23.7 X509認証のためのDCC Webゲートの構成

DCCのためのWebゲートを構成し、X509認証で使用するためにSSLに変換します。

1. WebLogic Serverの構成

2. DCCのためのWebゲートの構成

3. SSLへのDCC Webゲートの変換

23.7.1 WebLogic Serverの構成

次の各項の手順を使用して、X509認証のためのWebLogic Serverを構成します。

1. サーバーおよびトラスト・ストアの作成

2. WebLogic Serverインスタンスの構成

3. ユーザー証明書の作成

4. ルートCA証明書の追加

23.7.1.1 サーバーおよびトラスト・ストアの作成

これらはWebLogic Serverに共通の手順です。

1. サーバー証明書を作成します。

   Oracle Access Management 11gがデプロイされるWLSドメインのサーバー証明書およびキーを作成します。これには、証明書のリクエスト(共通名はOAMサーバー・マシン名です)が必要で、証明書に署名してP12形式に変換します。サーバー証明書は、証明書ユーティリティを使用して作成および署名できます。

2. keytoolを使用してサーバー・ストアおよびトラスト・ストアを作成します。

   詳細は、「OAMサーバーとWebゲート間の通信の保護」を参照してください。

23.7.1.2 WebLogic Serverインスタンスの構成

WebLogicコンソールを使用して、SSLおよびクライアント証明書が有効になるようにWebLogic Serverのインスタンスを構成します。

1. SSLおよびクライアント証明書を有効にするサーバー・インスタンスに移動します。

   図23-6 SSLの有効化

   
   「図23-6 SSLの有効化」の説明
2. 図23-6に示すように、「SSLリスニング・ポートの有効化」チェック・ボックスを選択し、ポート番号を指定します。
3. 「キーストア」タブでサーバーおよびトラスト・キーストアのパスを指定します。

   図23-7 キーストアの構成

   
   「図23-7 キーストアの構成」の説明
4. 「SSL」タブで秘密キーの別名の詳細を追加します。

   別名は、「サーバーおよびトラスト・ストアの作成」のサーバー・ストア名として指定したのと同じ名前です。

   図23-8 秘密キーの別名の追加

   
   「図23-8 秘密キーの別名の追加」の説明
5. 図23-9に示すように、「SSL」タブに「拡張」オプションが表示され、構成を行います。

   図23-9 SSL拡張オプション

   
   「図23-9 SSL拡張オプション」の説明

23.7.1.3 ユーザー証明書の作成

ユーザー証明書を.p12形式で作成して、ブラウザにインストールできます。

次のOpenSSLコマンドを実行します。

1. openssl req -config openssl.cnf -new -out weblogic.csr

   証明書の詳細を指定します。共通名は、証明書がリクエストされるユーザーの名前です。

2. openssl x509 -req -md5 -CAcreateserial -in weblogic.csr -days 180 -CA

   F:\openssl\simpleCA\ca.pem -CAkey F:\openssl\simpleCA\ca-key.pem -extfile

   F:\openssl\openssl.cnf -out weblogic.pem

3. openssl rsa -in privkey.pem -out weblogic.key
4. openssl pkcs12 -export -in weblogic.pem -inkey weblogic.key -out user1k1.p12
5. .p12形式の証明書の出力をブラウザにインストールします。

23.7.1.4 ルートCA証明書の追加

SSL対応のWebLogic Serverに使用する証明書ユーティリティのルートCA証明書を追加できます。

(この例では、OpenSSL証明書ユーティリティが使用されています。)ルートCA証明書は、次のWebLogicディレクトリにある.oamkeystoreおよびamtruststoreファイルに追加する必要があります。

$DOMAIN_HOME/base_domain/config/fmwconfig

1. WebLogicの.oamkeystoreおよびamtruststoreファイルのパスワードを取得します。

   1. $MIDDLEWARE_HOME/Oracle_IDM1/common/bin/に移動します。

   2. wlst.shを実行します。

   3. WLSTシェルのconnect()を実行します。

   4. WLSTシェルのdomainRuntime()を実行します。

   5. WLSTシェルのlistCred(map="OAM_STORE",key="jks")を実行して、パスワードを表示します。

2. keytoolコマンドを使用して、ルートCA証明書を.oamkeystoreおよびamtruststoreファイルに追加します。

   –storepassの値は、前述のステップで取得したパスワードです。次に例を示します。

   ./keytool -importcert -alias ROOT_CA -file /scratch/CA/ca.pem -keystore /scratch/Oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig/.oamkeystore -storepass oru8nd3hhd4t4nrmh6unhv825b -storetype jceks
    
   ./keytool -importcert -alias ROOT_CA -file /scratch/CA/ca.pem -keystore /scratch/Oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig/amtruststore -storepass oru8nd3hhd4t4nrmh6unhv825b -storetype jks
   

23.7.2 DCCのためのWebゲートの構成

DCC用にWebゲートを構成できます。この手順の一部として、LDAPScheme_DCC認証スキームも作成します。

構成ステップにはOracle Access Managementコンソールを使用します。この手順では、プロファイルを作成するWebゲートがインストール済であることを前提とします。

1. ABC_WG1 on http://<host>:7778/index.htmlなどの名前の11g Webゲート・プロファイルを構成します。

2. XYZ_WG1_DCC on http://<host>:7779/index.htmlなどの名前の11g Webゲート・プロファイルを構成します。

   このWebゲートは認証Webゲートとして機能します。

3. XYZ_WG1_DCC Webゲート・プロファイルに移動し、「資格証明コレクタ操作の許可」オプションを選択します。

   これにより、DCCとして使用するWebゲートが構成されます。

4. LDAPScheme認証スキームのコピーを作成して次の値を変更し、新しい認証スキームを作成します。

   次の値のみを変更し、その他のパラメータ名はそのままにします。

   1. LDAPScheme_DCCと名前を付けます。

   2. チャレンジ・リダイレクトURLはhttp://<host>:<port>/ (http://<host>:7779/)です。

   3. チャレンジURL: /oamsso-bin/login.pl

5. ABC_WG1アプリケーション・ドメインに移動して、次を実行します。

   1. 「認証ポリシー」に移動します。

   2. 「認証ポリシー」(保護されたリソース・ポリシー)を選択します。

   3. 新しく作成された認証スキームLDAPScheme_DCCを選択します。

6. ポート7779を使用するOracle HTTP Serverを再起動します。

7. 保護されたリソース(http://<host>:7778/index.html)にアクセスします。

   認証Webゲート・サーバー(ポート7779)からチャレンジ・ページを取得する必要があります。有効な資格証明を指定すると、ポート7778サーバーのリソースが表示されます。

23.7.3 SSLへのDCC Webゲートの変換

DCC Webゲート・インスタンスをSSLに変換できます。

次の各項で詳しく説明します。

• サーバー証明書の生成

• クライアント証明書の生成およびインポート

23.7.3.1 サーバー証明書の生成

Oracle Wallet Manager (OWM)を使用して、サーバー証明書を生成できます。

1. OWMを使用して、ウォレットを作成します。

   1. OWMを起動します。

      $ <webtier>/bin/owm
      

   2. ウォレット」→「新規」を選択し、画面の指示に従って証明書リクエストを作成します。

   3. 作成したウォレットをアクセス可能な場所に保存し、後で参照できるようにパスを書き留めておきます。

   4. 「自動ログイン」オプションを選択して、ウォレットを再度保存します。

2. OWMを使用し、サーバー・リクエスト・ファイルをserver.csrとして作成してエクスポートします。

   1. 「操作」→「証明書リクエストのエクスポート」を選択します。

   2. server.csrとして保存します。

3. server.csrに署名し、ユーザー証明書server.pemを生成します。

   次のようにOpenSSLユーティリティを使用できます。

   openssl x509 -req -md5 -CAcreateserial -in ohs_server.csr -days 3656 -CA /
     <path>/ca.pem -CAkey /<path>/ca-key.pem -out server.pem
   

   ca.pemおよびca-key.pemの値は、クライアント証明書の生成時に使用される値と同じになります。

4. CA証明書(ca.pem)をOWMにインポートします。

   1. 「操作」→「信頼できる証明書のインポート」を選択します。

   2. ca.pem(CA証明書)を参照します。

   3. CA証明書をインポートしてウォレットを保存します。

5. server.pemをユーザー証明書としてインポートします。

   1. 「操作」→「ユーザー証明書のインポート」を選択します。

   2. ステップ3で生成されたserver.pem証明書を参照します。

   3. サーバー証明書をインポートしてウォレットを保存します。

6. Oracle HTTP Server (OHS) ssl.confファイルを編集して、このウォレットを次のように参照します。

   #Path to the wallet
   SSLWallet "/<path to wallet>/wallet"
   SSLVerifyClient require
   

   ssl.confは、<webtier>/<instance_home>/config/ohs/ssl.confにあります。

7. OHSインスタンスを再起動します。

23.7.3.2 クライアント証明書の生成およびインポート

クライアント証明書を生成およびインポートし、新しいX509認証スキームを作成できます。

1. 「ユーザー証明書の作成」に説明されているステップに従い、ユーザー証明書を作成します。
2. 図23-10に示すように、X509_DCCの名前の新しい認証スキームを作成します。

   チャレンジ・リダイレクトURLを追加します。チャレンジURLは空白にする必要があります。

   図23-10 新しいX509スキーム

   
   「図23-10 新しいX509スキーム」の説明
3. <user_cert>.p12をブラウザにインポートします。
4. 保護されたリソースにSSLポート経由でアクセスします。次に例を示します。

   https://<ohs_host>:<ohs_port>/index.html
   

   使用する証明書を尋ねるポップアップが表示されます。適切な証明書を選択すると、リクエストしたリソースがアクセスされます。