29 SSLの構成

この章では、Oracle WebCenter PortalおよびコンポーネントをSSLで保護する方法を説明します。

この章の内容は次のとおりです。

• SSLを使用したブラウザからWebCenter Portalへの接続の保護

• SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護

• SSLを使用したブラウザからディスカッションへの接続の保護

• SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護

• WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護

• SSLを使用したWebCenter PortalからContent Serverへの接続の保護

• SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護

• SSLを使用したOracle SESへの接続の保護

• SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護

注意:

次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。

• BPELサーバー - Oracle BPM Worklist

• WSRPプロデューサ

• ディスカッションおよびお知らせ

権限

この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。

「管理操作、ロールおよびツールの理解」も参照してください。

29.1 SSLを使用したブラウザからWebCenter Portalへの接続の保護

この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。

注意:

デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられます。WC_Portalをサーバーとして、およびOPSSをキーストア・サービスとして使用します。

WebLogic Server環境でのSSL構成の詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。

OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成して管理します。

SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次の手順で構成されます。

• カスタム・キーストアの作成

• カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

• SSL接続の構成

注意:

構成プロセスの概要は、この項で説明されています。詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したSSLの構成に関する項を参照してください。

29.1.1 カスタム・キーストアの作成

最初の手順では、WebCenter Portalにカスタム・キーストアを生成します。

キーストア・サービスを構成する手順:

1. WLSTコンソールを使用して、WebLogic Serverに接続します。

   connect('username','password','hostname:port')  

2. OPSSサービスの参照名を取得します。

   svc = getOpssService(name='KeyStoreService')

3. 新しいキーストアを作成します。

   注意:

   システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要があります。

   次のコマンドを入力します。

   svc.createKeyStore(appStripe='system', name='webcenter_wls', password='password', permission=false)

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアが作成されるストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)

4. キー・ペアを生成します。

   実際の別名、ドメイン名および資格証明を使用します。次の例では、デフォルトのCA署名証明書も使用します。

   svc.generateKeyPair(appStripe='system', name='webcenter_wls', password='password', dn='cn=webcenteridentity,dc=example,dc=com', keysize='2048', alias='webcenter_wls',  keypassword='password')

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キー・ペアが生成されるキーストアの名前

   • password = キーストアのパスワード

   • dn = キー・ペアをラップする証明書の識別名

   • keysize = キーのサイズ

   • alias = キー・ペア・エントリの別名

   • keypassword = キーのパスワード

5. (オプション)次のコマンドを使用して、キーストアとキーストア内の別名をリストします。

   svc.listKeyStores(appStripe='*')

   これにより、system/webcenter_wlsがリストされます。

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアをリストするストライプの名前

   次のように入力します。

   svc.listKeyStoreAliases(appStripe="system",name="webcenter_wls", password="password", type="*")

   これにより、別名webcenter_wlsがリストされます。

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*です

6. 次のsyncKeyStoresコマンドを実行します。

   syncKeyStores(appStripe='system', keystoreFormat='KSS')
   

7. WC_Portal管理対象サーバーを再起動します。

29.1.2 カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のカスタム・アイデンティティおよびカスタム信頼に対するOPSSキーストア・サービスの構成の主な手順に関する項を参照してください。

次の手順では、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。

IDキーストアおよび信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。

2. アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenter Portalサーバー(WC_Portal)をクリックします。

   WebCenter Portalサーバーの「設定」ペインが開きます。

3. 「構成」タブ、「キーストア」サブタブの順に開きます。
   「キーストア」ペインが開きます。
4. 「変更」をクリックします。
5. 「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします。
6. 「アイデンティティ」の下で、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。
   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」の例を使用する場合は、kss://system/webcenter_wlsを入力します

   ここで

   • alias = system

   • keystore_alias_name = webcenter_wls

7. 「カスタム・アイデンティティ・キーストアのタイプ」として、KSSと入力します。
8. カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します。
9. 「信頼」の下で、「カスタム信頼キーストア」をkss://system/trustに設定します。
10. 「カスタム信頼キーストアのタイプ」にKSSと入力し、「保存」をクリックしてエントリを保存します。
11. 「SSL」タブを開きます。
12. 「秘密鍵の別名」(webcenter_wlsなど)および「秘密鍵のパスフレーズ」(welcome1など)を入力し、「保存」をクリックしてエントリを保存します。

29.1.3 SSL接続の構成

SSL接続の構成の概要は、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』のアウトバウンドSSL接続のクライアント証明書の指定に関する項を参照してください。

SSL接続を構成するには:

1. WebCenter Portalサーバーの「設定」ペインで、「構成」タブ、「全般」サブタブの順に開きます。

   「一般構成」ペインが表示されます。

2. 「SSLリスニング・ポートの有効化」を選択します。
3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。
4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます。

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。
6. 「設定」ペインの「制御」タブを開き、「起動と停止」サブタブを選択します。
7. 「SSLの再起動」をクリックします。
8. WebLogic Serverを再起動し、SSL WebCenter Portal URLを開きます。
   開発環境またはテスト環境の場合のみ(つまり、本番環境ではない場合)、証明書内のホスト名が実際のホスト名に一致しないときは、サーバーを次のコマンドで起動する必要があります。

   -Dweblogic.security.SSL.ignoreHostnameVerification=true

9. セッションの証明書を受け入れ、ログインします。

29.2 SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護

Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。

• カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

• SSL接続の構成

• WebCenter PortalポートからHTTP Serverへのワイヤリング

• SSL証明書の構成

29.2.1 WebCenter PortalポートからHTTP Serverへのワイヤリング

WebCenter PortalポートからHTTP Serverにワイヤリングする手順は次のとおりです。

1. OHS 12cをインストールして構成します(『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverソフトウェアのインストールに関する項を参照してください)。
   デフォルトでは、SSLポートを使用して構成されています。
2. ファイルDOMAIN_HOME/config/fmwconfig/components/OHS/instances/ohs1/mod_wl_ohs.confを開きます。
3. WebCenter URLをmod_wl_ohs.confに追加して、WebCenter PortalがOHSと連動するようにします。

   <Location/webcenter>
   SetHandler weblogic-handler
   WebLogicHost host_id
   WebLogicPort port
   </Location>

   host_idおよびportをWebLogicサーバーIDおよびポート番号に置き換えます。

   注意:

   mod_wl_ohsを使用する場合は、『Oracle WebLogic Serverプロキシ・プラグイン12.2.1の使用』のOracle WebLogic Serverプロキシ・プラグインの構成の準備に関する項に記載されている前提条件を完了する必要があります。
4. ノード・マネージャを起動します。

   DOMAIN_HOME/bin/startNodeManager.sh &

   『Oracle HTTP Serverのインストールと構成』のノード・マネージャの起動に関する項を参照してください。

5. OHSサーバーを再起動します。

   				DOMAIN_HOME/bin/stopComponent.sh ohs1 & DOMAIN_HOME/bin/startComponent.sh ohs1

6. 次のURLが機能していることを確認します。

   http://OHS_12c_installation_host:port

   http://OHS_12c_installation_host:OHS_12c_installation_port/webcenter

7. OHS SSLを使用して、WebCenter SSLポートを構成します。
   1. 次のURLをチェックして、OHS SSLポートが稼働中であることを確認します。

      https://ohs_ssl_host:ohs_ssl_port

   2. WebCenter SSLポートを構成するには、ファイルOHSのssl.confファイルを開きます(DOMAIN_HOME/config/fmwconfig/components/OHS/instances/ohs1/ssl.conf。
   3. 次のエントリ(WebCenter SSLのホストおよびポート)をssl.confに追加して、WebCenter PortalがOHS SSLポートで実行されるようにします。

      注意:

      このスニペットは、</VirtualHost>タグの直前に挿入する必要があります(つまり、仮想ホスト・タグの末尾)。

      		<Location /webcenter>
            SetHandler weblogic-handler
      		 WebLogicHost host_id
            WebLogicPort port
            SecureProxy ON
            WlSSLWallet /filepath/ohs12c/user_projects/domains/base_domain/config/fmwconfig/components/OHS/instances/ohs1/keystores/default
      		</Location>
      

8. OHSを再起動します。

29.2.2 SSL証明書の構成

WebCenter Portalの証明書を信頼するようにOHSを構成するには、WC_Portal証明書をOHSトラスト・ストアにインポートする必要があります。

SSL証明書を構成するには:

1. 次のWLSTを使用して、WC_Portalアイデンティティ・キーストアからWC_Portal証明書をエクスポートします。

   svc = getOpssService(name='KeyStoreService')
   svc.exportKeyStoreCertificate(appStripe='system', name='webcenter_wls', password='password', alias='webcenter_wls', type='TrustedCertificate', filepath='/filepath/certificate/webcenter.cer')
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificateまたはCertificateChainです

   • filepath = 証明書、信頼できる証明書または証明書チェーンのエクスポート先のファイルの絶対パス

2. この証明書をOHS側のウォレットにインポートします。
   /domain_home/config/fmwconfig/components/OHS/instances/ohs1/keystores/defaultに移動し、次のorapkiコマンドを実行します(通常はIDM_HOMEに配置されている)。

   setenv JAVA_HOME /Java_install_location/jdk1.8.0_40/
   /OHS_install_location/oracle_common/bin/orapki wallet add -wallet . -trusted_cert -cert <webcenter_wls.cer location> -auto_login_only

3. OHS証明書を信頼するようにWebCenter Portalを構成するには、OHSウォレットからユーザー証明書をエクスポートして、それをWebLogicトラスト・ストアに信頼できる証明書としてインポートします。

   /OHS_install_location/oracle_common/bin/orapki wallet display -wallet .
   /OHS_install_location/oracle_common/bin/orapki wallet export -wallet . -cert cert.txt -dn 'dn_value'
   

   ここで、dn_valueは、wallet display -walletコマンドで返される結果を指します。

4. OHS証明書をWC_Portal管理対象サーバーのトラスト・ストアにインポートします。

   keytool -importcert -alias ohs_cert -file wls_java_home/jre/lib/security/cacerts

   ここで、wls_java_homeはWebLogic Javaホーム・ディレクトリを指し、keytoolはwls_java_home/jre/bin/keytoolにインストールされています。wls_java_homeのパスを見つけるには、domain_home/bin/setDomainEnv.sh (UNIX)またはdomain_home\bin\setDomainEnv.cmd (Windows)を実行できます。

5. WebCenterでは、WebLogicコンソールにログインして、WebLogicプラグインのチェック・ボックスが有効になっているかを確認します。
   1. WebLogicコンソールにログインします。
   2. 左側のナビゲーションでドメイン名をクリックします。
   3. 「Webアプリケーション」タブをクリックします。
   4. 「WebLogicプラグインの有効化」オプションを選択して、「保存」をクリックします。
6. OHSおよびWC_Portalサーバーを再起動します。

   これで、SSL OHS URL (https://<ohs ssl host>:<ohs ssl port>/webcenter)にアクセスできるようになりました。

7. URLにアクセスした後、証明書を受け入れます。

29.3 SSLを使用したブラウザからディスカッションへの接続の保護

SSLを使用したブラウザからディスカッションへの接続の保護については、次の各項で説明しています。

• ディスカッションのカスタム・キーストアの作成

• ディスカッションのアイデンティティ・キーストアと信頼キーストアの構成

• ディスカッションのSSL接続の構成および保護

29.3.1 ディスカッションのカスタム・キーストアの作成

ディスカッションへの接続を保護するには、まず、次の手順に従ってカスタム・キーストアを生成します。

1. WLSTコンソールを使用して、WebLogic Serverに接続します。

   connect('weblogic','password','host:port’) 

2. OPSSサービス参照を取得します。

   svc = getOpssService(name='KeyStoreService') 

3. 新しいキーストアを作成します。

   注意:

   システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要があります

   svc.createKeyStore(appStripe='system', name='collab_wls', password='password', permission=false) 

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアが作成されるストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • permission = キーストアが権限によってのみ保護される場合はtrue、権限とパスワードの両方によって保護される場合はfalse

4. keytoolを使用して、キー・ペアを生成します。

   svc.generateKeyPair(appStripe='system', name='collab_wls', password='password', dn='cn=collabidentity,dc=example,dc=com', keysize='2048', alias='collab_wls', keypassword='welcome1') 

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キー・ペアが生成されるキーストアの名前

   • password = キーストアのパスワード

   • dn = キー・ペアをラップする証明書の識別名

   • keysize = キーのサイズ

   • alias = キー・ペア・エントリの別名

   • keypassword = キーのパスワード

5. オプションで、キーストアとキーストア内の別名をリストします。

   svc.listKeyStores(appStripe='*') 
   

   これにより、system/collab_wlsがリストされます。

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアをリストするストライプの名前

   次のように入力します。

   svc.listKeyStoreAliases(appStripe="system",name="collab_wls", password="password", type="*") 

   これにより、別名collab_wlsがリストされます

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*です

6. syncKeyStoresを実行します。

   syncKeyStores(appStripe='system', keystoreFormat='KSS')

29.3.2 ディスカッションのアイデンティティ・キーストアと信頼キーストアの構成

次の手順では、WebCenter Collaborationサーバーに、カスタム・アイデンティティ・キーストアとカスタム信頼キーストアを構成します。

ディスカッションのアイデンティティ・キーストアおよび信頼キーストアを構成する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

3. アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenter Collaborationサーバー(WC_Collaboration)をクリックします。

   コラボレーション・サーバーの「設定」ペインが表示されます。

4. 「構成」タブ、「キーストア」サブタブの順に開きます。

   「キーストア」ペインが表示されます。

5. 「変更」をクリックします。
6. 「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします。
7. 「アイデンティティ」の下で、kss://system/collab_wls (「ディスカッションのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。
8. 「カスタム・アイデンティティ・キーストアのタイプ」として、KSSと入力します。
9. カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(welcome1など)。
10. 「信頼」の下で、「カスタム信頼キーストア」をkss://system/trustに設定し、「保存」をクリックします。
11. 「カスタム信頼キーストアのタイプ」としてKSSを入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。
12. WLS管理コンソールで、「サーバー」→「WC_Collaboration」に移動し、「構成」タブを開き、「SSL」サブタブを開きます。
13. 秘密鍵の別名(collab_wlsなど)を入力し、秘密鍵のパスワード(welcome1など)を設定します。
14. 「保存」をクリックしてエントリを保存します。
15. WebCenter Collaborationサーバー(WC_Collaboration)の「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。

    「一般構成」ペインが開きます。

16. 「SSLリスニング・ポートの有効化」を選択します。
17. SSLリスニング・ポート番号を入力し、「保存」をクリックします。
18. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。
19. 「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」に設定されていることを確認し、「保存」をクリックします。
20. 「制御」タブを開きます。

    「制御設定」ペインが開きます。

21. 「SSLの再起動」をクリックします。

29.3.3 ディスカッションのSSL接続の構成および保護

ディスカッションのSSL接続を構成する手順は次のとおりです。

1. WebCenter Collaborationサーバー(WC_Collaborationサーバー)を再起動して、SSLコラボレーションURL (https://host:port/owc_discussions)を開きます。
   URLにアクセスするときに、証明書が生成され、ブラウザに保存されます。
2. 証明書をダウンロードし、.PEMまたは.CRT形式で保存します。
3. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -importcert -alias collab_cert –file /filepath/sslcertificate/collabcert.crt –keystore..../oracle_common/jdk/jre/lib/security/cacerts

4. パスワードを求められたらchangeitを入力し、YESを入力します。
5. お知らせおよびディスカッションのために、Oracle Enterprise Managerでhttps://jiveのURLを登録します。
6. WC_Portal管理対象サーバーを再起動します。
7. お知らせおよびディスカッションをテストします。

29.4 SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護

SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。

• ポートレット・プロデューサのカスタム・キーストアの作成

• ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成

• ポートレット・プロデューサのSSL接続の構成

• SSL対応WSRPプロデューサの登録およびポートレットの実行

29.4.1 ポートレット・プロデューサのカスタム・キーストアの作成

KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次の手順が必要です。

1. WLSTコンソールを使用して、WebLogic Serverに接続します。

   connect('weblogic','password','host:port’)  

2. OPSSサービス参照を取得します。

   svc = getOpssService(name='KeyStoreService')

3. 新しいキーストアを作成します。

   注意:

   システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。

   svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアが作成されるストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)

4. キー・ペアを生成します。

   svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キー・ペアが生成されるキーストアの名前

   • password = キーストアのパスワード

   • dn = キー・ペアをラップする証明書の識別名

   • keysize = キーのサイズ

   • alias = キー・ペア・エントリの別名

   • keypassword = キーのパスワード

5. オプションで、キーストアとキーストア内の別名をリストします。

   これは、system/portlet_wlsをリストします:

   svc.listKeyStores(appStripe='*')

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアをリストするストライプの名前

   これは、エイリアスportlet_wlsをリストします:

   svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*です

6. syncKeyStoresを実行します。

   syncKeyStores(appStripe='system', keystoreFormat='KSS')

29.4.2 ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成

次の手順では、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portletなど)。

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。

ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

3. アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(WC_Portletなど)をクリックします。

   ポートレット・サーバーの「設定」ペインが表示されます。

4. 「構成」タブ、「キーストア」サブタブの順に開きます。

   「キーストア」ペインが表示されます。

5. 「変更」をクリックします。

6. 「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします

7. 「アイデンティティ」の下で、kss://system/portlet_wls (「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。

8. 「カスタム・アイデンティティ・キーストアのタイプ」として、KSSと入力します。

9. カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(welcome1など)。

10. 「信頼」の下で、「カスタム信頼キーストア」をkss://system/trustに設定し、「保存」をクリックします。

11. 「カスタム信頼キーストアのタイプ」としてKSSを入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。

12. 「SSL」タブを開きます。

13. 秘密鍵の別名(portlet_wlsなど)を入力し、秘密鍵のパスワード(welcome1など)を設定します。

14. 「保存」をクリックして、エントリを保存します。

注意:

ページレット・プロデューサでは、SSL構成のためにカスタム・アイデンティティおよびJava標準信頼キーストア・タイプを使用する必要があります。Java標準信頼キーストア(JKS)の構成方法の詳細は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のキーストアの構成に関する項 を参照してください。

29.4.3 ポートレット・プロデューサのSSL接続の構成

SSLを構成するには、『Oracle WebLogic Serverセキュリティの管理12c (12.2.1)』ガイドのWebLogic ServerにおけるSSLの構成の概要に関する項を参照してください。

ポートレット・サーバーのSSL接続を構成する手順は次のとおりです。

1. WebCenterポートレット・サーバー(WC_Portlet)の「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。
2. 「SSLリスニング・ポートの有効化」を選択します。
3. SSLリスニング・ポート番号を入力します。
4. 「保存」をクリックします。
5. 「構成」→「SSL」を選択し、ページの下部にある「詳細」オプションを開きます。
6. 「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」に設定されていることを確認します。
7. 「保存」をクリックします。
8. 「制御」タブを開きます。

   「制御設定」ペインが開きます。

9. 「SSLの再起動」をクリックします。
10. ポートレット・サーバー(WC_Portlet)を再起動して、SSL WSRPポートレットのURL (https://host:port/<context-root>/portlets/wsrp2?WSDL)を開きます。
11. セッションの証明書を受け入れ、WSDLをロードします。

29.4.4 SSL対応WSRPプロデューサの登録およびポートレットの実行

WebCenter Portalにポートレットを登録するために、WC_Portal管理対象サーバーを構成します。これは、JAVA_HOMEトラスト・ストア(/jdk/jre/lib/security/cacerts)内の証明書も使用します。

SSL対応WSRPプロデューサを登録し、ポートレットを実行する手順は次のとおりです。

1. SSL WSRPポートレットURL (https://host:port/<context-root>/portlets/wsrp2?WSDL)にアクセスしたときに、証明書が生成され、ブラウザに保存されています。
2. 証明書をダウンロードして、.PEMまたは.crt形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemに関する項を参照してください。

3. 次のkeytoolコマンドを使用して、/jdk/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert -alias portlet_cert -file portlet_pem -keystore cacerts
   

   ここで:

   • portlet_certは、ポートレット証明書の別名です。

   • portlet_pemは、ポートレット証明書ファイルです(例: portlet_cert.pem)。

4. WC_Portalを再起動します。
5. SSL対応ポートレットURLを登録します。registerWSRPProducer WLSTコマンドを実行して、プロデューサを登録します。

   registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl')
   

   ここで:

   • sslwsrpprodは、SSL対応WSRPプロデューサの名前です。

   • producer_wsdlは、SSL対応WSRPプロデューサのWSDL URLです。

   例:

   registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.com:7004/richtextportlet/portlets/wsrp2?WSDL')
   

6. HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。
7. ページを作成し、「ポートレット」リンクに移動します。
8. 登録済のWSRPプロデューサに移動します。
9. ポートレットをページに追加します。
10. ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。

29.5 WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護

SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、「アイデンティティ・ストアの構成」を参照してください。

Oracle WebLogicサーバーにとってCAが不明である場合は、次の各項で説明している追加手順を完了します。

• OID認証局(CA)のエクスポート

29.5.1 OID認証局(CA)のエクスポート

次の各トピックでは、OIDへのWebCenter Portal接続を保護する方法について説明します。

1. OIDでのSSLの有効化
2. OID証明書のインポート
3. SSL接続の確立

29.5.1.1 OIDでのSSLの有効化

このトピックでは、OIDでSSLを有効にする方法について説明します。

注意:

OIDはserver authモードで構成する必要があります。

1. 次のコマンドを実行して、Oracleウォレットを作成します。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet create -wallet <wallet_location>/OID_Wallet -auto_login
   

   注意:

   要求されたら、パスワードを入力します。

   各要素の意味は次のとおりです。

   • <OID_INSTALL_LOC>はOIDがインストールされている場所です。

     <wallet_location>はOID_Walletという名前の新しいウォレットを作成する場所です。ウォレットの場所を指定しない場合、新しいウォレットは、コマンドを実行する、現在のディレクトリ内に作成されます。

2. 次のコマンドを実行して、Oracleウォレットに証明書を追加します。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet add -wallet -wallet <wallet_location>/OID_Wallet -dn cn=<Domain name> -keysize 2048 -self_signed -sign_alg sha1 -validity 1000

   各要素の意味は次のとおりです。

   • <OID_INSTALL_LOC>はOIDのインストール場所です。

   • <wallet_location>はウォレットの場所です。

   • cnはOIDサーバーがインストールされているドメインの名前です。/etc/hostsファイルからドメイン名を見つけることができます。 

     たとえば、cn=<Domain name>などです。 

   • -sign_algは署名アルゴリズムです。MD5は署名アルゴリズムのデフォルト値です。   

     JDKの最新バージョンであるJDK8はMD5アルゴリズムをサポートしないので、署名アルゴリズムにはsha1またはsha2を指定する必要があります。たとえば、sha1です。

   • -self_signedは自己署名証明書です。

     CAにより信頼された証明書を取得し、適切にインポートすることもできます。詳細は、「Secure Sockets Layer (SSL)の構成」を参照してください。

3. 次のコマンドを実行してOIDでSSLパラメータを構成します。

   ldapmodify -h OID_host -p OID_port -D cn=OID_admin -w password
   dn:cn=oid1,cn=osdldapd,cn=subconfigsubentry
   changetype: modify
   replace: orclsslauthentication
   orclsslauthentication: 32
   -
   replace: orclsslwalleturl
   orclsslwalleturl: file://<wallet_location>/OID_wallet
   

4. OIDサーバーを再起動します。
5. 次のコマンドを実行することで、SSL接続が正常に作成されたことを確認します。

   ./ldapbind -h OID_host -p OID_port -U 2 -W file://<wallet_location>/OID_Wallet  -P password

   各要素の意味は次のとおりです。

   • <wallet_location>/OID_Walletはウォレットの場所です。

6. 次のコマンドを実行して証明書をエクスポートします。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet export -wallet /<wallet_location>/OID_Wallet -dn "cn=<Domain name>" -cert oid_trust.cer

   各要素の意味は次のとおりです。

   • <OID_install_LOC>/<wallet_location>/OID_Walletはウォレットの場所です。

   • oid_trust.cerは証明書です。デフォルトでは、ウォレットの証明書は、コマンドが実行される現行ディレクトリに作成されます。パスを指定する場合、ウォレットの証明書は/OID_Install_LOC/oid_cert_trust.cerなどの指定された場所に作成されます。

29.5.1.2 OID証明書のインポート

このトピックでは、OID証明書をWebCenterのWebLogic Serverトラスト・ストアにインポートする方法について説明します。

注意:

この手順はWebCenter PortalサーバーがインストールされているWebLogicドメインで実行する必要があります。

1. 次のコマンドを使用して、証明書をWebCenter PortalのOracle WebLogic Server信頼ストアにインポートします。

   keytool -importcert -v -trustcacerts -alias oid_server_trust -file oid_trust.cer -keystore cacerts -storepass changeit

   注意:

   cacertsパスは、次の手順で取得できます。

   1. WebLogicコンソールにログインし、「サーバー」に移動し、WC_Portalサーバーをクリックします。

   2. 「構成」をクリックし、「キーストア」サブタブをクリックします。

   3. Java標準信頼キーストアで指定されたパスを確認します。

      注意:

      Java標準信頼キーストアで指定されたパスはcacertパスです。

2. Oracle WebLogic ServerでOIDを構成します。

   詳細は、「Oracle Internet Directoryオーセンティケータの構成」を参照してください。

   注意:

   プロバイダ固有の情報を入力する場合は、SSLホストおよびポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。

29.5.1.3 SSL接続の確立

このトピックでは、アイデンティティ・ストアとLDAPサーバー間にSSL接続を確立する方法について説明します。

注意:

この手順はWebCenter PortalサーバーがインストールされているWebLogicドメインで実行する必要があります。

1. 次のスクリプトを実行して、環境を設定します。

   setenv WL_HOME <WCP_INSTALL_LOCATION>/wlserver  
   setenv ORACLE_HOME <WCP_ORACLE_HOME> 
   cd $WL_HOME/server/bin 
   ./setWLSEnv.sh 
   cd $ORACLE_HOME/oracle_common/bin

2. 次のスクリプトを使用して、キーストアを作成します。

   libovdconfig.sh -host wls_host -port wls_adminserver_port -userName
   wls_user_name -domainPath full_path_domain_home -createKeystore

   • hostはOracle WebLogic Serverホストです。

   • portはOracle WebLogic Serverの管理サーバーのポートです。

   • usernameはOracle WebLogic Serverの管理ユーザー名です。

   • domainPathはドメイン・ホームへの完全パスです。

   注意:

   キーストアは次の場所に作成されます。keystore $DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks
3. keytoolコマンドを使用して、証明書をキーストアにインポートします。adapters.jksという名前のキーストアに対する構文は次のとおりです。

   以前に生成したOIDをエクスポートしたことを確認します。詳細は、「OIDでのSSLの有効化」を参照してください。

   注意:

   キーストアadapters.jksが手順2で作成されます。

   $JAVA_HOME/bin/keytool -importcert 
   -keystore $DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks 
   -storepass keystore_password_used_in_libovdconfig.sh 
   -alias alias_name 
   -file full_path_to_LDAPCert_file 
   -noprompt

4. Oracle WebLogic Serverと管理対象サーバーを再起動します。
5. WebCenter Portalにアクセスし、OIDユーザーとしてログインします。正常にログインできるようになります。

   注意:

   ホスト名の検証の例外を受信した場合、次のパラメータを設定します。

    -Dweblogic.security.SSL.ignoreHostnameVerification=true

29.6 SSLを使用したWebCenter PortalからContent Serverへの接続の保護

リポジトリの接続を作成するコンテンツ・サーバーとWebCenter Portalアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播は保護されません。アイデンティティ伝播のセキュリティを確保するには、コンテンツ・サーバーのSSLも構成する必要があります。

SSLを使用したコンテンツ・サーバーの保護には、次のタスクが含まれます。

• WebCenter Portal (クライアント)側のキーストアおよびキーの構成

• コンテンツ・サーバー側のキーストアおよびキーの構成

• 信頼できるクライアントのシグネチャの確認

• アイデンティティ伝播の保護

本番環境では、実際の証明書のみを使用することをお薦めします。実際の証明書を使用する場合のキーストアの構成方法の詳細は、『Oracle WebCenter Contentの管理』のコンテンツ・サーバーのセキュリティ・プロバイダの理解に関する項を参照してください。

29.6.1 WebCenter Portal (クライアント)側のキーストアおよびキーの構成

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。

(クライアント)側のキーストアを構成する手順:

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。
2. 次のkeytoolコマンドを実行して、クライアント・キーストアを生成します。

   svc.generateKeyStore(appStripe='stripe1', name='keystore1', password='password', alias=Client private key alias dn='cn=client)
   

3. キーが正常に作成されたことを確認するために、オプションで次のkeytoolコマンドを実行できます。

   svc.listKeyStoreAliases(appStripe="stripe1",name="keystore1", password='', type="*")
   

   エイリアスClient private key aliasがリストされます

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

5. 次のkeytoolコマンドを実行して、クライアントの公開鍵をエクスポートします。

   exportKeyStore(appStripe='stripe1', name='keystore', 
   password='password', alias='Client private key alias', keypassword='keypass1', 
   filepath='client.pubkey')

29.6.2 コンテンツ・サーバー側のキーストアおよびキーの構成

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。

コンテンツ・サーバー側のキーストアを構成する手順:

1. keytoolの場所(例: jdk/bin)に移動し、コマンド・プロンプトを開きます。
2. 次のkeytoolコマンドを実行して、サーバー・キーストアを生成します。

   svc.generateKeyPair(appStripe='stripe1', name='keystore', password='password', dn='cn=server', keysize='2048', alias='Server public key alias', keypassword='keypass1')
   

3. キーが正常に作成されたことを確認するには、次のkeytoolコマンドを実行します。

   svc.listKeyStoreAliases(appStripe="stripe1",name="keystore1", password='', type="*")
   

   エイリアスServer private key aliasがリストされます

4. キーを使用するには、次のkeytoolコマンドを実行してキーに署名します。

5. 次のkeytoolコマンドを実行して、サーバーの公開鍵をサーバー・キーストアにエクスポートします。

   svc.exportKeyStore(appStripe='stripe1', name='keystore1', password='password', alias='Server public key alias', keypassword='keypass1', type='TrustedCertificate', filepath='server.pubkey')

29.6.3 信頼できるクライアントのシグネチャの検証

信頼できるクライアントのシグネチャを検証するには、クライアントの公開鍵をサーバー・キーストアにインポートします。

1. keytoolが配置されている場所に移動し、コマンド・プロンプトを開きます。
2. 信頼できるクライアントのシグネチャを検証するには、次のkeytoolコマンドを実行して、クライアントの公開鍵をサーバー・キーストアにインポートします。

   importKeyStore(appStripe='stripe1', name='keystore1', password='password', 
   aliases='Client public key alias', keypasswords='keypass1', 
   type='TrustedCertificate', filepath='client.pubkey')
   

3. 次のkeytoolコマンドを実行して、サーバーの公開鍵をクライアント・キーストアにインポートします。

   importKeyStore(appStripe='stripe1', name='keystore1', password='password', 
   aliases='Server public key alias', keypasswords='keypass1', 
   type='TrustedCertificate', filepath='server.pubkey')
   

   キーを自己認証するかどうかを尋ねられたら、Yesと入力します。次に、この手順が正常に完了すると生成されるサンプル出力を示します。

   keytoolにより生成されるサンプル出力

   [user@server]$ keytool -import -alias client -file client.pubkey
   -keystore server-keystore.jks -keypass Server private key password -storepass Keystore password
   Owner: CN=client
   Issuer: CN=client
   Serial number: serial number, for example, 123a19cb
   Valid from: Date, Year, and Time until: Date, Year, and Time
   Certificate fingerprints:
           ...
   Trust this certificate? [no]:  yes
   Certificate was added to keystore.

29.6.4 アイデンティティ伝播の保護

アイデンティティ伝播を保護するには、コンテンツ・サーバーのSSLを構成する必要があります。

1. コンテンツ・サーバーに管理者としてログオンします。
2. 「管理」から、「プロバイダ」を選択します。
3. 「新規プロバイダの作成」ページで、sslincomingの「追加」をクリックします。
4. 「受信プロバイダの追加」ページの「プロバイダ名」に、プロバイダの名前(たとえば、sslincomingprovider)を入力します。

   新規プロバイダが設定されたら、そのプロバイダ名を持つディレクトリが、CONTENT_SERVER_HOME/data/providersディレクトリのサブディレクトリとして作成されます。

5. 「プロバイダの説明」に、プロバイダの短い説明(たとえば、SSL Incoming Provider for securing the Content Server)を入力します。
6. 「プロバイダ・クラス」に、sslincomingプロバイダのクラス(たとえば、idc.provider.ssl.SSLSocketIncomingProvider)を入力します。

   注意:

   新規のSSLキープアライブ受信ソケット・プロバイダまたは新規のSSL受信ソケット・プロバイダを追加できます。キープアライブ・ソケットを使用すると、セッションのパフォーマンスが向上するため、ほとんどの実装で推奨されます。

7. 「接続クラス」に、接続のクラス(たとえば、idc.provider.KeepaliveSocketIncomingConnection)を入力します。
8. 「サーバー・スレッド・クラス」に、サーバー・スレッドのクラス(たとえば、idc.server.KeepaliveIdcServerThread)を入力します。
9. 「サーバー・ポート」に、オープン・サーバー・ポート(たとえば、5555)を入力します。
10. 「クライアントの認証が必要」チェック・ボックスを選択します。
11. 「キーストア・パスワード」に、キーストアにアクセスするためのパスワードを入力します。
12. 「別名」に、キーストアの別名を入力します。
13. 「別名パスワード」に、別名のパスワードを入力します。
14. 「トラスト・ストア・パスワード」に、トラスト・ストアのパスワードを入力します。
15. 「追加」をクリックします。

    新規の受信プロバイダが追加されました。

16. 手順4で作成した新規のプロバイダ・ディレクトリに移動します。
17. トラスト・ストアとキーストアを指定するには、sslconfig.hdaという名前のファイルを作成します。
18. サーバー・キーストアをサーバーにコピーします。
19. sslconfig.hdaファイルを構成します。次は、トラストストアとキーストアの情報を入力した後の.hdaファイルを示しています。

    サンプルsslconfig.hdaファイル

    @Properties LocalData
    TruststoreFile=/tmp/ssl/server_keystore
    KeystoreFile=/tmp/ssl/server_keystore
    @end

29.7 SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護

メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。

SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。

1. ブラウザを開き、次のコマンドを使用してIMAPサーバーに接続します。

   https://imapserver:ssl_port
   

   例:

   https:mailserver.example:993 
   

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。
3. 「証明書」をクリックします。
4. ポップアップ・ウィンドウで、「詳細」タブをクリックし、「ファイルにコピー...」をクリックします。

   必ずDER encoded binary(X.509)形式を使用してファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

6. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias imap_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 「メール・サーバーの登録」の説明に従って、メール・サーバーへの接続を登録します。
8. WebCenter Portalを再起動します。
9. WebCenter Portalにログインし、メール資格証明を提供します。

29.8 SSLを使用したOracle SESへの接続の保護

SES用にSSLを構成するシナリオは2つあります。1つ目のシナリオは、WebCenter PortalがすでにSSLを使用して保護されているが、SESは保護されていない場合です。2つ目のシナリオは、SESがすでにSSLを使用して保護されているが、WebCenter Portalは保護されていない場合です。これら2つのシナリオについて、次の各項で説明します。

• SSLを使用したOracle SESの保護

• SSLを使用したOracle SESへの接続の保護

29.8.1 SSLを使用したOracle SESの保護

注意:

このシナリオでは、WebCenter PortalはすでにSSLを使用して保護されていますが、SESは保護されていません。

SSLを使用してSESを保護する手順は次のとおりです。

SESへの接続を登録する前に、まず、証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。

HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。

1. 次の証明書名を使用して、WebCenter側でSSLを構成します。

   cn=<myhost>
   

   <myhost>は、WebCenterがインストールされているホストの完全修飾名です。

   WebCenter PortalでのSSLの構成の詳細は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。

2. WebCenter証明書をPEM形式で(つまり<myhost>.crtとして)エクスポートします。

   Firefox 3.0以降を使用すると、証明書を.PEM形式で直接ダウンロードできます。それ以外のブラウザの場合は、次の手順を実行した後、WebLogic Serverのder2pemツールを使用してPEM形式に変換してください。

   1. 「証明書」をクリックします。

   2. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

      DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。

   3. .DER形式の証明書を.PEM形式に変換します。

      der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

3. SESで、次のキーストアに証明書をインポートします。

   • <SES Installation Directory>/jdk6/jre/lib/security/cacerts

   • <SES Installation Directory>/seshome/jdk/jre/lib/security/cacerts

   次のコマンドを使用します。

   keytool -importcert -trustcacerts -alias webcenter_wls -file <myhost>.crt -keystore cacerts -storepass changeit
   

4. 正常にハンドシェイクを実行するには、次の手順が必要です。

   1. 次のコマンドを使用して、WebCenter Portalを再起動します。-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1

   2. 10.3.6パッチをSESサーバーに適用します。http://aru.us.oracle.com:8080/ARU/ViewPatchRequest/process_form?aru=17092883

   注意:

   • WebLogic ServerのSESのサーバー・バージョンは10.3.6で、WebCenterのWebLogic Serverバージョンは12.2.1です。

   • デフォルトでは、TLSv1.1およびTLSv1.2のみが12.2.1でサポートされています。10.3.6およびJDK 1.6_29 (SES環境)では、SSLv3およびTLSv1のみがサポートされています。

5. SESで、クロールおよび認可エンドポイントがWebCenter PortalアプリケーションのHTTPSポートを指す、Oracle WebCenterのソースを作成します。

6. クロールのスケジュールおよびソース・グループを作成します(「Fusion Middleware Controlを使用した検索パラメータとクローラの構成」を参照)。

7. SESのWebCenter側の構成を完了し、SESおよびWebCenter Portalを再起動します。

8. WebCenter Portalでいくつかオブジェクトを作成し、クロールを開始します。

9. クロールが完了したら、キーワード検索を実行します。WebCenter Portalに結果が表示されます。

29.8.2 SSLを使用したOracle SESへの接続の保護

注意:

このシナリオでは、WebCenter PortalはSSLを使用して保護されていませんが、SESは保護されています。

SES証明書をWebCenter Portalトラスト・ストアにインポートする手順は次のとおりです。

1. SESでのSSLを有効にします。
   1. Oracle SES管理コンソールで、デフォルト設定の「デモ・アイデンティティとデモ信頼」のままにします。
   2. 検索サーバー(search_server1など)にアクセスし、「全般」ページで「SSLリスニング・ポートの有効化」を「True」に設定して、SESでのSSLを有効にします。
   3. サーバーを再起動します
2. Oracle SESをWebCenterに登録し(「Oracle Secure Enterprise Searchサーバーの登録」を参照)、SSL対応SESインスタンスをWebCenter Portalに登録します。
3. ブラウザを使用して、Oracle Secure Enterprise Searchが検索リクエストを有効化するために公開するWebサービスURLにナビゲートします。

   http://host:port/search/query/OracleSearch
   

   例:

   https://example.com:7777/search/query/OracleSearch
   

4. ページにカーソルを置いて、マウスで右クリックし、「プロパティ」を選択します。
5. 「証明書」をクリックします。
6. ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。

   DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。

7. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemに関する項を参照してください。WebLogicでは、.PEM以外の形式は認識されません。

8. 次のコマンドを使用して、JDK_HOMEのWebCenter Portal cacertsに証明書をインポートします。

   keytool -import -alias ses_cer -file cert_file.cer -keystore cacerts -storepass changeit 
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

9. 「Oracle Secure Enterprise Searchサーバーの登録」の手順に従って、SESへの接続を登録します。
10. WebCenter Portalを再起動します。

29.9 SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護

この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。

注意:

SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。

SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護する手順は次のとおりです。

1. Oracle SOA 12cをインストールし、構成します。
   『SOA SuiteおよびBusiness Process Management SuiteのQuick Start for Developersのインストール』のOracle SOA SuiteのQuick Start for Developersのインストールに関する項を参照してください。
2. WebCenterから、次のコマンドを実行して、WebCenterのSOAへの接続を作成します。

   createBPELConnection('webcenter','WebCenter-Worklist'
   setSpacesWorkflowConnectionName('webcenter', 'WebCenter-Worklist', 'SOA_host:port','oracle/wss10_saml_token_client_policy')

3. WebCenterから、SSLを有効にします。
   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」の手順に従います。
4. SOAから、SSLを有効にします。
   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」の手順に従います。ただし、webcenter_wlsのかわりにsoa_wlsを使用し、webcenteridentityのかわりにsoaidentityを使用します。
5. WebCenter PortalおよびSOAのキーストアを構成します。
   「WebCenter Portalドメイン・キーストアの作成」および「SOAドメイン・キーストアの作成」を参照してください。
6. WebCenter WebLogicサーバーとSOA WebLogicサーバーを同じOIDにワイヤリングします。
7. WebCenterから、SOAの公開証明書およびCA証明書をWebCenterトラスト・ストアにインポートします。

   keytool -importcert -trustcacerts -alias soa_cert -file /filepath/certificate/bpel.cer -keystore /filepath/cacerts -storepass changeit

   keytool -importcert -trustcacerts -alias soa_trust -file /filepath/certificate/democabpel.cer -keystore /filepath/cacerts -storepass changeit

8. SOAから、WebCenterの公開証明書およびCA証明書をSOAトラスト・ストアにインポートします。

   keytool -importcert -trustcacerts -alias webcenter_cert -file /filepath/certificate/webcenter.cer -keystore /filepath/cacerts -storepass changeit

   keytool -importcert -trustcacerts -alias webcenter_trust -file /filepath/certificate/democaprod.cer -keystore /filepath/cacerts -storepass changeit

9. WebCenterから、Oracle Enterprise ManagerのSOA HTTPSホストおよびポートを使用するように、SOA接続の詳細を変更します。
10. WebcenterのsetDomainEnv.shに、-Dweblogic.security.SSL.ignoreHostnameVerification=trueをEXTRA_JAVA_PROPERTIESとして追加します。
11. WC_PortalサーバーおよびSOA管理対象サーバーを再起動します。