Oracle® Fusion Middleware Oracle WebLogic Serverプロキシ・プラグイン12.2.1.1.0の使用 12c (12.2.1.1.0) E77241-02 |
|
前 |
次 |
Secure Sockets Layer (SSL)プロトコルを使用することで、プラグインとOracle WebLogic Serverとの間の接続を保護できます。SSLプロトコルによって、プラグインとWebLogic Serverとの間で渡されるデータの機密性と整合性が保持されます。
プラグインでは、プラグインとWebLogic Serverとの間の接続の保護にSSLを使用するかどうかの決定に、HTTPリクエストで指定された(通常はブラウザによって指定)トランスポート・プロトコル(HTTPまたはHTTPS)を使用しません。つまり、プラグインは、(通常はブラウザからの)HTTPリクエストでHTTPS (SSL)が使用されるかどうかには一切依存しません。
かわりに、プラグインでは、「Webサーバー・プラグインのSSLパラメータ」で説明されているように、SSLをいつ使用をするかを決定するため、プラグインに対して次のように構成したSSLパラメータを使用します。
WebLogicSSLVersion
—プラグインとWebLogic Serverの間の通信に使用するSSLプロトコル・バージョンを指定します。
WLSSLWallet
- バージョン12c (12.2.1.1.0)のプラグインでは、SSL構成情報の格納にOracleウォレットが使用されます。ウォレットを構成するには、SSL構成パラメータWLSSLWallet
を使用します。この目的のために、プラグインのディストリビューション内にorapkiユーティリティが用意されています。
orapkiユーティリティでは、ウォレット、証明書失効リストなど、公開鍵インフラストラクチャ(PKI)の要素をコマンド行で管理するため、実行するタスクをスクリプトに組み込むことができます。これを使用して、PKIを保守するルーチン・タスクの多くを自動化できます。
詳細は、orapkiユーティリティを使用した証明書検証およびCRL管理に関する項を参照してください。
SecureProxy
-SecureProxy
パラメータによって、SSLを有効にするかどうかを決定します。
注意:
現在のリリースに有効なセキュリティ・プロトコルおよび暗号の詳細は、『Oracle HTTP Serverの管理』のSSLCipherSuiteに関する項およびSSLProtocolに関する項を参照してください。
双方向SSLについては、Oracle WebLogic Serverが双方向SSLを使用するように構成されている場合にクライアント証明書をリクエストすると、プラグイン(SSLクライアント)によって自動的に双方向SSLが使用されます。
クライアント証明書がリクエストされない場合は、デフォルトでプラグインは一方向SSLになります。
注意:
Apacheプラグイン(Oracle HTTP Serverを含む)と同じシステム上にOracle Fusion Middleware 12c (12.2.1.1.0)製品がインストールされている場合は、ORACLE_HOME変数が有効なインストール環境を指している必要があり、そうでない場合は、プラグインによるSSLの初期化が失敗します。
たとえば、製品が正常に削除されなかったためにORACLE_HOMEが無効になっている場合、プラグインによるSSLの初期化は失敗します。
この項の内容は次のとおりです。
プラグインでは、SSLをサポートするためにOracleライブラリ(NZ)が使用されます。ライブラリはサイズが大きいため、SSLの使用が必要な場合のみロードされます。lib/*.so*にあるライブラリ・ファイルは、必ず、プラグインによる動的なロードが可能な適切な場所に配置する必要があります。
Apache HTTPサーバー用プラグインのライブラリを構成するには、次のような方法があります。
Windows: .dllファイルを含むlib
ディレクトリをPATH変数で指定するか、*.dllファイルをbin
ディレクトリにコピーします。
UNIX: ライブラリを含むフォルダを指すようLD_LIBRARY_PATHを設定するか、ライブラリをlib
ディレクトリにコピーします。
PATH
変数(Windows)またはLD_LIBRARY_PATH 変数(UNIX)を更新するのではなく、ライブラリをコピーした場合は、新しいバージョンのプラグインをインストールするたびにライブラリをコピーしなおす必要があります。
一方向SSLを構成するには、次の手順に従ってください。
この手順では、WebLogic Serverがインストールされているシステム上でkeytoolコマンドを実行し、バージョン12c (12.2.1.1.0)のプラグインがインストールされているシステム上でorapkiコマンドを実行します。
注意:
この項で示す例には、WebLogic ServerのデモCAが使用されています。本番環境でプラグインを使用している場合は、プラグインおよびOracle WebLogic Serverに対して、信頼性のあるCAが正しく構成されていることを確認してください。
SSL用にOracle WebLogic Serverを構成します。詳細は、『Oracle WebLogic Serverセキュリティの管理』のSSLの構成に関する項を参照してください。
orapkiユーティリティを使用してOracleウォレットを作成します。
orapki wallet create -wallet mywallet -auto_login_only
詳細は、『Oracle Fusion Middleware管理者ガイド』のorapkiユーティリティを使用した証明書検証およびCRL管理に関する項を参照してください。
注意:
ウォレットにアクセスできるのは、そのウォレットを作成したユーザーのみです(Windowsの場合はSYSTEMアカウント)。
通常、WindowsではSYSTEMアカウント、UNIXではウォレットの作成ユーザーとして実行されるため、Apache HTTP Server用Oracle WebLogic Serverプロキシ・プラグインについてはこれで十分です。ただしIISの場合は、デフォルト・ユーザーがIUSR_<Machine_Name> (IIS6.0以下)またはIUSR (IIS7.0以上)であるため、ウォレットは機能しません。
Apache HTTP Server用Oracle WebLogic Serverプロキシ・プラグインまたはMicrosoft IIS Web Server用Oracle WebLogic Serverプロキシ・プラグイン12c (12.2.1.1.0)を実行するユーザーが、ウォレットを作成するユーザー(Windowsの場合はSYSTEMアカウント)と異なる場合には、ウォレットの作成後にcacls
コマンド(Windows)またはchmod
コマンド(UNIX)を実行してユーザーにそのウォレットへのアクセス権を付与する必要があります。次にその例を示します。
cacls <wallet_path>\cwallet.sso /e /g IUSR:R
OracleウォレットにWLS信頼証明書をインポートします。
orapki wallet add -wallet mywallet -trusted_cert -cert <cert_file_name> -auto_login_only
Webサーバーの構成ファイルを次のように構成します。
Oracle HTTP Serverの場合、mod_wl_ohs
.conf
ファイルを次のように編集します。
<IfModule mod_weblogic.c> WebLogicHost host WebLogicPort port SecureProxy ON WLSSLWallet path_to_wallet </IfModule>
Microsoft IISの場合は、次のようにiisproxy.ini
ファイルを編集します。
WebLogicHost=host WebLogicPort=port SecureProxy=ON WLSSLWallet=path_to_wallet
これらの例で使用されているパラメータの詳細は、「Webサーバー・プラグインのパラメータ」を参照してください。
バックエンドのOracle WebLogic Serverインスタンスのバージョンが10.3.4以降の場合は、次の手順に従ってください。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ペインで、「環境」ノードを開きます。
Oracle HTTP Serverからリクエストをプロキシするサーバー・インスタンスがクラスタにある場合は、「クラスタ」を選択します。
それ以外の場合は、「サーバー」を選択します。
Oracle HTTP Serverからリクエストをプロキシするサーバーまたはクラスタを選択します。
「構成」: 「一般」タブで、「詳細」セクションまでスクロール・ダウンして開きます。
次のいずれかの操作を行います。
目的 | 選択オプション |
---|---|
一方向SSLの有効化 |
WebLogicプラグインの有効化 |
認証にクライアント証明書が使用される双方向SSLの有効化 |
クライアント証明書プロキシの有効化 |
クライアント証明書による双方向SSLの有効化 |
両方 |
手順5.bで「サーバー」を選択した場合は、Oracle HTTP Serverからのリクエストをプロキシする他のサーバーに対して手順5.cと5.dを繰り返します。
「保存」をクリックします。
変更内容を有効にするには、サーバー・インスタンスを再起動する必要があります。
ブラウザからhttp://host:port/mywebapp/my
.jspにリクエストを送信し、レスポンスを確認します。
Oracle WebLogic Serverを双方向SSL用に構成してある場合は、プラグインによってユーザー証明書がWebLogic Serverに転送されます。WebLogic Serverがユーザー証明書を確認できれば、双方向SSLを確立できます。
「一方向SSL用のプラグインの構成」で説明されている手順に加えて、次の手順も実行してください。
この手順では、WebLogic Serverがインストールされているシステム上でkeytoolコマンドを実行します。また、バージョン12c (12.2.1.1.0)プラグインがインストールされているシステム上でorapkiコマンドを実行します。
Secure Sockets Layer (SSL)プロトコルを使用することで、iPlanet Web Serverプラグイン用Oracle WebLogic Serverプロキシ・プラグイン12c (12.2.1.1.0)とOracle WebLogic Serverとの間の接続を保護できます。SSLプロトコルによって、Oracle iPlanet Web ServerプラグインとOracle WebLogic Serverとの間で渡されるデータの機密性と整合性が保持されます。
iPlanet Web Serverプラグイン用Oracle WebLogic Serverプロキシ・プラグイン12c (12.2.1.1.0)では、iPlanet Web Server用Oracle WebLogic Serverプロキシ・プラグイン12c (12.2.1.1.0)とOracle WebLogic Serverとの間の接続の保護にSSLプロトコルを使用するかどうかを判断するために、(通常はブラウザによる)HTTPリクエストで指定される転送プロトコル(httpまたはhttps)は使用されません。
Oracle iPlanet Web ServerプラグインとOracle WebLogic Serverとの間でSSLプロトコルを使用するには:
Service
ディレクティブのWebLogicPort
パラメータを、手順1で構成したリスニング・ポートに設定します。Service
ディレクティブのSecureProxy
パラメータをON
に設定します。obj.conf
ファイル内のService
ディレクティブで、SSL接続に関する情報を定義するその他のパラメータを設定します。パラメータのリストは、「Webサーバー・プラグインのSSLパラメータ」を参照してください。