| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
前 |
次 |
キーストア・サービスでは、Secure Sockets Layer (SSL)、メッセージ・セキュリティ、暗号化、特別な証明書を必要とするその他のタスク用の鍵および証明書を管理できます。
この章の内容は次のとおりです。
キーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化、鍵および証明書を必要とするその他のタスク用の鍵および証明書を管理できます。一般的なキーストア管理タスクには、次のものがあります。
アプリケーション・ストライプのコンテキストでキーストアを直接作成、またはファイル・システムからキーストア・ファイルをインポートして作成。
キーストアのリストの表示と、更新のためのその一部の選択。
キーストアの更新および削除。
キーストア・パスワードの変更。
キーストアのエクスポートおよびインポート。
次の各項目で、キーストア・サービスの概要を説明します。
キーストアは、アプリケーション・ストライプおよびそのストライプ内のキーストアによって一意に識別されます。キーおよび証明書はストライプ内のキーストアに作成されます。セキュリティ・ストア内のストライプ名はセキュリティ・ストアで一意であり、ストライプ内のキーストア名はストライプで一意です。たとえば、(stripe1,keystoreA)、(stripe1,keystoreB),および(stripe2,keystoreA)は、3つの異なるキーストアを指します。
アプリケーションは、アプリケーション・ストライプ内に複数のキーストアを作成できます。
キーストアには、キーストア内で一意の別名によって参照される次のエントリを含めることができます。
非対称鍵: SSLで使用される公開鍵および秘密鍵が含まれます。公開鍵は証明書内にラップされます。
対称鍵: 通常、暗号化に使用されます。
信頼できる証明書: SSLピアとの信頼を構築するために使用されます。
キーストア・サービスでは、次の2つのタイプのキーストアを作成できます。
ポリシーによって保護されるキーストア
このキーストアはポリシーによって保護されるため、ランタイム・コードによるアクセスはコードソース・ポリシーによって保護されます。鍵データは、ドメイン暗号化鍵を使用して暗号化されます。
パスワードによって保護されるキーストア
このキーストアは、キーストア・パスワードまたはキー・パスワード(あるいはその両方)によって保護されます。ランタイム・コードがこれらにアクセスするには、キーストア・パスワードとキー・パスワード(キーストア・パスワードと異なる場合)へのアクセスが必要になります。鍵データは、パスワードベースの暗号化によりキーストア/鍵パスワードを使用して暗号化されます。
パスワードによって保護されるキーストアの使用をお薦めします。ただし、アプリケーションに高レベルのセキュリティが必要な場合は、コードソース・ポリシーによって保護されたキーストアを検討してください。鍵はウォレットに対してエクスポート、インポートおよびリストアできます。
複数のサーバーがあるドメインでは、サポートされているストア・タイプはLDAPまたはDBのみです。キーストア・サービスを使用して、パスワードまたは鍵を管理しないでください。かわりに、資格証明ストアをアプリケーションに使用します。
トラストストアは、最もよく知られたサードパーティ認証局の信頼できる証明書と、キーストア・サービスで構成されているデモ認証局(CA)からの信頼できる証明書が格納されるキーストアです。アプリケーションでSSLを使用する場合、たとえば、証明書に対してトラストストアを指定でき、証明書を格納するための専用のキーストアは必要ありません。
|
注意: デモCAには、ハードコードされた秘密鍵が含まれています。本番環境でこのデモCAの証明書を使用も信頼もしないことをお薦めします。サードパーティ証明書の詳細は、「サードパーティのCA署名証明書の使用」を参照してください。 |
トラストストアは、ドメイン内のすべての製品およびアプリケーションによって共有されます。製品に対する信頼の追加または削除に関する決定は、ドメイン内の他の製品に影響する可能性があります。カスタム・トラストストアの作成は、トラストストアでは製品の信頼管理要件を満たせない場合にのみ検討してください。
トラストストアはすべての製品およびアプリケーションで使用されるように事前に構成されているため、アプリケーションではニーズに応じて複数のキーストアを構成できます。
一方向SSL
一方向SSLの場合、アプリケーションではトラストストアを使用できるため、特別なキーストアを作成する必要はありません。
双方向SSL
双方向SSLの場合、アプリケーションではキーストアを作成して独自のアイデンティティ証明書のみを格納し、他の証明書にはトラストストアを使用します。
次のタスクに従って、Oracle Enterprise Manager Fusion Middleware Control (Fusion Middleware Control)を使用してキーストアを管理します。
タスク1: 「キーストア」ページのオープン
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
タスク2: キーストアの作成
キーストアの作成先となるストライプを選択します。必要に応じて、ストライプを作成します。
「キーストアの作成」をクリックします。「キーストアの作成」ダイアログが表示されます。
このダイアログで、次のデータを入力します。
キーストア名: 一意の名前。
「保護」タイプ: キーストアの保護メカニズム。「ポリシー」または「パスワード」を選択します。パスワードで保護されたキーストアの場合は、有効なパスワードを指定します。
権限の付与: コードURLにパーミッションを付与するにはこのチェック・ボックスを選択します。
「OK」をクリックします。新しいキーストアが選択したストライプの下に表示されます。
タスク3: キーストアの削除
キーストアを削除すると、そのキーストア内の証明書もすべて削除されることに注意してください。
キーストアが存在するストライプを開いて、行を選択します。
「削除」をクリックします。「キーストアの削除」ダイアログが表示されます。
これがパスワードで保護されたキーストアの場合は、パスワードを入力します。
「OK」をクリックします。
タスク4: キーストア・パスワードの変更
このタスクは、パスワードで保護されたキーストアにのみ適用されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択します。
「パスワードの変更」をクリックします。「キーストア・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力します。
「OK」をクリックします。
次のタスクに従って、WebLogic Scripting Tool (WLST)を使用してキーストアを管理します。
タスク1: キーストアの作成
createKeyStore WLSTコマンドを使用します。たとえば、ストライプ名をteststripe1として、パーミッションベースのキーストアを作成します。
svc.createKeyStore(appStripe='teststripe1', name='keystore1', password='mypassword',permission=true)
mypasswordは、keystore1のパスワードです。新しいストライプ名では任意の文字の組合せが可能ですが、フォワード・スラッシュ(/)を使用しないことをお薦めします。キーストア名は、一意である必要があります。
タスク2: キーストアの削除
deleteKeyStore WLSTコマンドを使用します。たとえば、ストライプをappstripe1として、keystore1を削除します。
svc.deleteKeyStore(appStripe='appstripe1', name='keystore1', password='mypassword')
mypasswordは、keystore1のパスワードです。
タスク3: キーストア・パスワードの変更
changeKeyStorePassword WLSTコマンドを使用します。たとえば、ストライプ名をsystemとして、keystore2のパスワードを変更します。
svc.changeKeyStorePassword(appStripe='system', name='keystore2', currentpassword='currentpassword', newpassword='newpassword')
currentpasswordとnewpasswordはそれぞれ、古いパスワードと新しいパスワードです。
タスク4: キーストアのエクスポート
exportKeyStore WLSTコマンドを使用します。
単一の鍵をファイルにエクスポートするには、次のようにします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='mypassword',aliases='myorakey', keypasswords='keypassword1', type='JKS',filepath='/tmp/file.jks')
複数の鍵をファイルにエクスポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
対称鍵をエクスポートするには、次のようにします。
svc.exportKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myorakey', keypasswords='keypassword1', type='JCEKS',filepath='/tmp/file.jks')
ウォレットにエクスポートするには、OracleWalletタイプを使用します。
svc.exportKeyStore(appStripe='mystripe', name='keystore3', password='mypassword',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet',filepath='/tmp')
タスク5: キーストアのインポート
importKeyStore WLSTコマンドを使用します。
単一の鍵(myOrakeyなど)をインポートするには、次のようにします。
svc.importKeyStore(appStripe='mystripe', name='keystore2', password='password',aliases='myOrakey', keypasswords='keypassword1', type='JKS', permission=true, filepath='/tmp/file.jks')
複数の鍵をファイルにインポートするには、aliasesとkeypasswordsのカンマ区切りリストを指定します。
鍵をウォレットからインポートするには、OracleWalletタイプを使用します。
svc.importKeyStore(appStripe='mystripe', name='keystore4', password='owPwd1234',aliases='myorakey1,myorakey2', keypasswords='', type='OracleWallet', permission=true, filepath='/tmp')
キーストア・サービス(KSS)キーストアでは、Javaキーストア(JKS)、Java暗号化拡張機能キーストア(JCEKS)およびOracleウォレットの証明書フォーマットがサポートされています。一般的な証明書管理タスクは、次のとおりです。
鍵ペアに対する証明書の作成。
証明書に対する証明書署名リクエスト(CSR)の生成とファイルへの保存。
送信者を検証し、署名して証明書を返信する認証局へのCSRの送信。
テキスト・フィールドへの貼付けまたはファイル・システムからのインポートによる、キーストアへのユーザーおよび信頼できる証明書のインポート。
|
注意: キーストア・サービスでは、PEM/BASE64でエンコードされた証明書のインポートのみサポートされます。DERでエンコードされた証明書または信頼できる証明書をキーストアにインポートすることはできません。 |
キーストアからファイルへの証明書または信頼できる証明書のエクスポート。
キーストアからの証明書または信頼できる証明書の削除。
公開CA証明書に関する次の点は、12.2.1にアップグレードされたドメインおよび新しい12.2.1 Java Required Files (JRF)ドメインに当てはまります。
よく知られた公開CA証明書は、systemストライプ内のtrustキーストアでは使用できなくなりました。
かわりに、よく知られた公開CA証明書を使用してJava SE Development Kit (JDK) cacertsファイルからすでにシードされている、systemストライプ内のpubliccacertsキーストアを使用します。あるいは、必要に応じて独自の証明書をインポートします。
merge.jdkcacerts.with.trustプロパティでは、kss://system/trustキーストアへの問合せ時に、kss://system/ubliccacertsキーストアの公開CA証明書を戻すかどうかを指定します。問合せですべてのpublicacerts証明書を戻す場合はtrueに設定します。問合せでpublicacerts証明書を戻さない場合は設定しないか、falseに設定します。
次のタスクに従って、Fusion Middleware Controlを使用してキーストアを管理します。
タスク1: 鍵ペアの生成
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、キーストア・パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
「鍵ペアの生成」ボタンをクリックします。「鍵ペアの生成」ダイアログが表示されます。
このダイアログで、次のデータを入力します。
別名(必須)
共通名(必須)
組織単位
組織
市区町村
都道府県
国: ドロップダウン・リストから1つ選択します。
キー・タイプ: ドロップダウン・リストからアルゴリズムを選択します。選択肢は、「ECC」(楕円曲線暗号システム)または「RSA」です。
キー・サイズ: キー・サイズを選択します。
「OK」をクリックします。証明書リスト内に新規証明書が表示されます。
証明書の別名をクリックして、証明書の詳細を表示します。
鍵ペアは、デモCA署名証明書内にラップされ、トラストストアに格納されます。この証明書をSSLに使用するには、アプリケーションでトラストストアを使用するか、デモCA証明書をカスタム・キーストアにインポートする必要があります。
タスク2: 証明書に対するCSRの生成
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、キーストア・パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
証明書に対応する行を選択して、「CSRの生成」をクリックします。「CSRの生成」ダイアログ・ボックスが表示されます。
次のいずれかの操作を行います。
CSR全体をコピーしてテキスト・ファイルに貼り付け、「閉じる」をクリックします。
「CSRのエクスポート」をクリックすると、CSRがファイルに保存されます。
署名証明書を返信する認証局に生成された証明書を送信します。
タスク3: 証明書のインポート
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
「インポート」をクリックします。「証明書のインポート」ダイアログが表示されます。
ドロップダウンから「証明書」または「信頼できる証明書」を選択します。
ドロップダウンから別名を選択します。
証明書ソースを指定します。貼付けオプションを使用する場合は、証明書をコピーして直接テキスト・フィールドに貼り付けます。ファイルの選択オプションを使用する場合は、「参照」をクリックしてオペレーティング・システムからファイルを選択します。
「OK」をクリックします。インポートされた証明書または信頼できる証明書が、証明書の一覧に表示されます。
タスク4: 証明書のエクスポート
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
証明書に対応する行を選択して、「エクスポート」をクリックします。証明書のエクスポート・ダイアログが表示されます。
次のいずれかの操作を行います。
証明書全体をテキスト・ファイルにコピーして貼り付けて、「閉じる」をクリックします。
「証明書のエクスポート」をクリックして証明書をファイルに保存します。
タスク5: 証明書のパスワードの変更
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
証明書に対応する行を選択して、「パスワードの変更」をクリックします。「キー・パスワードの変更」ダイアログが表示されます。
古いパスワードと新しいパスワードを入力し、「OK」をクリックします。
タスク6: 証明書の削除
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「キーストア」の順に移動します。「キーストア」ページが表示されます。
キーストアがその中に存在するストライプを展開します。キーストアに対応する行を選択し、「管理」をクリックします。
キーストアがパスワードで保護されている場合は、パスワードを入力して「OK」をクリックします。「証明書の管理」ページが表示されます。
証明書に対応する行を選択して、「削除」をクリックします。「証明書の削除」ダイアログが表示されます。「OK」をクリックします。
次のタスクに従って、WLSTを使用して証明書を管理します。
タスク1: 鍵ペアの生成
generateKeyPair WLSTコマンドを使用します。たとえば、アプリケーション・ストライプがappstripe2という名前とすると、次のコマンドではECCアルゴリズムを使用して別名がmyaliasの鍵ペアが作成されます。
svc.generateKeyPair(appStripe='appstripe2', name='keystore2', password='mypassword', dn='cn=www.example.com', keysize='1024', alias='myalias', keypassword='keypassword', algorithm='EC')
mypasswordはキーストア・パスワードで、keypasswordは別名のパスワードです。
鍵ペアは、デモCA証明書内にラップされ、トラストストアに格納されます。アプリケーションでトラスト・ストアを使用していない場合は、デモ用のCA証明書をカスタム・キーストアにインポートする必要があります。
タスク2: 鍵ペアに対するCSRの生成
exportKeyStoreCertificateRequest WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをstripe1とすると、次のコマンドではtestalias鍵ペアからCSRが生成されます。
svc.exportKeyStoreCertificateRequest(appStripe='stripe1', name='keystore1', password='mypassword', alias='testalias', keypassword='keypassword', filepath='/tmp/csr-file')
mypasswordはキーストア・パスワードで、keypasswordは別名のパスワードです。CSRはオペレーティング・システム・ファイルにエクスポートされます。
タスク3: 証明書のインポート
importKeyStoreCertificate WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドでは別名がmykeyの証明書がオペレーティング・システム・ファイルからインポートされます。
svc.importKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='mypassword', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
mypasswordはキーストア・パスワードで、keypasswordは別名のパスワードです。
タスク4: 証明書のエクスポート
exportKeyStoreCertificate WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripe1とすると、次のコマンドでは別名がmykeyの証明書がオペレーティング・システム・ファイルにエクスポートされます。
svc.exportKeyStoreCertificate(appStripe='appstripe1', name='keystore2', password='mypassword', alias='mykey', keypassword='keypassword', type='Certificate', filepath='/tmp/cert.txt')
mypasswordはキーストア・パスワードで、keypasswordは別名のパスワードです。
タスク5: 証明書のパスワードの変更
changeKeyPassword WLSTコマンドを使用します。たとえば、システム・ストライプをsystem1とすると、次のコマンドでは別名がtestkeyの証明書が削除されます。
svc.changeKeyPassword(appStripe='system1', name='keystore', password='password', alias='testkey', currentkeypassword='currentkeypassword', newkeypassword='newkeypassword')
ここで、passwordはキーストア・パスワードで、keypasswordは証明書の別名のパスワードです。
タスク6: 証明書の削除
deleteKeyStoreEntry WLSTコマンドを使用します。たとえば、アプリケーション・ストライプをappstripeとすると、次のコマンドでは別名がorakeyの証明書が削除されます。
ssvc.deleteKeyStoreEntry(appStripe='appstripe', name='keystore2', password='password', alias='orakey', keypassword='keypassword')
ここで、passwordはキーストア・パスワードで、keypasswordは別名のパスワードです。
アプリケーションを本番環境にデプロイする際は、サードパーティのCA署名証明書を使用することをお薦めします。次の手順を使用して、サードパーティのCA署名証明書を設定します。
指定された別名を使用して、KSSで鍵ペアを生成します。
CSRと鍵ペアを生成します。
新しいCSRをサードパーティのCAに送信します。CAはCSRの公開鍵に署名して、CA署名証明書および独自の証明書を返します。
一部のCAは、2つの別個の証明書ではなく、CA署名証明書と独自の証明書の両方を含む証明書チェーンを返します。
鍵ペアの生成に指定された別名を使用して、CA署名証明書(または証明書チェーン)をインポートします。
新しい別名を使用して、CA署名証明書(または証明書チェーン)を信頼できる証明書としてインポートします。
Oracle WebLogic Serverでキーストアを構成した後、それらを使用してキーおよび証明書を生成します。キーストア・サービスを使用するようにノード・マネージャを構成することもできます。
|
関連項目: 『Oracle WebLogic Serverセキュリティの管理 12c』の「SSLの構成」 Oracle WebLogic Server管理コンソール・オンライン・ヘルプのキーストアの構成に関する項 『Oracle Fusion Middlewareの管理』のOPSSキーストア・サービスを使用するためのノード・マネージャの構成に関する項 Oracle WebLogic Serverノード・マネージャの管理 |
鍵および証明書はセキュリティ・ストアに格納されます。すべてのOracle Fusion Middlewareスタック・コンポーネントでこの中央ストアを使用することをお薦めします。ただし、特定のインフラストラクチャ・コンポーネントでは、セキュリティ・ストアが使用可能になるには起動が必要になるため、かわりにローカル・ファイル・インスタンスを使用します。
syncKeyStoresコマンドを使用して、中央セキュリティ・ストアからローカル・ファイル・インスタンスを作成します。同期化は、セキュリティ・ストアから鍵データを読み取ってローカル・ファイル・インスタンスのデータと同期させる一方向の工程です。
たとえば、中央ストアの更新時に、syncKeyStoresコマンドを使用して、Weblogic Serverで使用されるローカル・キーストアのコピーを中央ストアと同期させます。
syncKeyStoresコマンドの構文は次のとおりです。
syncKeyStores
このコマンドは、中央リポジトリでsystemストライプを検索し、その内容をDOMAIN_HOME/config/fmwconfigのkeystores.xmlというファイルにダウンロードします。同じファイルにトラストストアの内容もダウンロードします。
syncKeyStoresコマンドを使用する場合を判断するには、次のガイドラインを検討します。
更新中のキーストアがWebLogic Serverに属する場合、そのキーストアはsystemストライプの下にあります。
トラストストアを変更(信頼できる証明書の追加または削除)する場合、WebLogic Serverの同期コマンドをコールします。
Oracle Web Services ManagerやJava EEアプリケーションといった階層型コンポーネントのキーストアの更新では、同期コマンドを実行する必要がありません。このようなコンポーネントでは、中央セキュリティ・ストアから鍵のマテリアルに直接アクセスします。
KSSでは、キーストアの作成と管理、証明書のエクスポート、鍵ペアの生成などのキーストア操作に、専用のコマンド・セットを使用します。これらのコマンドの使用方法は似ていますが、他のOPSSコマンドとは異なります。
これらすべてのコマンドの起点は、次の操作を可能にするOPSSサービス・コマンド・オブジェクトを取得するgetOpssServiceコマンドです。
サービスに対するコマンドの実行
コマンド・ヘルプの取得
コマンドの構文は次のようになります。
getOpssService(name='service_name')
name引数では、取得するサービスを指定します。有効な値は、KeyStoreServiceのみです。
variableはコマンド・オブジェクトを格納します。
S
例:
svc = getOpssService(name='KeyStoreService')
KSSコマンドに関するヘルプを取得するには、サービス・コマンド・オブジェクトの取得から始めます。次に、このオブジェクトをヘルプ・コマンドおよび問題のコマンドとともに使用します。
すべてのキーストア・サービス・コマンドのリストを取得するには、次のように入力します。
svc.help()
特定のコマンドに対するヘルプを表示するには、次のように入力します。
svc.help('command-name')
たとえば次のように入力すると、exportKeyStoreコマンドに対するヘルプが表示されます。
svc.help('exportKeyStore')
KSSコマンドに関する構文およびリファレンスの情報は、『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSキーストア・サービス・コマンドに関する項を参照してください。
次の手順を使用して、キーストアへのSSL接続を構成します。
複数のLDAPとキーストア間で一方向SSLを有効にするには、次の手順を実行します。
エクスポート・コマンドを使用して、LDAPディレクトリからストア証明書をエクスポートします。
importKeyStoreCertificateコマンドを使用して、外部LDAPサーバーから共有されているドメイン・トラストストアにストア証明書をインポートします。例:
svc.importKeyStoreCertificate(appStripe='system', name='trust', password='', alias='alias', keypassword='', type='TrustedCertificate',filepath='absolute _file_path')
appStripe='system'name='trust'はトラストストアです。
WebLogic Serverを再起動します。
複数のLDAPとキーストア間で双方向SSLを有効にするには、次の手順を実行します。
LDAPサーバー・エクスポート・ユーティリティを使用して、LDAPディレクトリからストア証明書をエクスポートします。
importKeyStoreCertificateを使用して、外部LDAPサーバーから共有されているドメイン・トラストストアに証明書をインポートします。
svc.importKeyStoreCertificate(appStripe='system', name='trust', password='', alias='alias', keypassword='', type='TrustedCertificate',filepath='absolute _file_path')
appStripe='system'name='trust'はトラストストアです。
appStripe='libovd'引数とname='adapters'引数を渡してcreateKeyStoreコマンドを使用し、キーストアを作成します。
svc.createKeyStore(appStripe='libovd',name='adapters',password='',permission=true)
generateKeyPairを実行して、新しい署名証明書を生成します。
svc.generateKeyPair(appStripe='libovd',name='adapters',password='',dn='cn=directory manager', keysize='1024',alias='alias',keypassword='', algorithm='RSA’)
exportKeyStoreCertificateコマンドを使用して、この証明書をファイルにエクスポートします。
svc.exportKeyStoreCertificate(appStripe='libovd',name='adapters',password='',
alias='key1', type='Certificate',
filepath='/tmp/cert.txt')
生成した証明書をLDAPサーバーにインポートします。
DOMAIN_HOME/config/fmwconfig/ovd/default下のprovider.os_xmlファイルで、"property name="enabled" value="true""をKSSKeyManagerに変更します。
WebLogic Serverを再起動します。
次の手順を使用して、LibOVDアダプタを、JKSを使用する構成からKSSを使用する構成に切り替えます。
importKeyStore WLSTコマンドを使用して、LibOVDアダプタ(JKSを使用)からトラストストアにLDAP証明書をインポートします。
importKeyStore(appStripe='system', name='trust', password='welcome1', aliases='alias_names_from_JKS', keypasswords='',type='JKS', permission=true, filepath='DOMAIN_HOME/config/fmwconfig/ovd/<context_ name>/keystores/adapters.jks')
DOMAIN_HOME/config/fmwconfig/ovd/<context_name>/provider.os_xmlファイルを開き、次のように変更してKSSを有効にします。
provider name=KSSTrustManagerを探し、enabledをtrueに変更します。
provider name=FileKeyManagerを探し、enabledをfalseに変更します。
provider name=FileTrustManagerを探し、enabledをfalseに変更します。
双方向SSLを使用していた場合は、次のようにします。
createKeyStore WLSTコマンドを使用して、KSSにLibOVDキーストアを作成します。
createKeyStore(appStripe='libovd',name='adapters',password='myPass',permission=true)
importKeyStore WLSTコマンドを使用して、生成した鍵ペアをadapters.jksからLibOVDキーストアにインポートします。
importKeyStore(appStripe='libovd', name='adapters', password='myPassw', aliases='alias_names_from_JKS', keypasswords='',type='JKS', permission=true, filepath='DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks')
DOMAIN_HOME/config/fmwconfig/ovd/<context_name>/provider.os_xmlファイルを開き、KSSKeyManagerを探してenabledをtrueに置換します。
WebLogic Serverを再起動します。
複数のLDAPとJKS間でSSL接続を確立するには、WebLogic Serverトラストストアやadapters.jksファイルなど、複数の場所に格納されているキーストア証明書が必要です。
表12-1に、virtualizeフラグとAPIに応じて、JKSによるSSLの構成に使用する手順を示します。
表12-1 JKSによるSSL
| 仮想化フラグ | ユーザーおよびロールAPIの使用 | アイデンティティ・ディレクトリAPIの使用 |
|---|---|---|
|
|
第9.2.2項の説明に従って、トラストストアを指定します。 |
|
|
|
複数のLDAPとJKS間で一方向SSLを設定にするには、次の手順を実行します。
サービスが使用するLDAPサーバー証明書を格納するためのキーストアを作成します。Oracle WebLogic Server管理コンソールとキーストアのそれぞれについてパスワードを指定する必要があります。libovdconfig.shを実行する前に、ORACLE_HOMEをoracle_commonに設定します。
createKeystoreオプションを指定してMW_HOME/oracle_common/bin/libovdconfig.shを実行し、キーストアを作成するには次のようにします。
libovdconfig.sh -host wls_host -port wls_adminserver_port -userName wls_user_name -domainPath full_path_domain_home -createKeystore
説明:
hostは、サーバー・ホストです。
portは、WebLogic管理サーバーのポートです。
usernameは管理者ユーザー名です。
domainPathはドメイン・ホームへの完全パスです。
LDAPエクスポート・ユーティリティを使用して、LDAPディレクトリからストア証明書をエクスポートします。
keytoolコマンドを使用して、作成したキーストアに証明書をインポートします。
$JAVA_HOME/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks -storepass keystore_password_used_in_libovdconfig.sh -alias alias_name -file full_path_to_LDAPCert_file -noprompt
WebLogic Serverを再起動します。
複数のLDAPとJKS間で双方向SSLを設定にするには、次の手順を実行します。
第12.11.1項の手順を実行します。
作成したキーストアで、新しい署名証明書を生成します。
この証明書をファイルにエクスポートします。
証明書をドメイン・キーストアにインポートします。
