Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
DCCのためのWebゲートを構成し、X509認証で使用するためにSSLに変換します。
次の各項の手順を使用して、X509認証のためのWebLogic Serverを構成します。
WebLogicコンソールを使用して、SSLおよびクライアント証明書が有効になるようにWebLogic Serverのインスタンスを構成します。
SSL対応のWebLogic Serverに使用する証明書ユーティリティのルートCA証明書を追加できます。
(この例では、OpenSSL証明書ユーティリティが使用されています。)ルートCA証明書は、次のWebLogicディレクトリにある.oamkeystore
およびamtruststore
ファイルに追加する必要があります。
$DOMAIN_HOME/base_domain/config/fmwconfig
WebLogicの.oamkeystore
およびamtruststore
ファイルのパスワードを取得します。
$MIDDLEWARE_HOME/Oracle_IDM1/common/bin/に移動します。
wlst.shを実行します。
WLSTシェルのconnect()を実行します。
WLSTシェルのdomainRuntime()を実行します。
WLSTシェルのlistCred(map="OAM_STORE",key="jks")を実行して、パスワードを表示します。
keytool
コマンドを使用して、ルートCA証明書を.oamkeystore
およびamtruststore
ファイルに追加します。
–storepassの値は、前述のステップで取得したパスワードです。次に例を示します。
./keytool -importcert -alias ROOT_CA -file /scratch/CA/ca.pem -keystore /scratch/Oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig/.oamkeystore -storepass oru8nd3hhd4t4nrmh6unhv825b -storetype jceks ./keytool -importcert -alias ROOT_CA -file /scratch/CA/ca.pem -keystore /scratch/Oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig/amtruststore -storepass oru8nd3hhd4t4nrmh6unhv825b -storetype jks
DCC用にWebゲートを構成できます。この手順の一部として、LDAPScheme_DCC認証スキームも作成します。
構成ステップにはOracle Access Managementコンソールを使用します。この手順では、プロファイルを作成するWebゲートがインストール済であることを前提とします。
ABC_WG1 on http://<host>:7778/index.htmlなどの名前の11g Webゲート・プロファイルを構成します。
XYZ_WG1_DCC on http://<host>:7779/index.htmlなどの名前の11g Webゲート・プロファイルを構成します。
このWebゲートは認証Webゲートとして機能します。
XYZ_WG1_DCC Webゲート・プロファイルに移動し、「資格証明コレクタ操作の許可」オプションを選択します。
これにより、DCCとして使用するWebゲートが構成されます。
LDAPScheme認証スキームのコピーを作成して次の値を変更し、新しい認証スキームを作成します。
次の値のみを変更し、その他のパラメータ名はそのままにします。
LDAPScheme_DCCと名前を付けます。
チャレンジ・リダイレクトURLはhttp://<host>:<port>/ (http://<host>:7779/)です。
チャレンジURL: /oamsso-bin/login.pl
ABC_WG1アプリケーション・ドメインに移動して、次を実行します。
「認証ポリシー」に移動します。
「認証ポリシー」(保護されたリソース・ポリシー)を選択します。
新しく作成された認証スキームLDAPScheme_DCCを選択します。
ポート7779を使用するOracle HTTP Serverを再起動します。
保護されたリソース(http://<host>:7778/index.html)にアクセスします。
認証Webゲート・サーバー(ポート7779)からチャレンジ・ページを取得する必要があります。有効な資格証明を指定すると、ポート7778サーバーのリソースが表示されます。
Oracle Wallet Manager (OWM)を使用して、サーバー証明書を生成できます。
OWMを使用して、ウォレットを作成します。
OWMを起動します。
$ <webtier>/bin/owm
ウォレット」→「新規」を選択し、画面の指示に従って証明書リクエストを作成します。
作成したウォレットをアクセス可能な場所に保存し、後で参照できるようにパスを書き留めておきます。
「自動ログイン」オプションを選択して、ウォレットを再度保存します。
OWMを使用し、サーバー・リクエスト・ファイルをserver.csrとして作成してエクスポートします。
「操作」→「証明書リクエストのエクスポート」を選択します。
server.csrとして保存します。
server.csrに署名し、ユーザー証明書server.pemを生成します。
次のようにOpenSSLユーティリティを使用できます。
openssl x509 -req -md5 -CAcreateserial -in ohs_server.csr -days 3656 -CA / <path>/ca.pem -CAkey /<path>/ca-key.pem -out server.pem
ca.pemおよびca-key.pemの値は、クライアント証明書の生成時に使用される値と同じになります。
CA証明書(ca.pem)をOWMにインポートします。
「操作」→「信頼できる証明書のインポート」を選択します。
ca.pem(CA証明書)を参照します。
CA証明書をインポートしてウォレットを保存します。
server.pemをユーザー証明書としてインポートします。
「操作」→「ユーザー証明書のインポート」を選択します。
ステップ3で生成されたserver.pem証明書を参照します。
サーバー証明書をインポートしてウォレットを保存します。
Oracle HTTP Server (OHS) ssl.confファイルを編集して、このウォレットを次のように参照します。
#Path to the wallet SSLWallet "/<path to wallet>/wallet" SSLVerifyClient require
ssl.confは、<webtier>/<instance_home>/config/ohs/ssl.confにあります。
OHSインスタンスを再起動します。