|
|
 Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
|
Oracle Web Cacheリリース・ノート
11gリリース1 (11.1.1)
E67348-01(原本部品番号:E64094-01)
2015年6月
このドキュメントでは、Oracle Web Cacheに関連する問題およびリリース固有のユーザー情報について説明します。次のトピックが含まれています:
Oracle Web Cache製品は非推奨になりました。Oracle Web Cache管理者ガイドは11.1.1.7リリースから始まります。Oracle Web Cacheの現在のリリース(11.1.1.9)の詳細は、次のURLにあるOracle Web Tier - Statement of Direction (Doc ID 1576588.1)を参照してください。
Oracle Web Cachの11.1.1.9リリースでは、TLSv1.1およびTSLv1.2セキュリティ・プロトコルのサポートが追加されます。
Oracle Web Cachの現在のリリースでは、TLSv1.1およびTLSv1.2セキュリティ・プロトコルのサポートが追加されます。Oracle Web Cacheで使用されるセキュリティ・プロトコルは、webcache.xmlファイルのLISTENディレクティブのSSLENABLEDパラメータの値によって示されます。
SSLENABLEDパラメータのデフォルト値はSSLです(過去のリリースではSSL値にSSLv2およびSSLv3プロトコルが含まれていたためです)。11.1.1.9リリースでは、SSL値はセキュリティ・プロトコルTLSv1.0、TLSv1.1およびTLSv1.2が使用されることを示します。
別のプロトコルまたはプロトコルの組合せを設定するには、webcache.xmlファイルを手動で編集する必要があります。新規プロトコルに対するGUIサポートはありません。
次の表に、様々なプロトコルおよびプロトコルの組合せを有効にするために、SSLENABLEDパラメータに設定する必要のある値を示します。
| 有効にするセキュリティ・プロトコル... | SSLENABLED属性に設定する値... |
|---|---|
| TLS1.1 | TLSV1_1 |
| TLS1.2 | TLSV1_2 |
| TLS1.0およびTLS1.1 | TLSV1V1_1 |
| TLS1.0およびTLS1.2 | TLSV1V1_2 |
| TLS1.1およびTLS1.2 | TLSV1_1V1_2 |
| TLS1.0、TLS1.1およびTLS1.2 | TLSV1V1_1V1_2 |
LISTENディレクティブのSTRONG_CRYPTO_ONLYパラメータを使用して、Oracle Web Cacheによる弱い暗号および匿名暗号の使用を制限します。このパラメータがYES (デフォルト)に設定されている場合、Oracle Web Cacheは強い暗号のみを使用します。次に、使用される暗号を示します。
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
STRONG_CRYPTO_ONLYパラメータがNOに設定されている場合、Oracle Web Cacheは前述の暗号の他に次の暗号を使用します。
|
注意: NO設定は、アップグレード・シナリオでは重要になります。パッチ・セット・インストーラ(または10gアップグレード・アシスタント)では、再構成は実行されません。STRONG_CRYPTO_ONLYパラメータが新しい最適なYES設定に設定されていることを確認する必要があります。 |
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれています:
Portal、Forms、ReportsおよびDiscoverer (PFRD)ホームでOracle Web Cacheを11.1.1.9に更新することはできません。また、PFRDはどの11.1.1.9製品に対しても動作保証されていないため、Oracle Web Cacheを別個にインストールすることもできません。
webcache_setuser.sh setidentityコマンドの使用を通じて、インストールされているユーザー以外のユーザーとしてOracle Web Cacheを実行することはサポートされません。
具体的には、次の手順を使用してユーザーIDを変更することはできません。
Oracle Web Cache Managerを使用して「Process Identity」ページ(「Properties」→「Process Identity」)でOracle Web Cacheプロセスのプロセス認証を変更します。
webcache_setuser.shスクリプトを次のように使用して、ファイルとディレクトリの所有権を変更します。
webcache_setuser.sh setidentity user_ID
user_IDは、「Process Identity」ページの「User ID」フィールドで指定したユーザーです。
opmnctlを使用してOracle Web Cacheを再起動します。
Oracle Web Cacheは起動しますが、すぐに停止します。
また、次のようなメッセージがイベント・ログに表示されます。
[2009-06-02T21:22:46+00:00] [webcache] [ERROR:1] [WXE-13212] [logging] [ecid: ] Access log file /scratch/webtier/home/instances/instance1/diagnostics/logs/WebCache/webcache1/access_log could not be opened. [2009-06-02T21:22:46+00:00] [webcache] [WARNING:1] [WXE-13310] [io] [ecid: ] Problem opening file /scratch/webtier/home/instances/instance1/config/WebCache/webcache1/webcache.pid (Access Denied). [2009-06-02T21:22:46+00:00] [webcache] [ERROR:1] [WXE-11985] [esi] [ecid: ] Oracle Web Cache is unable to obtain the size of the default ESI fragment page /scratch/webtier/home/instances/instance1/config/WebCache/webcache1/files/esi_fragment_error.txt. [2009-06-02T21:22:46+00:00] [webcache] [WARNING:1] [WXE-11905] [security] [ecid: ] SSL additional information: The system could not open the specified file.
webcache_setuser.shスクリプトの詳細は、『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のルート権限を使用したwebcachedの実行に関する項を参照してください。
SSLENABLEDパラメータのデフォルト値であるSSLは、TLSv1.0、TLSv1.1およびTLSv1.2セキュリティ・プロトコルの組合せでリッスンするようにWeb Cache管理サーバーを構成します。
ただし、現在のリリースで導入されたSSLENABLEDの値(TLSV1_1、TLSV_1_2、TLSV1V1_1、TLSV1V1_2、TLSV1_1V1_2およびTLSV1V1_1V1_2)を管理サーバーで使用することはできません。
この問題を回避するには、SSL値を使用するか、Web Cache管理コンポーネントを起動して付属する機能を使用しないでください。
詳細は、次のURLにあるHow to Configure Oracle Web Cache 11g to Use a Specific SSL Protocol (Doc ID 1263526.1)の11.1.1.9のみの新機能に関する項を参照してください。
この項では、Oracle Web Cacheドキュメントの誤りについて概要を示します。次のトピックが含まれています:
『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のコア・ダンプの生成の有効化に関する情報は、使用できません。
Oracle Web Cacheが停止したときのコア・ダンプの生成を有効にするには、$INSTANCE_HOME/config/WebCache/webcache_name/webcache.xmlファイルで、CORE="YES"をTRACEDUMP要素に追加します。
更新後のTRACEDUMP要素は、次のようになります。
<TRACEDUMP FILENAME=file_name CORE="YES"/>
指定した名前のコア・ダンプ・ファイルは、$INSTANCE_HOME/config/WebCache/webcache_nameディレクトリに作成されます。
『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』の第5.1.1.2.2項「証明書」には、次のように記載されています。
「Oracle HTTP ServerではOpenSSL証明書失効リストがサポートされますが、Oracle Web Cacheではサポートされません。」
この記述は誤りです。Oracle Web Cacheでは、CRLがサポートされます。
『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』の5.5.3項「証明書失効リスト(CRL)の構成」には、次のような誤った記述があります。
誤った記述: 「Fusion Middleware ControlまたはOracle Web Cache Managerでは、証明書失効リスト(CRL)によるクライアント証明書の検証はサポートされません。このサポートは、webcache.xmlファイルを手動で編集することで構成できます。」
概要: この記述は誤りです。CRLのサポートは、Oracle Web Cache Managerを次のように使用して有効化および構成できます。
「Listen Ports」ページに移動します。
CRL設定を構成するHTTPSポートを選択し、「Edit Selected」をクリックします。
「Edit/Add Listen Port」ダイアログ・ボックスが表示されます。
「Certificate Revocation List Enabled」オプションを選択します。
「CRL Path」フィールドに、CRLが格納されるディレクトリへの完全修飾パスを指定します。たとえば、/home/crlなどです。
「CRL File」・フィールドに、CRLファイルの完全修飾パスおよびファイル名を指定します。たとえば、/home/oracle/crl/CA/crlなどです。
誤った記述: CRLによる証明書検証を構成する手順の手順4: 「HTTPS LISTENディレクティブにSSLCRLPATHおよびSSLCRLFILEパラメータを追加して、CRLファイルの場所を構成します。」
概要: この記述は誤りです。SSLCRLPATHまたはSSLCRLFILEのいずれかをHTTPS LISTENディレクティブに追加します。両方を追加するのではありません。
セキュリティ上の問題により、SSLV3セキュリティ・プロトコルはデフォルトでは無効化されていました。
TLSv 1.1およびTLSv 1.2セキュリティ・プロトコルのサポートが追加されました。2項「新しいセキュリティ・プロトコルおよび暗号」、3項「TLSセキュリティ・プロトコルの有効化」および4項「STRONG_CRYPTO_ONLYパラメータによってサポートされる暗号」。
STRONG_CRYPTO_ONLYパラメータのデフォルト値がYESに設定されていました。詳細は、4項「STRONG_CRYPTO_ONLYパラメータによってサポートされる暗号」を参照してください。
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。
Oracle Supportへのアクセス
サポートを購入したオラクル社のお客様は、My Oracle Supportを介して電子的なサポートにアクセスできます。詳細情報は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info)か、聴覚に障害のあるお客様は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs)を参照してください。
Oracle Fusion Middleware Oracle Web Cacheリリース・ノート, 11gリリース1 (11.1.1)
E67348-01
Copyright © 2015, Oracle and/or its affiliates.All rights reserved.
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.
このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。