この章の内容は次のとおりです。
注意:
次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。
BPELサーバー - Oracle BPM Worklist
WSRPプロデューサ
ディスカッションおよびお知らせ
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。
注意:
デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられます。WC_Portal
をサーバーとして、およびOPSSをキーストア・サービスとして使用します。
WebLogic Server環境でのSSL構成の詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。
OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSS
タイプのキーストアを作成して管理します。
SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次の手順で構成されます。
注意:
構成プロセスの概要は、この項で説明されています。詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したSSLの構成に関する項を参照してください。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のカスタム・アイデンティティおよびカスタム信頼に対するOPSSキーストア・サービスの構成の主な手順に関する項を参照してください。
次の手順では、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。
IDキーストアおよび信頼キーストアを構成するには:
Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。
WebCenter PortalポートからHTTP Serverにワイヤリングする手順は次のとおりです。
SSLを使用したブラウザからディスカッションへの接続の保護については、次の各項で説明しています。
ディスカッションへの接続を保護するには、まず、次の手順に従ってカスタム・キーストアを生成します。
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
新しいキーストアを作成します。
注意:
システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要がありますsvc.createKeyStore(appStripe='system', name='collab_wls', password='password', permission=false)
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアが作成されるストライプの名前
name = キーストアの名前
password = キーストアのパスワード
permission = キーストアが権限によってのみ保護される場合はtrue、権限とパスワードの両方によって保護される場合はfalse
keytoolを使用して、キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='collab_wls', password='password', dn='cn=collabidentity,dc=example,dc=com', keysize='2048', alias='collab_wls', keypassword='welcome1')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キー・ペアが生成されるキーストアの名前
password = キーストアのパスワード
dn = キー・ペアをラップする証明書の識別名
keysize = キーのサイズ
alias = キー・ペア・エントリの別名
keypassword = キーのパスワード
オプションで、キーストアとキーストア内の別名をリストします。
svc.listKeyStores(appStripe='*')
これにより、system/collab_wls
がリストされます。
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアをリストするストライプの名前
svc.listKeyStoreAliases(appStripe="system",name="collab_wls", password="password", type="*")
これにより、別名collab_wls
がリストされます
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キーストアの名前
password = キーストアのパスワード
type = 別名をリストするエントリのタイプ。有効な値は、Certificate
、TrustedCertificate
、SecretKey
または*
です
syncKeyStores
を実行します。
syncKeyStores(appStripe='system', keystoreFormat='KSS')
次の手順では、WebCenter Collaborationサーバーに、カスタム・アイデンティティ・キーストアとカスタム信頼キーストアを構成します。
ディスカッションのアイデンティティ・キーストアおよび信頼キーストアを構成する手順は次のとおりです。
SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。
KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次の手順が必要です。
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
新しいキーストアを作成します。
注意:
システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)ここで:
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアが作成されるストライプの名前
name = キーストアの名前
password = キーストアのパスワード
permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)
キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キー・ペアが生成されるキーストアの名前
password = キーストアのパスワード
dn = キー・ペアをラップする証明書の識別名
keysize = キーのサイズ
alias = キー・ペア・エントリの別名
keypassword = キーのパスワード
オプションで、キーストアとキーストア内の別名をリストします。
これは、system/portlet_wls
をリストします:
svc.listKeyStores(appStripe='*')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアをリストするストライプの名前
portlet_wls
をリストします:svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キーストアの名前
password = キーストアのパスワード
type = 別名をリストするエントリのタイプ。有効な値は、Certificate
、TrustedCertificate
、SecretKey
または*
です
syncKeyStores
を実行します。
syncKeyStores(appStripe='system', keystoreFormat='KSS')
次の手順では、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portlet
など)。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成する手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(WC_Portlet
など)をクリックします。
ポートレット・サーバーの「設定」ペインが表示されます。
「構成」タブ、「キーストア」サブタブの順に開きます。
「キーストア」ペインが表示されます。
「変更」をクリックします。
「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします
「アイデンティティ」の下で、kss://system/portlet_wls
(「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。
「カスタム・アイデンティティ・キーストアのタイプ」として、KSS
と入力します。
カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(welcome1
など)。
「信頼」の下で、「カスタム信頼キーストア」をkss://system/trust
に設定し、「保存」をクリックします。
「カスタム信頼キーストアのタイプ」としてKSS
を入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。
「SSL」タブを開きます。
秘密鍵の別名(portlet_wls
など)を入力し、秘密鍵のパスワード(welcome1
など)を設定します。
「保存」をクリックして、エントリを保存します。
注意:
ページレット・プロデューサでは、SSL構成のためにカスタム・アイデンティティおよびJava標準信頼キーストア・タイプを使用する必要があります。Java標準信頼キーストア(JKS)の構成方法の詳細は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のキーストアの構成に関する項 を参照してください。
SSLを構成するには、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』ガイドのWebLogic ServerにおけるSSLの構成の概要に関する項を参照してください。
ポートレット・サーバーのSSL接続を構成する手順は次のとおりです。
SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、「アイデンティティ・ストアの構成」を参照してください。
Oracle WebLogicサーバーにとってCA
が不明である場合は、次の各項で説明している追加手順を完了します。
OIDへのWebCenter Portalの接続を保護する手順は次のとおりです。
OIDのSSLを有効にします(OIDはserver auth
モードで構成する必要があることに注意してください)
次のように、Oracleウォレットを作成します。
<OID_INSTALL_LOC>/oracle_common/bin/orapki wallet create -wallet wal -auto_login
<OID_INSTALL_LOC>/oracle_common/bin/orapki wallet add-wallet wal -dn cn=any_alias -keysize 2048 -self_signed -validity 1000
SSLパラメータを構成します。
ldapmodify -h OID_host -p OID_port -D cn=OID_admin -w password dn:cn=oid1,cn=osdldapd,cn=subconfigsubentry changetype: modify replace: orclsslauthentication orclsslauthentication: 32 - replace: orclsslwalleturl orclsslwalleturl: file://OID_install_LOC/wal
ここで
OID_install_LOC/wal = 手順1のウォレットが作成される場所(新しいディレクトリを作成するか、既存のものを使用)
cn = ldapmodify
権限を持つOIDユーザーのDN
password = OIDパスワード
OIDサーバーを再起動します。
OID証明書をエクスポートします
<OID_INSTALL_LOC>/oracle_common/bin/orapki wallet export -wallet /OID_install_LOC/wal -dn "cn=any_alias" -cert oid_trust.cer
OID_install_LOC/wal = 手順1のウォレットが作成される場所(新しいディレクトリを作成するか、既存のものを使用)
OID証明書をWebLogic Serverトラスト・ストアにインポートします。
keytool -importcert -v -trustcacerts -alias oid_server_trust -file oid_trust.cer -keystore cacerts -storepass changeit
cacerts
パスは、次の手順で取得できます。WebCenter WebLogicコンソールにログインし、「サーバー」に移動し、WC_Portal
サーバーをクリックします。
「構成」をクリックし、「キーストア」サブタブをクリックします。
「デモ・アイデンティティとデモ信頼」
として「キーストアのタイプ」を選択します。
Java標準信頼キーストアで指定されたパスを確認します(これはcacert
パスになります)。
注意:
カスタム・アイデンティティおよびカスタム信頼を使用するようにインスタンスを構成した場合は、cacert
パスのみを取得するために実行した前の変更を元に戻します。すべてのサーバーを再起動します。
WLSでOIDを構成します。OID SSLホストおよびポートを使用して「SSLの有効化」オプションを選択します
注意:
プロバイダ固有の情報を入力する場合は、SSLポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。
WLSサーバーおよび管理対象サーバーを再起動します。
WebCenterにアクセスし、OIDユーザー名を使用してログインします。ログインできる必要があります。
リポジトリの接続を作成するコンテンツ・サーバーとWebCenter Portalアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播は保護されません。アイデンティティ伝播のセキュリティを確保するには、コンテンツ・サーバーのSSLも構成する必要があります。
SSLを使用したコンテンツ・サーバーの保護には、次のタスクが含まれます。
本番環境では、実際の証明書のみを使用することをお薦めします。実際の証明書を使用する場合のキーストアの構成方法の詳細は、『Oracle WebCenter Contentの管理』のコンテンツ・サーバーのセキュリティ・プロバイダの理解に関する項を参照してください。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。
(クライアント)側のキーストアを構成する手順:
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。
コンテンツ・サーバー側のキーストアを構成する手順:
メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。
SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。
SES用にSSLを構成するシナリオは2つあります。1つ目のシナリオは、WebCenter PortalがすでにSSLを使用して保護されているが、SESは保護されていない場合です。2つ目のシナリオは、SESがすでにSSLを使用して保護されているが、WebCenter Portalは保護されていない場合です。これら2つのシナリオについて、次の各項で説明します。
注意:
このシナリオでは、WebCenter PortalはすでにSSLを使用して保護されていますが、SESは保護されていません。SSLを使用してSESを保護する手順は次のとおりです。
SESへの接続を登録する前に、まず、証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。
HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。
次の証明書名を使用して、WebCenter側でSSLを構成します。
cn=<myhost>
<myhost>
は、WebCenterがインストールされているホストの完全修飾名です。
WebCenter PortalでのSSLの構成の詳細は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
WebCenter証明書をPEM形式で(つまり<myhost>.crt
として)エクスポートします。
Firefox 3.0以降を使用すると、証明書を.PEM
形式で直接ダウンロードできます。それ以外のブラウザの場合は、次の手順を実行した後、WebLogic Serverのder2pem
ツールを使用してPEM形式に変換してください。
「証明書」をクリックします。
ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。
DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。
.DER形式の証明書を.PEM形式に変換します。
der2pem
ツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pem
に関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
SESで、次のキーストアに証明書をインポートします。
<SES Installation Directory>/jdk6/jre/lib/security/cacerts
<SES Installation Directory>/seshome/jdk/jre/lib/security/cacerts
次のコマンドを使用します。
keytool -importcert -trustcacerts -alias webcenter_wls -file <myhost>.crt -keystore cacerts -storepass changeit
正常にハンドシェイクを実行するには、次の手順が必要です。
次のコマンドを使用して、WebCenter Portalを再起動します。-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1
10.3.6パッチをSESサーバーに適用します。http://aru.us.oracle.com:8080/ARU/ViewPatchRequest/process_form?aru=17092883
注意:
WebLogic ServerのSESのサーバー・バージョンは10.3.6で、WebCenterのWebLogic Serverバージョンは12.2.1です。
デフォルトでは、TLSv1.1およびTLSv1.2のみが12.2.1でサポートされています。10.3.6およびJDK 1.6_29 (SES環境)では、SSLv3およびTLSv1のみがサポートされています。
SESで、クロールおよび認可エンドポイントがWebCenter PortalアプリケーションのHTTPSポートを指す、Oracle WebCenterのソースを作成します。
クロールのスケジュールおよびソース・グループを作成します(「Fusion Middleware Controlを使用した検索パラメータとクローラの構成」を参照)。
SESのWebCenter側の構成を完了し、SESおよびWebCenter Portalを再起動します。
WebCenter Portalでいくつかオブジェクトを作成し、クロールを開始します。
クロールが完了したら、キーワード検索を実行します。WebCenter Portalに結果が表示されます。
この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。
注意:
SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。
SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護する手順は次のとおりです。