Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
前 |
次 |
この章では、Secure Socket Layer (SSL)を介した通信を行えるようにOracle Business Intelligenceコンポーネントを構成する方法について説明します。
Oracle Business IntelligenceのSSL Everywhere機能を使用すると、コンポーネント間のセキュアな通信が可能になります。デプロイメント全体でセキュアなHTTP通信が行われるように、Oracle Business Intelligenceコンポーネント間、およびOracle WebLogic Server間でのSSL通信を構成できます。この項では、データベースやWebサーバーといった外部サービスとのセキュアな通信の構成については説明しません。Oracle WebLogic Serverに対してSSLを構成する方法は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
この章には次の項が含まれます:
SSLは、ネットワーク全体のアプリケーション間でセキュアな通信を有効にするための暗号プロトコルです。SSL通信を有効にすることで、メッセージの暗号化、データ整合性、認証など、いくつもの機能による利益を享受できます。メッセージを暗号化することで、認可されたユーザーだけがこれにアクセスできるという機密保護を徹底できます。データ整合性は、メッセージが改ざんされることなく、元の状態のままで受信されることを保証します。認証は、メッセージの送信者が実際にその人物であることを保証します。
SSLを使用する場合は、セッションのネゴシエーション用に、サーバーが公開鍵と秘密鍵を保有している必要があります。公開鍵は、認証局によって署名されたサーバー証明書によって使用可能になります。証明書には、サーバーを識別する情報も含まれます。秘密鍵はサーバーによって保護されます。
この項には次のトピックが含まれます:
SSLの概念、および公開鍵による暗号化の詳細は、『Oracle Fusion Middleware管理者ガイド』のSSLの動作に関する項を参照してください。
デフォルトでは、Oracle Business IntelligenceコンポーネントはTCP/IPを使用して相互通信します。Oracle Business Intelligenceコンポーネント間でSSLを構成すると、セキュアなネットワーク通信が可能になります。
Oracle Business Intelligenceコンポーネントは通信する際、一度に1つのプロトコルしか使用できません。あるコンポーネント間で単純なTCP/IP通信を行いながら、別のコンポーネント間でSSLを使用することはできません。セキュアな通信を有効にするには、次のOracle Business Intelligenceコンポーネントのすべてのインスタンスを、SSLを使用して通信するように構成する必要があります。
Oracle BIサーバー
Oracle BIプレゼンテーション・サービス
Oracle BI JavaHost
Oracle BIスケジューラ
Oracle BIジョブ・マネージャ
Oracle BIクラスタ・コントローラ
Oracle BIサーバーのクライアント(Oracle BI ODBCクライアントなど)
Oracle Business Intelligenceインストール全体のSSLは、1つの中央地点から構成されます。証明書が作成され、すべてのOracle Business Intelligenceコンポーネント(Essbaseを除く)がSSLを使用するように構成されます。SSLによって、次のデフォルトのセキュリティ・レベルが構成されます。
SSL暗号化が有効化されています。
SSL相互認証は有効化されません。SSL相互認証が有効にされないため、クライアントが各自のSSL秘密鍵を所有する必要はありません。
デフォルトの暗号スイートを使用します。デフォルト以外の暗号スイートを使用する方法は、第5.13項「高度なSSL構成オプション」を参照してください。
スケールアウトの際、一元管理されたSSL構成は、追加されたすべての新規コンポーネントに自動的に伝搬されます。
より高度なセキュリティが必要な場合は、SSLによる一元的な構成を、手動構成によって強化または置換できる場合もあります。これは、相当複雑な処理となります。SSLを手動で構成する方法の詳細は、Oracleサポートにお問合せください。詳細は、「ドキュメントのアクセシビリティについて」を参照してください。
SSLを使用したセキュアな通信には、認証局(CA)による署名のある証明書が必要です。内部での通信には、SSL Everywhere機能により、プライベートな認証局および証明書が作成されます。ユーザーのWebブラウザはプライベートな認証局を認識しないため、内部証明書は外部に向けたWebサーバーでは使用できません。したがって、Webサーバーには、外部で認知された認証局によって署名されたWebサーバー証明書を用意する必要があります。
エンドツーエンドSSLを実現するには、内部BIEE SSLおよびWebLogic SSLを構成する必要があります。WebLogic SSL構成では複数の手動の手順が必要である一方で、内部SSL構成は高度に自動化されています。2つは完全に独立しているため、どちらからでも実行できます。WebLogic構成では、手動の手順が必要です(最初に実行することをお薦めします)。
注意: この項には、EssbaseのSSLの構成が含まれていません。 |
次の手順を実行します。構成の手順が強調されています。
標準の非SSLのOracle Business Intelligenceシステムを構成するには:
BIEEをインストールします。
システムが動作していることを確認します。
次を使用するためにhttpを介してログインできることを確認します。
Analytics
- http://<Host>:< ManagedServerPort >/analytics
Fusion Middleware Control
- http://<Host>:< AdminPort>/em
WebLogic管理コンソール
- http://<Host>:<AdminPort>/console
これらの手順では、提供されているデモ証明書を使用してWebLogicを構成します。これらはセキュアではありません。本番環境では使用しないでください。ただし、最初にデモ証明書を使用する構成は、実際の証明書を構成する前の有益な演習となります。
実際の認証局によって署名されたセキュアな証明書を使用して構成するには、WebLogicドキュメントを参照してください。認証局は、署名されたサーバー証明書を返し、対応するルートCA証明書を提供する必要があります。democaがこれらの手順で示されている場合は常に、実際のCA証明書で置き換えます。
この項には次のトピックが含まれます:
管理サーバーのみを起動するには:
すべてを起動するのではなく管理サーバーのみを起動するとすべて停止する必要がなくなりますが、管理接続プロパティがすべての停止スクリプトと混同する変化の状態になります。
次を使用してすべてを停止します。
<DomainHome>/bitools/bin/stop.sh
次を使用して、管理サーバーのみを起動します。
<DomainHome>/bitools/bin/start.sh -i Adminserver
HTTPSポートを構成するには:
WebLogic管理コンソールにログインします。
「ロックして編集」をクリックします。
環境、サーバーの順に選択します。
各サーバーの場合は、次のとおりです。
メインの「構成」タブで、「SSLリスニング・ポート有効」を選択します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
ブラウザでデモ証明書の信頼を有効化します。
WebLogicデモ証明書を使用している場合、ブラウザはWebLogicサーバーを信頼しません。ブラウザの信頼を有効化する必要があります。証明書がデフォルトでブラウザに信頼されている標準の認証局を使用する場合、この手順を省略できます。
URL https://<host>:<AdminServerSSLPort>へ移動します
これはパスにemまたはコンソールがないベースURLであることに注意してください。最初にベースURLにアクセスして、単一のブラウザ証明書例外を設定できます。直接emおよびコンソール・パスに移動する場合、複数の証明書例外を設定する必要があります。
ブラウザはデモ証明書について警告します。
ベースURLに移動して、証明書例外を有効化します。
WebLogicコンソールおよびFusion Middleware Controlに個別に実行するのではなく、これを1回のみ実行する必要があります。
SSL接続が行われると、ベースURLは404エラーを表示します。これは問題ありません。
次のセキュアなWebLogicコンソールURLを確認します。
https://<Host>:<AdminServerSSLPort>/console
次のセキュアなFusion Middleware Control URLを確認します。
https://<Host>:<AdminServerSSLPort>/em
まだHTTPSを無効化しないでください。非SSLポートを使用して管理サーバーにアクセスする必要があるスクリプトを後で実行します。
注意: HTTPSチェックは、HTTPを使用してFusion Middleware Controlにすでにログインしている既存のブラウザである必要があります。
セキュア・レプリケーションを有効化します。
WebLogic管理コンソールで、
「ロックして編集」をクリックします。
「環境」、「クラスタ」および「bi_cluster」を選択します。
「構成」、「レプリケーション」タブを選択します。
「セキュア・レプリケーションの有効化」を選択します。
これを実行しない場合、管理対象サーバーの起動に失敗し、管理モードのままになります。これにより、起動スクリプトが実行されるのを防ぎます。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
外部アイデンティティ・ストアがすでに構成されている場合、この手順を省略します。後で外部アイデンティティ・ストアを構成してセキュアな接続を使用する場合があります。これを実行する手順は、外部アイデンティティ・ストアのタイプに依存します。
内部LDAP IDストアでは、URLを修正する必要があります。
注意: この項は、明示的にAdminserverを示すため、WebLogic Server LDAPを使用してvirtualize=trueが設定されていない場合のみ適用されます。 |
内部LDAPを構成してHTTPSを使用するには:
Fusion Middleware Control 12cにログインします。
https://<Host>/<SecureAdminPort>/em
「WebLogicドメイン」、「セキュリティ」、「セキュリティ・プロバイダ構成」を選択します。
「アイデンティティ・ストア・プロバイダ」セグメントを展開します。
「構成」をクリックします。
プラス記号(+)をクリックして、新しいプロパティを追加します。
次の値を使用してプロパティldap.urlを追加します。
ldaps://<host>:<adminServer HTTPS port>.
例:
ldaps://example_machine.com:9501
注意: これはbi_server1アドレスではなく管理サーバー・アドレスです。
プロパティ・エディタで「OK」をクリックします。
「アイデンティティ・ストア・プロバイダ」ページで「OK」をクリックします。
変更が行われたことを確認します。
次の場所にあるjps-config.xmlファイルを開きます。
<DomainHome>/config/fmwconfig/jps-config.xml。
次の行を含むファイルを確認します。
<property name="ldap.url" value="ldaps://<Host>:<AdminServerSecurePort>"/>
信頼キーストアを指定する必要があります。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の複数LDAPシナリオの一方向SSLに関する項を参照してください。
注意: この項は、明示的にAdminserverを示すため、WebLogic Server LDAPを使用してvirtualize=trueが設定されている場合のみ適用されます。 |
内部LDAPのトラスト・ストアを構成するには:
ターミナル・ウィンドウで、環境変数ORACLE_HOMEおよびWL_HOMEを設定します。
たとえばLinuxでは、次のように指定します。
setenv ORACLE_HOME <OracleHome>
setenv WL_HOME <OracleHome>/wlserver/
パスおよびJAVA_HOMEがJDK 8インストールを示していることを確認します。
setenv JAVA_HOME <path_to_your_jdk8>
setenv PATH $JAVA_HOME/bin
次を実行してjavaバージョンを確認します。
java -version
次を実行します(改行なし)。
<OracleHome>/oracle_common/bin/libovdconfig.sh
-host <Host>
-port <AdminServerNonSSLPort>
-userName <AdminUserName>
-domainPath <DomainHome>
-createKeystore
入力を求められた場合は、<AdminUserName>の既存のパスワードを入力します。
OVDキーストアのパスワードの入力を求められた場合は、新しいパスワードを選択します。これは後で必要になります。
例:
oracle_common/bin/libovdconfig.sh -host myhost -port 7001 -userName weblogic -domainPath /OracleHome/user_projects/domains/bi -createKeystore Enter AdminServer password: Enter OVD Keystore password: OVD config files already exist for context: default CSF credential creation successful Permission grant already available for context: default OVD MBeans already configured for context: default Successfully created OVD keystore.
注意: -port <AdminServerNonSSL>コマンドは無効になっている場合に管理サーバーの非SSLポートに対して動作しません。SSLを有効化してLDAPを構成する場合、Adminserverの非SSLポートを一時的に再有効化する必要があります。
次を実行して、結果のキーストアが存在することを確認し、初期コンテンツを表示します。
keytool -list -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks
上のキーストアにインポートするため、適切な形式でデモ証明書をエクスポートする必要があります。
Fusion Middleware Control:
WebLogicデモ証明書を使用する場合、Fusion Middleware Controlを使用してシステム・キーストアから必要なルートCAを取得できます。
「WebLogicドメイン」、「セキュリティ」、「キーストア」を選択します。
「システム」を展開します。
「信頼」を選択します。
「管理」をクリックします。
democa(olddemocaではなく)を選択します。
「エクスポート」をクリックします。
「証明書のエクスポート」を選択します。
ファイル名を選択します。
たとえば、demotrust.pemなどです。
WebLogicデモ証明書を使用しない場合、セキュアなサーバー証明書に署名したCAのルートCAを取得する必要があります。
作成したキーストアにインポートします。
keytool -importcert -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks -alias localldap -file <DemoTrustFile>
入力を求められた場合、前に選択したキーストアのパスワードを入力し、証明書が信頼されていることを確認します。
キーストアの-listコマンドを繰り返すと、次のようにlocalldapに新しいエントリが表示されます。
localldap, Jul 8, 2015, trustedCertEntry,
証明書のフィンガープリント(SHA1):
CA:61:71:5B:64:6B:02:63:C6:FB:83:B1:71:F0:99:D3:54:6A:F7:C8
システムは、HTTPSを有効化する以外にHTTPを無効化した場合にのみ、完全にセキュアです。
HTTPを無効化するには:
WebLogic管理コンソールにログインします。
「ロックして編集」をクリックします。
環境、サーバーの順に選択します。
各サーバーの場合は、次のとおりです。
「構成」タブが表示されます。
「リスニング・ポート有効」をクリアします。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
Oracle Business Intelligenceを再起動するには:
WebLogic管理コンソール内から管理サーバーを停止します。
すべてが停止します。
<DomainHome>/bitools/bin/start.shスクリプトを使用して、すべてを開始します。
Oracle Web Service Manager (OWSM)が引き続き無効化したHTTPポートを使用しているため、Analyticsを介してログインできません。
HTTPおよびHTTPS WebLogicコンソールURLにログインしてHTTPが無効であることを確認します。HTTPSのみ使用します。
HTTPでは、「接続できないエラー」(表示はブラウザによって異なります)が迅速に表示されます。プロトコルおよびポートを混同しないように注意してください。誤ったプロトコルを使用して実行中のポートに接続しようとすると、ブラウザがハングする可能性があります。
Oracle Web Services Manager (OWSM)構成を変更して、HTTPSポートを使用する必要があります。
OWSMを構成してt3sを使用するには:
Fusion Middleware Control 12cにログインします。
https://<Host>/<SecureAdminPort>/em)。
WebLogicドメインおよびクロス・コンポーネント・ワイヤリング・コンポーネントを選択します。
OWSMエージェント・コンポーネント・タイプを選択します。
行のowsm-pm-connection-t3ステータス「同期外れ」を選択して、「バインド」をクリックします。
ローカルのOWSMを使用する場合、HTTP(s) OWSMリンクは使用されません。
ポップアップ・ボックスで「はい」を選択します。
次のようにバリデータを介してポリシーにアクセスして確認します。
https://<host>:<ManagedServerSSLPort>/wsm-pm/validator
Oracle Business Intelligenceを再起動するには:
<DomainHome>/bitools/bin/stop.shスクリプトを使用して、すべてのサーバーを停止します。
すべてが停止します。
<DomainHome>/bitools/bin/start.shスクリプトを使用して、すべてを開始します。
次のAnalyticsにログインできることを確認します。
https://<Host>:<SecureManagedServerPort>/analytics
WebLogic層は、外部向けのポート(そのため、すべてのWebLogicインフラストラクチャ)にのみHTTPSを使用します。内部BIチャネルおよびBIシステム・コンポーネントは、引き続きHTTPを使用します。
この項では、内部通信リンクのSSLを有効化する方法について説明します。
BIEE内部SSLを有効化するには:
マスター・ホストからコマンドを実行する必要があります。Oracle Business IntelligenceがBI構成アシスタントで構成され、WebLogic管理対象サーバーが作成され、スケール・アウトが完了している必要があります。
次を使用してシステムを停止します。
ORACLE_HOME/user_projects/domains/bi/bitools/bin/stop.sh
次のコマンドを実行して、WebLogic内部チャネルおよび内部コンポーネントのSSLを有効化します。
ORACLE_HOME/user_projects/domains/bi/bitools/bin/ssl.sh internalssl true
(オプション)次のファイルを編集して、高度なオプションを構成します。
ORACLE_HOME/user_projects/domains/bi/config/fmwconfig/biconfig/core/ssl/bi-ssl.xml
サポートされているオプションは次のとおりです。
クライアント証明書のサーバー・チェックを有効化します。
使用する暗号スイートを指定します。
詳細は、「SSL暗号スイートの手動構成」を参照してください。
次を使用して、ドメインおよびBIコンポーネント・プロセスを再起動します。
ORACLE_HOME/user_projects/domains/bi/bitools/bin/start.sh
次のように設定を確認します。
次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
ORACLE_HOME/user_projects/domains/bi/bitools/bin/ssl.shレポート
このコマンドは、WebLogic証明書および対応する信頼が正しく構成されていることを確認します。
次のAnalyticsにログインできることを確認します。
https://<host>:<SecureManagedServerPort>/analytics
これは、エンドツーエンドSSLを有効化する前にHTTPSリスナーが各サーバーで有効であることを確認します。内部コンポーネント間の通信が暗号化されますが、'ssl.sh report'コマンドを使用するかサーバー・トラフィックを確認してのみ検証できることに注意してください。
事後状態:
WebLogicサーバー:
内部チャネルで有効化されているHTTPSリスナーがあります。
外部ポート構成が変更されていません。外部ポートのSSLを有効化する方法の詳細は、「エンドツーエンドSSLの有効化」も参照してください。
リスナー・アドレスごとに個別の内部アイデンティティ(キー/証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスと一致する共通名を持ちます。証明書は、内部認証局により署名されます。
システム・コンポーネント(以外Essbase Studio):
内部チャネルで有効化されているHTTPSリスナーがあります。
外部ポート構成が変更されていません。外部ポートのSSLを有効化する方法の詳細は、「エンドツーエンドSSLの有効化」も参照してください。
リスナー・アドレスごとに個別の内部アイデンティティ(キーまたは証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスと一致する共通名を持ちます。証明書は、内部認証局により署名されます。
Essbase Studio:
変更はありません。既存の接続を続行します。
この項では、内部通信リンクのSSLを無効化する方法について説明します。
BIEE内部SSLを無効化するには:
マスター・ホストからコマンドを実行する必要があります。Oracle Business IntelligenceがBI構成アシスタントで構成され、WebLogic管理対象サーバーが作成され、スケール・アウトが完了している必要があります。
次を使用してシステムを停止します。
<DomainHome>/bitools/bin/stop.sh
次のコマンドを実行して、WebLogic内部チャネルおよび内部コンポーネントのSSLを有効化します。
<DomainHome>/ bitools/bin/ssl.sh internalssl false
次を使用してドメインを再起動します。
<OracleHome>/bi/bin/start.sh
事後状態:
WebLogicサーバー:
内部チャネルで無効化されているHTTPSリスナーがあります。
外部ポート構成が変更されていません。
システム・コンポーネント(以外Essbase Studio):
非SSLでのみリスニングします。SSL接続は受け入れられません。
Essbase Studio:
変更はありません。既存の接続を続行します。
Oracle BI EEクライアント(たとえば、管理ツールおよびジョブ・マネージャ)がSSL対応サーバーに接続できるために必要なキーおよび証明書を指定できます。
前提条件:
マスター・ホストからコマンドを実行します。
オンラインおよびオフラインでこの操作を完了できます。
前提条件
構成アシスタントを使用するか、./ssl.sh再生成コマンドを実行して、証明書を作成します。
WebLogicのSSLが有効化されます(第5.2.2項「WebLogic SSLの構成」)。
システムは、「停止」または「稼働中」のいずれかです。
クライアント用の信頼およびアイデンティティをエクスポートするには:
次のコマンドを使用して、クライアントのアイデンティティおよび信頼を'mydir'にエクスポートします。
./ssl.sh exportclientcerts mydir
証明書およびzipファイルが生成されることに注意してください。
事後状態
Mydirには、zipファイルclientcerts.zipが含まれています
Mydirには、直接使用するためのzipファイルの次の展開されたコンテンツも含まれています。
clientcert.pem
clientkey.pem
identity.jks
internaltrust.jks
internaltrust/internalca.pem
internaltrust/<hashed form of above>
ジョブ・マネージャなどのJavaクライアントは、アイデンティティを定義するidentity.jksおよび信頼用のinternaltrust.jksを使用してセキュアなオプション「サーバー証明書の確認」を設定して正常に接続できます。
管理ツールなどのopensslクライアントは、アイデンティティを定義するclientcert.pemとclientkey.pemおよび信頼ファイルとしてinternalca.pemを使用してセキュアなオプション「ピアの検証」を設定して正常に接続できます。
BIEEコンポーネントにアクセスするクライアントを構成してBIEE証明書を使用する必要があります。
注意: 最初に、次のコマンドを実行して証明書をエクスポートする必要があります。<DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir> |
この項では、クライアント用のSSLを構成する方法について説明します。項目は次のとおりです。
最初に、クライアント証明書をエクスポートする必要があります。
クライアント証明書をエクスポートするには:
次のコマンドを実行します。
<DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>
プロンプトが表示されたら、新しいパスフレーズを入力します。
パスフレーズを使用して、エクスポート証明書を保護します。各クライアントを構成する場合に使用するこのパスフレーズを忘れないようにしてください。
コマンドは、Javaクライアントが使用するJavaキーストアおよび非Javaクライアントが使用する個々の証明書ファイルをエクスポートします。証明書をリモート・マシンにより簡単に移動するため、エクスポートによってすべてのファイルが単一のzipファイルにパッケージ化されます。
BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。
SASchInvokeユーティリティを使用してSSLが有効な場合にBIスケジューラを起動するには:
./ssl.sh exportclientcertsコマンドを実行する際に使用したパスフレーズが単一の行に含まれる新しいテキスト・ファイルを作成します(第5.6.1項「クライアント証明書のエクスポート」を参照)。
このファイルに保護するための正しく制限されたファイル権限があることを確認します。通常、所有者によってのみ読取り可能です。
SASchInvokeコマンドを実行するには、次の構文を使用します。
SASchInvoke -u <Admin Name> (-j <job id> | -i <iBot path>) [-m <machine name>[:<port>]] [(-r <replace parameter filename> | -a <append parameter filename>)] [-l [ -c <SSL certificate filename> -k <SSL certificate private key filename> [ -w <SSL passphrase> | -q <passphrase file> | -y ]] [-h <SSL cipher list>] [-v [-e <SSL verification depth>] [-d <CA certificate directory>] [-f <CA certificate file>] [-t <SSL trusted peer DNs>] ] ] where: SSL certificate filename = clientcert.pem SSL certificate private key filename = clientkey.prm passphrase file = location of the passphrase file created above.
このコマンドでは、管理者パスワードの入力を求められます。
管理者パスワードを入力して、BIスケジューラを起動します。
SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。
Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用される鍵および証明書は、Javaキーストア・データベースに格納しておく必要があります。
SSLを使用してBIスケジューラ・サーバーと通信するようにOracle BIジョブ・マネージャを構成するには、次の手順を実行します。
Oracle BIジョブ・マネージャを構成するには:
「ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。
ダイアログ・ボックスの「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。
サーバー設定クライアント証明書の検証がfalse(一方向SSL)である場合、キー・ストアおよびキー・ストア・パスワードを空白のままにできます。これがデフォルトの設定です。
サーバー設定クライアント証明書の検証がtrue(双方向SSL)である場合、キー・ストアおよびキー・ストア・パスワードを次のように設定する必要があります。
キー・ストア=<exportclientcerts_directory>\identity.jks
キー・ストア・パスワード = 第5.6.1項「クライアント証明書のエクスポート」で入力されたパスフレーズ。
セキュアなリンクを指定するには、サーバー証明書の検証を選択する必要があります。検証なしで接続は引き続き有効ですが、サーバーを偽装する中間者攻撃の人は検出されません。
「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。
「トラスト・ストア」テキスト・ボックスで、次にトラスト・ストアを設定します。
<exportclientcerts_directory>\internaltrust.jks
「トラスト・ストア・パスワード」を第5.6.1項「クライアント証明書のエクスポート」で入力されたパスフレーズに設定します。
Oracle Business IntelligenceのHTTP WebサーバーがSSLで有効になっている場合は、オンライン・カタログ・マネージャがOracle BIプレゼンテーション・サービスへの接続に失敗する可能性があります。Webサーバーから、SSLサーバー証明書またはCA証明書を、システム変数JAVA_HOMEで指定されたJVMのJavaキーストアにインポートする必要があります。
オンライン・カタログ・マネージャを有効にして接続するには:
ORACLE_HOME/JAVA_HOME/ jre/lib/securityにあるJavaのデフォルトのトラスト・ストアに移動します。
デフォルトのトラスト・ストア名はcacertsです。
Javaのデフォルトのトラストストアと同じ場所に、Webサーバーからエクスポートした証明書をコピーします。
次のコマンドを実行して、デフォルトのトラスト・ストアに証明書をインポートします。
keytool -importcert -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS
Webサーバーの証明書ファイル$WebserverCertFilenameが、別名bicertの下にあるcacertsというJavaのデフォルトのトラストストアにインポートされます。
たとえば、Oracle WebLogic Serverのデフォルトのデモ証明書を使用する場合であれば、証明書へのフルパスであるORACLE_HOME/wlserver/server/lib/CertGenCA.derを使用します。
注意: Javaトラスト・ストアのデフォルトのパスワードは「changeit」です。 |
カタログ・マネージャを再起動します。
注意: カタログ・マネージャは、セキュアなHTTPS URLを使用して起動する必要があります。 |
SSLが有効化されているBIサーバーに適切に接続するには、管理ツールもSSLを使用して通信するように構成する必要があります。Oracle BIサーバーのデータ・ソースのDSNが必要となります。
SSL経由で通信するように管理ツールを構成するには:
プレゼンテーション・サービスの「 管理 」ページに管理ユーザーとしてログインして、使用されているOracle BIサーバーのデータ・ソースのDSNを確認します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
左上隅の「Oracle BIサーバー・データ・ソース」フィールドを確認します。DSNがcoreapplication_OH<DSNnumber>という形式で一覧表示されています。
管理ツールで、「ファイル」、「開く」、「オンライン」の順に選択し、DSN名を入力します。リストからDSNを選択します。
リポジトリのユーザー名およびパスワードを入力します。
これで、管理ツールはSSLを使用してBIサーバーに接続されます。
Oracle BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。ODBC DSNに対してSSL通信を有効化する方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のOracle Business Intelligenceとのその他のクライアントの統合に関する項を参照してください。
SSLを使用してインターネット経由で安全に通信できるようにBI Publisherを構成できます。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド』のSecure Socket Layer (SSL)通信のためのBI Publisherの構成に関する項を参照してください。
SSL構成後、BI Publisherの動作が正常でなくなったら、HTTPSプロトコルとSSLポートを再構成することが必要になる場合があります。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド』のOracle BIプレゼンテーション・サービスとの統合の構成に関する項を参照してください。
このタスクは、証明書が期限切れまたはまもなく期限切れになる場合に警告を示します。
マスター・ホストからコマンドを実行する必要があります。システムは稼働中でも停止していてもかまいません。
証明書の有効期限を確認するには:
次のコマンドを実行して、証明書の有効期限を確認します。
<DomainHome>/ bitools/bin/ssl.shの有効期限
事後状態:
認証局およびサーバー証明書の詳細な有効期限情報がリストされます。
ssl.shコマンドは次のステータスを返します。
13 – 証明書の有効期限が切れている場合。
14 – 30日未満に証明書の有効期限が切れる場合。
0 – 証明書に30日を超える有効期限が残っている場合。
証明書の置換えにより、すべての証明書を新しい証明書に置き換えることができます。次の場合に行う可能性があります。
既存の証明書の有効期限が切れているか、間もなく期限切れになる場合。
サーバー証明書およびCA(信頼)証明書の両方で有効期限を定義しています。有効期限が切れると、それらの証明書を使用した接続は無効になります。
組織に構成アシスタントで指定されたデフォルトと異なる証明書の有効期限が必要なポリシーがあります。
既存の証明書およびキーのセキュリティが損われている場合。
前提条件:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
証明書を置き換えるには:
内部BIEEまたはクライアント証明書を置き換えます。
再生成コマンドを使用する場合、既存のクライアント証明書を無効にするため、それらを再エクスポートする必要があります。
./ssl.sh regenerate ./ssl.sh exportclientcerts mydir
次を使用してドメインを再起動します。
./start.sh
次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
./ssl.sh report
事後状態
ドメインはSSLで実行され、新しい証明書を使用します。サーバーは古い信頼を使用してWebLogicインスタンスに接続されません。
ssl.sh expiry
コマンドを実行して、新しい有効期限の新しい証明書をリストできます。
デフォルト(空白)を置き換えるためのWebLogicコンソールの明示的なリスナー・アドレスの設定などのリスナー・アドレスの変更後に証明書を更新できます。ssl.shスキャン・コマンドは、正しくない証明書の共通名のためにエラーを表示します。リスニング・アドレスと一致しない証明書のサーバーへの接続が拒否されます。
前提条件:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
リスニング・アドレスの変更後に証明書を更新するには:
次を実行して証明書を更新します。
./ssl.sh rebindchannelcerts
次を使用してドメインを再起動します。
./start.sh
次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
./ssl.sh report
事後状態
ドメインはSSLで実行され、新しい証明書を使用します。新しい証明書は、既存の証明書と同じ有効期限があります。証明書が既存の内部認証局によって署名されるため、以前にエクスポートしたクライアントが引き続き有効です。
ssl.sh expiry
コマンドを実行して、新しい有効期限の新しい証明書をリストできます。
このタスクは、新しいサーバーに対して同じ内部SSL構成を提供します。
前提条件:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
既存のサーバーをクローニングするか最初から作成して、1つ以上の新しいサーバーが作成されています。
新規サーバーを追加するには:
新しいサーバーごとに次を実行します。
./ssl.sh channel <new_bi_server> <port>
または、繰り返して次を実行します。
./ssl.sh internalssl true
次に、internalssl
コマンドのエラー・メッセージに示されているようにチャネル・コマンドを実行します。
次を使用してドメインを再起動します。
./start.sh
次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
./ssl.sh report
事後状態
ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーが内部SSLを使用します。サーバーがクローニングされた場合、クローニングされた内部チャネル・ポートがチャネル・コマンドで指定されたポートで置き換えられます。サーバーを最初から作成した場合、SSLを使用するために内部チャネルが作成および構成されます。
このタスクは、すでに内部SSLが有効化されているシステムをスケール・アウトできます。
詳細は、必要なssl.sh bindchannelcertsコールが行われる『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の新しいコンピュータの追加に関する項を参照してください。
このタスクは、WLSTを使用して構成されたシステムのBI構成アシスタントに示されているか、またはWebLogic構成アシスタントの構成テンプレートを直接適用した同じSSL内部チャネル構成を提供します。
前提条件:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
構成テンプレート構成済システムのSSLを有効化するには:
次のコマンドを実行します。
<domain_home>/bitools/bin/ssl.sh regenerate <days> <domain_home>/bitools/bin/ssl.sh targetapps bi_cluster
新しいサーバーごとに次を実行します。
./ssl.sh channel <new_bi_server> <port>
または、繰り返して次を実行します。
./ssl.sh internalssl true
次に、internalssl
コマンドのエラー・メッセージに示されているようにチャネル・コマンドを実行します。
次を使用してドメインを再起動します。
./start.sh
次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
./ssl.sh report
事後状態
ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーが内部SSLを使用します。
デフォルトのSSL構成では、デフォルトの暗号スイートによるネゴシエーションを使用します。組織におけるセキュリティ標準ではデフォルト構成の使用が許容されない場合は、別の暗号スイートを使用するようにシステムを構成できます。SSLステータス・レポートから出力にデフォルトの選択を表示できます。
この高度なオプションには、構成ファイルの編集が含まれます。このファイル・タイプに対する構文上の規則を確認するように注意してください。
手動構成したSSL環境は、デフォルトのSSL構成と共存できます。
SSL暗号スイートを手動構成するには:
SSLを構成します。
http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA">>http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA
の各オプションから、必要なJava暗号スイート名を選択します。
http://www.openssl.org/docs/apps/ciphers.html#CIPHER_LIST_FORMAT">>http://www.openssl.org/docs/apps/ciphers.html#CIPHER_LIST_FORMAT
のリストを使用して、選択した暗号スイートと一致するOpen SSL暗号スイート名を作成します。
たとえば、SSL_RSA_WITH_RC4_128_SHAというJava暗号スイート名は、Open SSLではRSA+RC4+SHAにマップされます。
次のbi-ssl.xmlファイルを編集します。
<DOMAIN_HOME>/config/fmwconfig/core/ssl/bi-ssl.xml
次のサブ要素をJavaHost/Listener/SSL要素に追加します。例:
<EnabledCipherSuites>SSL_RSA_WITH_RC4_128_SHA</EnabledCipherSuites>
次を使用して、Oracle Business Intelligenceコンポーネントを再起動します。
./start.sh
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動と停止に関する項を参照してください。
この項には次のトピックが含まれます:
このタスクを行うには、SMTPサーバー証明書を取得する必要があります。
Fusion Middleware Controlを使用してSMTPサーバーのSSLを構成するには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「Business Intelligence概要」ページに移動します。
「デプロイメント」ページの「メール」タブを表示します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックして、構成をロックします。
「Secure Socket Layer (SSL)」の各フィールドを、次のように処理します。
接続セキュリティ: オプションを1つ選択します。他のフィールドは後でアクティブになる場合があります。
CA証明書ソースの指定: 「ディレクトリ」または「ファイル」を選択します。
CA証明書ディレクトリ: CA証明書を含むディレクトリを指定します。
CA証明書ファイル: CA証明書のファイル名を指定します。
SSL証明書検証の深さ: 証明書に適用する検証レベルを指定します。
SSL暗号リスト: SMTPサーバーがサポートする暗号スイート名に一致する暗号のリストを指定します。たとえば、RSA+RC4+SHAなどです。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
複数の認証プロバイダを構成している場合に、SSL(一方向SSLのみ)で通信するLDAP認証プロバイダを追加構成するには、仮想化(libOVD)機能で使用される追加キーストアに、該当するLDAPサーバーのルート証明書を配置する必要があります。
複数認証プロバイダの使用時にSSLを構成するには:
注意: このタスクを完了する前に、virtualize (小文字)というカスタム・プロパティを構成し、その値をtrue に設定する必要があります(詳細は、第3.4.6項「Fusion Middleware Controlを使用したアイデンティティ・ストアの仮想化の構成」を参照してください)。 |
キーストアを作成します。
環境変数ORACLE_HOME、WL_HOMEおよびJAVA_HOMEを設定します。
例(UNIXの場合):
set ORACLE_HOME=
orahome
set WL_HOME=orahome/wlserver
set JAVA_HOME=
orahome/oracle_common/jdk
-createKeystoreオプションを使用して、libovdconfig.sh(UNIXの場合)またはlibovdconfig.bat(Windowsの場合)を実行し、キーストアを設定します。
たとえばUNIXでは、シェル・プロンプトを開き、<OracleHome>/oracle_common/binディレクトリに移動します。その上で、次のコマンドを実行します(Oracle Business Intelligenceの管理者ユーザー名とパスワードが求められます)。
./libovdconfig.sh -host <
hostname> -port <
Admin_Server_Port> -username <BI Admin User> -domainPath <OracleHome>/user_projects/domains/bi/config/fmwconfig/ovd/default/keystores -createKeystore
入力を求められたら、Oracle Business Intelligenceの管理者パスワード、およびlibovdconfig.sh -createKeystoreコマンドで作成されたOVDキーストアのパスワード(キーストア・ファイルの保護に使用される新しいパスワード)を入力します。
このコマンドを実行すると、2つの新しい資格証明が、資格証明ストアと、<OracleHome>/user_projects/domains/bi/config/fmwconfig/ovd/default/keystoresの下のadapters.jksという新しいキーストア・ファイルに表示されます。
ルート証明書をLDAPディレクトリからエクスポートします(方法については、LDAPのドキュメントを参照してください)。
keytoolコマンドを使用して、ルート証明書をlibOVDキーストアにインポートします。
<OracleHome>/jdk/jre/bin/keytool -import -keystore <OracleHome>\user_projects/domains/bi/config/fmwconfig/ovd/default/keystores/adapters.jks -storepass <
KeyStore password> -alias <
alias of your choice> -file <
Certificate filename>
WebLogic ServerプロセスとOracle Business Intelligenceプロセスを再起動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
次のWebLogicアーティファクトがBIEE内部使用のために予約されます。
仮想ホスト:
bi_internal_virtualhost1
チャネル(管理対象サーバーごと):
bi_internal_channel1
この項では、Fusion Middleware Controlを使用して手動でJMX MBean値を更新して、SSL環境である場合にBIアンサーからのBIコンポーザの起動を有効化する方法について説明します。
非SSL環境の場合、BIアンサーとBIコンポーザ間の統合が追加の構成なしで動作します。ただし、SSL環境の場合、統合を正しく有効にするには、httpからhttpsにプロトコル値を手動で変更する必要があります。
SSL環境でBIコンポーザの起動を有効化するには:
SSLが有効化されている環境で、Fusion Middleware Controlにログインします。
「WebLogic Server」メニューを表示して、「システムMBeanブラウザ」オプションを選択します。
「アプリケーション定義のMBean」を開き、次の項目を展開します。
oracle.adf.share.connections > Server: bi_server1 > Application: bicomposer > ADFConnections > ADFConnections > BISoapConnection > bi-default
「bi-default」を選択して、属性の値13の「プロトコル」を次のように変更します。
値http
を値https
に置き換えます
「適用」をクリックします。