Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
セキュア・サーバー通信モードを構成し、共通OAMプロキシの設定を通じて管理します。
この節では、以下のトピックについて説明します。
簡易モードと証明書モードは似ています。
表13-6は、簡易モードと証明書モードの共通点を示します。
関連項目:
表13-6 サマリー: 簡易モードと証明書モード
アーティファクトまたはプロセス | 簡易モード | 証明書モード | オープン・モード |
---|---|---|---|
X.509デジタル証明書のみ。 |
X |
X |
該当なし |
OAMエージェントとOAMサーバー間の通信は、Transport Layer Security、RFC 2246 (TLS v1)を使用して暗号化されます。 |
X |
X |
該当なし |
それぞれの公開キーに対して、Access Managerがファイルに格納する対応する秘密キーがあります。 |
aaa_key.pem openSSLにより生成 |
aaa_key.pem CAにより生成 |
該当なし |
プライバシ強化メール(PEM)フォーマットの署名された証明書 |
openSSLにより生成されるaaa_cert.pem |
CAにより生成されるaaa_cert.pem |
該当なし |
OAMサーバーの構成中に、使用するモードに応じて、秘密キーをグローバル・パスフレーズまたはPEMフォーマット詳細で保護します。OAMサーバーまたはWebgateで秘密キーを使用するには、正しいパスフレーズが必要です。 |
最小限に暗号化されたファイルに格納されるグローバル・パスフレーズ:
|
PEMフォーマット:
|
該当なし |
OAMエージェントまたはOAMサーバーの登録中に、通信モードがOracle Access Managementコンソールに伝播されます。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて同じパスフレーズ。 |
それぞれのWebgateおよびOAMサーバー・インスタンスについて異なるパスフレーズ。 |
該当なし |
Webgateの証明書リクエストによって、証明書リクエスト・ファイルが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。 ルートCAは、Webgate証明書を返します。この証明書は、Webgateのインストール中またはインストール後にインストールできます。 |
cacert.pem Oracle提供のopenSSL認証局により署名された証明書リクエスト |
aaa_req.pem 使用する認証局により署名された証明書リクエスト |
該当なし |
DESアルゴリズムを使用して秘密キーを暗号化します。次に例を示します。 openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: passphrase -des
|
該当なし |
X |
該当なし |
エージェント・キー・パスワード |
該当なし |
「証明書」セキュリティ・モードでエージェントの登録中にパスワードを入力します(表15-1)。 |
該当なし |
エージェント登録時に、ObAccessClient.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ |
ObAccessClient.xml コピー先:
|
ObAccessClient.xml コピー先:
|
ObAccessClient.xml コピー先:
|
エージェント登録時に、password.xmlが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」 |
password.xml コピー先:
|
password.xml コピー先:
|
該当なし |
エージェント登録時に、aaa_key.pemが次の場所に生成されます。 $DOMAIN_HOME/output/$Agent_Name/ 関連項目: 「通信の保護」 |
aaa_key.pem コピー先:
|
aaa_key.pem コピー先:
|
該当なし |
セキュア・サーバー通信の共通OAMプロキシ・ページの構成設定を使用できます。
表13-7は、簡易または証明書モードの構成に必要な設定を示します。
表13-7 サーバー共通のOAMプロキシ・セキュア通信の設定
モード | 説明 |
---|---|
簡易モード構成 |
OAMが署名したX.509証明書を使用した通信のグローバル・パスフレーズ。これは、初回のOAMサーバーのインストール時に設定されます。 管理者はこのパスフレーズを編集して、それを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。 |
証明書モード構成 |
外部の認証局により署名された証明書モードのX.509証明書が存在するキーKEYSTOREStoreに必要な詳細。
ノート: これらは初回のOAMサーバーのインストール時に設定されます。証明書は、JDKに付属の証明書のインポート・ユーティリティかキーツールを使用してインポートできます。 管理者は別名とパスワードを編集して、それらを使用するように既存のすべてのOAMエージェントを再構成できます(「OAMプロキシの簡易または証明書設定の表示または編集」を参照)。 |
管理者は、共通OAMプロキシの簡易モードまたは証明書モードの設定を表示または編集できます。
表示または編集するには、次のようにします。
64ビットWebゲートは、現在SHA2 (256,384および512ビット)証明書をサポートしています。
次のコマンドを実行して、証明書モードで64ビットおよび32ビットのWebゲートを構成します。
<Oracle Middleware Home>/oracle_common/bin/orapki wallet add -wallet $DOMAIN_HOME/output/$Agent_Name/cwallet.sso -trusted_cert -cert <Root CA path .i.e. aaa_chain.pem> -auto_login_only
<Webgate Install dir>
に存在する<WebGate InstanceDir>/webgate/config/
からアクセス・サーバーの一時フォルダにcwallet.sso
をコピーします。
次のコマンドを実行してOAMサーバーのcwallet.sso
を更新し、cacert.pem
を/webgate/config/cwallet.sso
に手動で追加します:
orapki wallet add -wallet -trusted_cert -cert <Root CA path .i.e. aaa_chain.pem cacert.pem> -auto_login_only
次のコマンドを使用して、ウォレットOAM 11.1.2.3以上に互換性を持たせます:
orapki wallet convert -wallet -auto_login_only
新しいcwallet.sso
をWebゲート構成フォルダにコピーします。
WebゲートのWebサーバーを再起動します。
簡易モードのWebゲートを使用している場合、Webゲート・プロファイルのaaaTimeoutThreshold
時間パラメータを-1から10に変更することによって、OAMログイン・ページのレスポンス時間を向上させることができます。
AAAタイムアウトしきい値の構成要素の詳細は、「OAM 11gエージェントの登録および管理」の表15-3を参照してください。