C.2 OAMサーバーとWebゲート間の通信の保護

OAMサーバーとクライアント(Webゲート)間の通信を保護するということは、コンポーネント登録ページ内のNAP (OAPとも呼びます)チャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。チャネルのセキュリティ・レベルは、次のいずれかに指定されます。

• オープン: 暗号化されていない通信

  オープン・モードでは、WebGateとOAMサーバー間で認証または暗号化は行われません。WebGateはOAMサーバーのアイデンティティの証明を要求せず、OAMサーバーはすべてのWebGateからの接続を受け入れます。オープン・モードは、通信のセキュリティがデプロイメントで問題にならない場合に使用します。

• 簡易: Oracleにより発行された公開キー証明書を使用したSecure Sockets Layer (SSL)プロトコルによる暗号化された通信。

  簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、OAMサーバーおよびWebゲートはOracle CAにより発行および署名された同じ証明書を使用します。

  「簡易モード、暗号化およびキーについて」を参照してください。

• 証明書: 信頼されているサード・パーティ認証局(CA)により発行された公開キーを使用したSSLによる暗号化された通信。

  証明書モードは、OAMサーバーとWebゲートで異なる証明書を使用し、信頼できるサード・パーティCAにアクセスできる場合に使用します。このモードでは、DESアルゴリズムを使用して秘密キーを暗号化する必要があります。Access ManagerコンポーネントはPEM形式でのX.509デジタル証明書のみを使用します。PEMとはプライバシ強化メールのことであり、パスフレーズが必要です。PEM(プライバシ強化メール)形式は秘密キー、デジタル証明書、および信頼されている認証局(CA)に適しています。推奨するキーストアのフォーマットはJKS (Javaキーストア)フォーマットです。

  「証明書モードの暗号化およびファイルについて」を参照してください。

関連項目:

「証明書、認証局および暗号化キーについて」

論理的に、リクエストはAccess Manager資格証明コレクタに送信されます。ただし、Webサーバー・プロキシがWebLogic AdminServerの前にある場合、<LocationMatch "/*">によって、すべてのリクエストがプロキシ経由でルーティングされます。この場合、プロキシを使用した周辺防衛が存在します。

図C-1に、ユーザー認証および認可中にOAMサーバーおよびWebゲートにより使用される通信チャネルを示します。

図C-1 OAMサーバーとWebゲートの通信チャネル

「図C-1 OAMサーバーとWebゲートの通信チャネル」の説明

プロセスの概要: 認証および認可

1. リクエストはWebGateにより捕捉されます。

2. 認証(資格証明の集合)がHTTPチャネルを通じて発生します。

3. OAMエージェントのみ(mod_ossoでない)で認証がNAPチャネルを通じて発生します。

Secure Sockets Layer (SSL)プロトコルを使用することで、HTTP (HTTPS)チャネルを通じた傍受と介入者攻撃の成功を防ぐことができます。SSLプロトコルはほとんどのWebサーバー製品およびWebブラウザの一部として含まれます。SSLはデジタル証明書を含む、効果および秘密キー暗号化システムを使用します。Webサーバーまたはディレクトリ・サーバーに対するSSL通信の有効化についての詳細は、ベンダーのドキュメントを参照してください。

PEM(プライバシ強化メール)形式(BASE64エンコードASCII)は秘密キー、デジタル証明書、および信頼されている認証局(CA)に適しています。OAMサーバーにとっての望ましいキーストア形式はJCEKSで、OAMクライアントの場合はJKS (Java KeyStore)形式です。Access Managerコンポーネントは、DER(バイナリ形式の証明書)形式のみのX.509デジタル証明書を使用します。

次を参照してください。

• 「証明書、認証局および暗号化キーについて」

• セキュリティ・モードおよびX509Scheme認証について

• Importcertツール

C.2.1 証明書、認証局および暗号化キーについて

デジタル証明書はレジストリに格納でき、そこから認証ユーザーが他のユーザーの公開キーを検索できます。

公開キーインフラストラクチャにより、デジタル証明書は次のものに基づきWebベースのトランザクションの資格証明を確立します。

• 証明書の所有者の名前

• 証明書のシリアル番号

• 証明書の有効期限

• 証明書の所有者の公開キーのコピー、これはメッセージおよびデジタル署名の暗号化に使用されます

• 証明書を発行する認証局のデジタル署名が提供されて、受信者はその証明書が本物であることを確認できます

暗号化では、公開キーは暗号化キーとして使用される、指定した認証局により提供された値です。公開キーを使用するためのシステムは公開キー・インフラストラクチャ(PKI)と呼ばれます。公開キーインフラストラクチャの一部として、認証局は登録局(RA)に問合せてデジタル証明書のリクエスタにより提供された情報を検証します。RAがリクエスタの情報を検証すると、CAは証明書を発行できます。

秘密キーは公開キーから導出できます。公開キーおよび秘密キーの組合せは非対称暗号と呼ばれ、メッセージおよびデジタル署名を効果的に暗号化するのに使用できます。

関連項目:

• 証明書モードの暗号化およびファイルについて

• 簡易モード、暗号化およびキーについて

C.2.2 セキュリティ・モードおよびX509Scheme認証について

管理者はOAMサーバー構成で指定したトランスポート経由でのみOAMサーバーにアクセス可能にする必要があります。OAMサーバー構成は、サーバーのエンド・ポイントとロード・バランサまたは逆プロキシのアカウントを定義します。OAMサーバーにHTTPとHTTPSの両方でアクセス可能な場合、すべてのリクエスト(いずれのトランスポート経由でも)が受け入れられます。ユーザーがX509以外の認証スキームによるSSLでOAMサーバーと接続(およびログアウト)できるようにするためには、指定したサーバー・ポートをCLIENT CERTSを必要とするように構成しないでください。

X509認証スキーム(X509Scheme)では、OAMサーバーSSLポートはサーバー・ポートと異なっていて、クライアント証明書を必要とするよう構成されている必要があります。X509Schemeを使用していると、X509モジュールは資格証明コレクションの後にコールされます。X509SchemeはX509チャレンジ・メソッドとX509認証モジュールを必要とします。資格証明コレクタへの完全修飾URLをX509Scheme内のチャレンジURLとして指定する必要があります。例: https://managed_server_host:managed_server_ssl_port/oam/CredCollectServlet/X509

ノート:

相対的なチャレンジURLをX509Schemeで指定した場合、OAMサーバーは指定したサーバー・ホスト/ポートを使用してX509資格証明コレクタの完全修飾URLを構築します。ただし、この構成は動作しません。

関連項目:

「SSOトークンとIPの検証の管理」

C.2.3 Importcertツール

管理者はOracleが提供するimportcertツールを、キーストア、キーおよび証明書に関連した様々な手順で使用します。

表C-1は、importcertコマンドの構文を示しています。

表C-1 importcertコマンドの構文

オプション	説明
keystore	このコマンドを、既存の(または新規)キーストアのパスで続けます。次に例を示します。 /scratch/.oamkeystore or /scratch/clientKey.jks
privatekeyfile	このオプションを、秘密キーのパスで続けます。次に例を示します。 /scratch/aaa_key.der
signedcertfile	このオプションを、署名済証明書のパスで続けます。次に例を示します。 /scratch/aaa_cert.der
alias	このオプションを、キーストア・エントリ別名で続けます。genkeystoreで必要です。 alias
storetype	このオプションを、キーストア・タイプで続けます。デフォルトでは、ストア・タイプはJCEKS (OAMサーバー・キーストア)です。次に例を示します。 サーバー・キーストア.oamkeystoreのタイプは次のようになります。 JCEKS クライアント・キーストア/scratch/clientTrustStore.jksおよび/scratch/clientKey.jksを使用できます。どちらも、次のタイプになります。 JKS
genkeystore	このフラグは、OAMクライアント証明書を生成する場合に必要です。クライアントでは、別名および別名パスワードのパラメータが表示されません。しかし、importcertツールはキーストア・パスワードを別名パスワードとして設定します。 次のいずれかを指定します。 Yes or No Yesは、証明書を新しいキーストアにインポートします。 Noは、証明書を既存のキーストアにインポートします。
OAMサーバーの場合の例	- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to .oamkeystore> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -alias oam.certmode -aliaspassword <password> -storetype <JCEKS> genkeystore <yes> キーストア・パスワードと別名パスワードを、求められたら入力します。
OAMクライアントの場合の例 関連項目: 「証明書モードのOAMテスターのクライアント・キーストア生成」	- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to clientkey.JKS> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -storetype <JKS> genkeystore <yes> キーストア・パスワードを、求められたら入力します。