この章では、Oracle HTTP Serverに関連する問題について説明します。
問題
影響を受けるプラットフォーム: 汎用
Oracle HTTP Server 11.1.1.9に付属しているデフォルト・ウォレットは、デモのみを目的としており、本番に使用するものではないため、ユーザーはHTTPSエンド・ポイント(デフォルト・ポート4443)を使用してサイトにアクセスできます。
デフォルト・ウォレットは、セキュアとはみなされないMD5ベースのハッシングを使用しています。ユーザーは、orapki
ユーティリティで新しいウォレットを作成し、SHA256
などのよりセキュアなハッシング・アルゴリズムを使用する必要があります。
回避策
デフォルト・ウォレットは、セキュアとはみなされないMD5ベースのハッシングを使用しています。ユーザーは、orapki
ユーティリティで新しいウォレットを作成し、SHA256
などのよりセキュアなハッシング・アルゴリズムを使用する必要があります。
たとえば、auto_login_only
を有効にした次のウォレットを作成します。
orapki wallet create -wallet wallet_location
-auto_login_only
自己署名ルート証明書をウォレットに追加します。keysize
オプションは、リクエストされた証明書の鍵サイズを指定し、sign_alg
オプションは、ハッシング・アルゴリズムを指定します。
orapki wallet add -walletwallet_location
-dncertificate_dn
-keysize 2048 -sign_alg sha256 -self_signed -validity 365 -auto_login_only
orapki
のsign_alg
オプションの詳細は、次のマニュアルのAPIゲートウェイ・ドメインの確保に関する項を参照してください。Oracle Fusion Middleware Part 2APIゲートウェイ・ドメインの管理。ウォレットの作成およびユーザー証明書の追加の詳細は、『Oracle Fusion Middlewareの管理』のorapkiに関する項を参照してください。
問題
影響を受けるプラットフォーム: Microsoft Windows
このデモンストレーション証明書をTLS v1.2プロトコルで使用し、Oracle HTTP Server HTTPSエンド・ポイントにアクセスしようとする場合、Internet Explorer 11などの最近のブラウザでは、エンド・ポイントに正常に接続できません。これは、デモンストレーション証明書が、セキュアとはみなされないMD5ベースのハッシングを使用して作成されているためです。
回避策
しかし、Internet Explorerブラウザを使用してTLS v1.2プロトコルをテストする場合、新しいウォレットを作成し、強力なハッシング・アルゴリズムの1つ(たとえばSHA256
など)を使用しているユーザー証明書を追加します。orapki
コマンドの例は、「デフォルト・ウォレットの使用上の注意」を参照してください。
注意:
Oracle HTTP Server 11.1.1.9には、デフォルトの自己署名証明書が付属しています。この証明書は、デモンストレーション目的でのみ使用され、開発や本番のユース・ケースでは使用しません。
問題
影響を受けるプラットフォーム: IBM AIX
Fusion Middleware ControlまたはWLSTコマンドを使用してIBM AIXでOracle HTTP Serverを構成している場合、操作が失敗することがあります。Oracle WebLogic Serverで使用されているJDKがSSLv3プロトコルに対してのみ有効化されている場合、Oracle HTTP Serverログ・ファイルにSSLハンドシェイク・エラーが表示されます。これらのエラーを回避するには、admin.conf
ファイル($INSTANCE_HOME/config/OHS/<
component_name
>/admin.conf
)でSSLProtocolディレクティブのデフォルト値を変更する必要があります。
回避策
admin.conf
ファイルのSSLProtocolディレクティブのデフォルト値はAll
です。この値にはTLSプロトコルが含まれます。TLSプロトコルを構成から破棄し、SSLv3プロトコルを有効にするには、次の手順に従います。
問題
影響を受けるプラットフォーム: 汎用
Fusion Middleware ControlまたはWLSTコマンドを使用してOracle HTTP ServerのSSLを構成しようとすると、SSLProtocolディレクティブまたはSSLCipherSuiteディレクティブの「回避策」にリストされている次の暗号の、TLSv1.1およびTLSv1.2プロトコルを構成できません。
回避策
これらのプロトコルおよび暗号を有効化または無効化するには、<
file-location
/config/ssl.conf
ファイルを手動で編集する必要があります。詳細は、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のTLS v1.1およびTLS v1.2のプロトコルおよび暗号の構成に関する項を参照してください。
注意:
TLSv1.1およびTLSv1.2プロトコルと次の暗号は、デフォルトで有効になっています。
SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Oracle HTTP Server仮想ホストのSSLが有効化されるか、Fusion Middleware Control構成画面の「SSL構成」ページまたはWLSTコマンドでSSL構成が変更された場合、ssl.conf
ファイルにおける前述のプロトコルおよび暗号の構成が失われます。これらのプロトコルおよび暗号に対してSSL構成に関連した変更を行う場合は、Fusion Middleware Controlの「拡張構成」ページで、ssl.conf
ファイル・ディレクトリを直接編集します。
問題
影響を受けるプラットフォーム: 汎用
Fusion Middleware ControlまたはWLSTを使用してOracle HTTP ServerのSSLを構成する場合、2つの暗号TLS_RSA_WITH_AES_128_CBC_SHA
とTLS_RSA_WITH_AES_256_CBC_SHA
のいずれかまたは両方を選択すると、Oracle HTTP Serverで予期しない動作が発生します。
これは、Oracle HTTP Serverがこれらの暗号名を有効と認識できないためです。有効な暗号名は、それぞれSSL_RSA_WITH_AES_128_CBC_SHA
およびSSL_RSA_WITH_AES_256_CBC_SHA
です。
回避策
この問題を修正するには、Fusion Middleware Controlの「拡張構成」ページを使用して、ssl.conf
ファイルを直接編集し、正しい暗号名を指定します。
問題
影響を受けるプラットフォーム: すべて
ユーザーが、Web層/Oracle HTTP Serverに11.1.1.xから11.1.1.9へのパッチを適用すると、mod_wl_ohsとWebLogic Serverの間のネゴシエーションに関する問題が発生する可能性があります。
回避策
JSSEを有効化します。
WebLogicSSLVersion
パラメータを使用して、Oracle HTTP ServerとWebLogic Server (TLSv1など)の間でサポートされているプロトコルに、プラグインを強制します。Oracle WebLogic ServerにおけるWebサーバー・プラグインの使用のWebLogicプロキシ・プラグインとOracle WebLogic ServerでのSSLの構成に関する項およびWebサーバー・プラグインのSSLパラメータに関する項を参照してください。