetype JKS -keypass password
管理サーバーでは、デフォルトではDemoIdentity.jksとDemoTrust.jksがそれぞれデフォルトのアイデンティティ・ストアとトラスト・ストアとして使用されます。
keytoolコマンド行インタフェースを使用して、管理CA証明書をクライアント・トラスト・ストアにインポートします。
次のコマンドにより、デフォルトのトラスト・ストアのCA証明書をクライアント・トラスト・ストアにインポートします。クライアント・トラスト・ストアへの絶対パスは、WebLogic管理コンソールで定義されています。コマンドのパラメータは、デプロイメントに合わせて変更します。
keytool -importkeystore -srckeystore ./DemoTrust.jks
-destkeystore yourTrustStore -srcstorepass DemoTrustKeyStorePassPhrase
-deststorepass passwordForYourTrustStore
-srcalias wlscertgencab -destalias wlscertgencab
デフォルトのトラスト・ストアを使用する場合は、この手順を実行する必要はありません。
WebSphere Application Serverコンソール(servername:port/ibm/console)を使用して、サード・パーティ・キーストアとトラスト・ストアを構成します。
IBM WebSphereセキュリティ・モジュール自体の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
keytoolコマンド行インタフェースを使用して、WebLogic ServerのDemoTrust.jksキーストアまたはOracle Entitlements Serverのtrust.jksを.DERファイルにエクスポートします。
keytool -exportcert -keystore yourtruststore -alias wlscertgencab -file ~/was.der
生成されるwas.derファイルをWebSphereのデフォルトの信頼キーストアおよびセルのデフォルトの信頼キーストアの各ノードにインポートします。
「Security」→「SSL certificate and key management」→「Key stores and certificates」に移動し、適切な名前<NodeDefaultTrustStore>または<CellDefaultTrustStore>を選択し、「Signer certificates」に移動して、WebSphere Administration Serverコンソールの「Signer certificates」ページにアクセスします。
「Add」をクリックして、別名(たとえばwlscertgencab)を入力します。
エクスポート済のwas.derファイルを選択し、データ型にDERを選択します。
発行済の秘密鍵をIBM WebSphereノードのデフォルト・キーストアにインポートします。
「Security」→「SSL certificate and key management」→「Key stores and certificates」→「NodeDefaultKeyStore」→「Personal certificates」に移動して、WebSphere Administration Serverコンソールの「Personal certificates」ページにアクセスします。
「Import」をクリックします。
「Keystore」を選択し、キーストア・ファイルへのパスを入力します。
タイプに「JKS」を選択し、キーストア・ファイルの作成に使用したパスワードを入力します。
証明書別名を入力します。
WebSphereセキュリティ・モジュールが実行されているサーバーに対するインバウンドSSLを有効化します。
「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」に移動して、WebSphere Administration Serverコンソールの「Manage endpoint security configurations」ページにアクセスします。
「Inbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」に移動してインバウンド・ツリーを開き、IBM WebSphereセキュリティ・モジュールが実行されているサーバー名を選択します。
「General Properties」ページで「Override inherited values」を選択します。
SSL構成リストから「NodeDefaultSSLSettings」を選択します。
「Certificate alias」で新規インポート済の秘密鍵の別名を選択します。
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
「適用」をクリックします。
WebSphereセキュリティ・モジュールが実行されているサーバーに対するアウトバウンドSSLを有効化します。
「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」に移動して、WebSphere Administration Serverコンソールの「Manage endpoint security configurations」ページにアクセスします。
「Outbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」に移動してアウトバウンド・ツリーを開き、IBM WebSphereセキュリティ・モジュールが実行されているサーバー名を選択します。
「General Properties」ページで「Override inherited values」を選択します。
SSL構成リストから「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」ボタンをクリックし、「Certificate alias from the key store」リストで新規インポート済の秘密鍵の別名を選択します。
「適用」をクリックします。
次の手順では、Tomcat Application ServerまたはJBoss Application Serverのセキュリティ・モジュールでサード・パーティ証明書を使用する方法を説明します。
次のコマンドを使用して、サード・パーティにより生成された証明書を管理トラスト・ストアにインポートします。
keytool -import -alias keyAlias -file cert_file -keystore ./DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -storetype JKS -keypass password
管理サーバーでは、デフォルトではDemoIdentity.jksとDemoTrust.jksがそれぞれデフォルトのアイデンティティ・ストアとトラスト・ストアとして使用されます。
keytoolコマンド行インタフェースを使用して、管理CA証明書をクライアント・トラスト・ストアにインポートします。
次のコマンドにより、デフォルトのトラスト・ストアのCA証明書をクライアント・トラスト・ストアにインポートします。クライアント・トラスト・ストアへの絶対パスは、WebLogic管理コンソールで定義されています。コマンドのパラメータは、デプロイメントに合わせて変更します。
keytool -importkeystore -srckeystore ./DemoTrust.jks
-destkeystore yourTrustStore -srcstorepass DemoTrustKeyStorePassPhrase
-deststorepass passwordForYourTrustStore
-srcalias wlscertgencab -destalias wlscertgencab
デフォルトのトラスト・ストアを使用する場合は、この手順を実行する必要はありません。
server.xmlファイルでSSLコネクタのkeystoreFileプロパティとtruststoreFileプロパティを設定します。次のものが含まれます。
keystoreFile: キーストアの場所
keystorePass: キーストアのパスワード
keyAlias: キーストアの証明書の別名
keyPass: 証明書の別名のパスワード
truststoreFile: トラスト・ストアの場所
truststorePass: トラスト・ストアのパスワード
Tomcat Application Serverセキュリティ・モジュールの場合、server.xmlはTOMCAT_HOME/conf/ディレクトリにあります。JBoss Application Serverセキュリティ・モジュールの場合、使用するプロファイルに応じて場所が異なり、たとえばJBOSS_HOME/server/jbossProfileName/deploy/jbossweb.sar/server.xmlにあります。
ポリシー配布コンポーネントのデバッグの詳細は、13.8.3項「ポリシー配布のデバッグ」を参照してください。
