機械翻訳について

Oracle Java Cloud ServiceインスタンスのSSLの構成

Secure Socket Layer (SSL)は、インターネット経由で送信されるデータを保護するための最も一般的に使用されているメソッドで、ビジターにアプリケーションとのトランザクションが安全であることを保証します。 アプリケーションが安全にアクセスされるようにするため、Oracle Java Cloud Serviceインスタンスでクライアント・ブラウザとロード・バランサ間のSSLを構成できます。

Oracle Java Cloud ServiceインスタンスのOracle WebLogic Serverとロード・バランサを含むソフトウェア・コンポーネント内では、デフォルトでSSLがすでに有効になっています。 これらは、Oracle Java Cloud Serviceによって生成された自己署名SSL証明書を使用するように構成されています。 通常、クライアントは証明書の署名CAが不明で信頼できないことを示すメッセージを受信します。

別の証明書を使用するようにロード・バランサを更新できます。 開始する前に、Oracle Java Cloud Serviceインスタンスのカスタム・ドメイン名の定義で説明されているように、Oracle Java Cloud Serviceインスタンスでロード・バランサを有効化し、カスタム・ドメイン名を登録したことを確認してください。

タスク:

• ロード・バランサでの自己署名SSL証明書の作成
• ロード・バランサへのCA発行SSL証明書のインポート
• SSL証明書のロード・バランサとの関連付け

ロード・バランサでの自己署名SSL証明書の作成

Oracle Java Cloud Serviceの開発環境では、CA発行証明書または自己署名証明書のいずれかを使用できます。 自己署名証明書はロード・バランサ・コンソールを使用して作成できます。

かわりにCA発行証明書を使用するには、ロード・バランサへのCA発行SSL証明書のインポートを参照してください。

1. Oracle Java Cloud Serviceコンソールのサービスページに移動します。
2. 目的のサービス・インスタンスのをクリックし、ロード・バランサ・コンソールを開くを選択します。
3. サービス・インスタンスのプロビジョニング時に定義した資格証明を使用してコンソールにログインします。

   Oracle Java Cloud Serviceコンソールを使用してサービス・インスタンスを作成した場合、ユーザー名およびパスワードのデフォルトはOracle WebLogic Server管理コンソールのユーザー名およびパスワードになります。

4. ロード・バランサ構成(たとえば、opc-config)にアクセスします。
   • サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、ターゲット・ナビゲーション・アイコンをクリックします。 Traffic Directorフォルダを開き、Traffic Director構成の名前をクリックします。
   • サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、構成をクリックし、Traffic Director構成の名前をクリックします。
5. サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、次の手順に従って自己署名証明書を作成します。
   1. Traffic Director構成をクリックし、セキュリティ→証明書の管理を選択します。
   2. 鍵ペアの生成ボタンをクリックします。
   3. 新しい証明書の別名を入力します。
   4. 共通名にカスタム・ドメイン名を設定します。 たとえば、example.comとします。
   5. 残りのフィールドに入力して、OKをクリックします。
6. サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、次の手順に従って自己署名証明書を作成します。
   1. ナビゲーション・ペインでSSLを開き、サーバー証明書を選択します。
   2. 新規自己署名証明書をクリックします。
   3. サーバー名にカスタム・ドメイン名を設定します。 たとえば、example.comとします。
   4. 残りのフィールドに入力して、次をクリックします。
   5. 証明書オプションページで、証明書のニックネーム(別名)を入力します。 次へをクリックします。
   6. 証明書の作成をクリックします。

ロード・バランサへのCA発行SSL証明書のインポート

Oracle Java Cloud Serviceの本番環境では、CA発行SSL証明書を使用することをお薦めします。 CA発行SSL証明書によって中間者攻撃に遭う機会が減少します。

今日の市場には多数のCAベンダーが存在し、各社は様々なサービス・レベルを対応する価格帯で提供します。 ユーザーのサービス・レベルおよび予算の要件に一致するCAベンダーを調査して選択してください。

CAベンダーがCA発行SSL証明書を発行するには、次の情報を提供する必要があります。

• ユーザーのカスタム・ドメイン名。

• ユーザーを所有者として確認する、ドメインに関連付けられた公開情報。

• 検証用にカスタム・ドメインに関連付けられた電子メール・アドレス。

ロード・バランサ・コンソールを使用して証明書署名リクエスト(CSR)を作成し、CSRをCAベンダーに提出します。 CA発行証明書を受信したら、それをロード・バランサ構成にインポートします。

1. Oracle Java Cloud Serviceコンソールのサービスページに移動します。
2. 目的のサービス・インスタンスのをクリックし、ロード・バランサ・コンソールを開くを選択します。
3. サービス・インスタンスのプロビジョニング時に定義した資格証明を使用してコンソールにログインします。

   Oracle Java Cloud Serviceコンソールを使用してサービス・インスタンスを作成した場合、ユーザー名およびパスワードのデフォルトはOracle WebLogic Server管理コンソールのユーザー名およびパスワードになります。

4. ロード・バランサ構成(たとえば、opc-config)にアクセスします。
   • サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、ターゲット・ナビゲーション・アイコンをクリックします。 Traffic Directorフォルダを開き、Traffic Director構成の名前をクリックします。
   • サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、構成をクリックし、Traffic Director構成の名前をクリックします。
5. サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、次の手順に従ってCSRを生成します。
   1. Traffic Director構成をクリックし、セキュリティ→証明書の管理を選択します。
   2. 鍵ペアの生成ボタンをクリックします。
   3. 新しい証明書の別名を入力します。
   4. 共通名にカスタム・ドメイン名を設定します。 たとえば、example.comとします。
   5. 残りのフィールドに入力して、OKをクリックします。
   6. 新しい証明書を選択してCSRの生成をクリックします。
6. サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、次の手順に従ってCSRを生成します。
   1. ナビゲーション・ペインでSSLを開き、サーバー証明書を選択します。
   2. 証明書リクエストの作成をクリックします。
   3. サーバー名にカスタム・ドメイン名を設定します。 たとえば、example.comとします。
   4. 残りのフィールドに入力して、次をクリックします。
   5. 証明書オプションページで、次をクリックしてデフォルトを受け入れます。
   6. 「CSRの作成」をクリックします。
7. 生成されたCSRテキストを保存します。これにはヘッダー行(-----BEGIN NEW CERTIFICATE REQUEST-----)とフッター行(-----END NEW CERTIFICATE REQUEST-----)も含めます。

   次に例を示します。

   -----BEGIN NEW CERTIFICATE REQUEST-----
   MIIC9jCCAd4CAQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMQwwCgYDVQQH
   EwNTQ0ExDzANBgNVBAoTBk9yYWNsZTEPMA0GA1UECxMGT3JhY2xlMRQwEgYDVQQD
   I+XY7ByYRma1XlM1cYoMUiKSnRHdllUZMRwYHu4AZvrEMIhKjB6YiC0F
   -----END NEW CERTIFICATE REQUEST-----
   

   CSRには、CAベンダーがロード・バランサ・サーバーのアイデンティティを検証するために必要とする公開鍵およびその他の情報が含まれます。

8. CSRをCAベンダーに提出して新規のCA発行SSL証明書をリクエストします。

   CSRの提出の詳細は、CAベンダーのドキュメントを参照してください。

   CAベンダーはCSR情報を使用してドメインを検証し、一般的には電子メールによって有効なSSL証明書を提供します。

9. サービス・インスタンスのロード・バランサ・コンソールに戻ります。
10. サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、次の手順に従ってCA発行証明書をインポートします。
    1. Traffic Director構成をクリックし、セキュリティ→証明書の管理を選択します。
    2. インポートをクリックします。
    3. 証明書タイプが証明書に設定されていることを確認します。
    4. 以前に生成した証明書の別名を選択します。
    5. 証明書のテキストを証明書文字列をここに貼り付けますフィールドに直接貼り付けるか、ファイルを選択しますをクリックしてローカル・ファイル・システムにある証明書を選択できます。 証明書のテキストを貼り付けることを選んだ場合は、必ずBEGIN CERTIFICATEヘッダーとEND CERTIFICATEヘッダーを始まりと終わりのハイフンも含めて貼り付けてください。
    6. 「OK」をクリックします。
11. サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、次の手順に従ってCA発行証明書をインポートします。
    1. ナビゲーション・ペインでSSLを開き、サーバー証明書を選択します。
    2. 証明書のインストールをクリックします。
    3. 証明書のニックネーム(別名)を入力します。
    4. 証明書のテキストを証明書データフィールドに直接貼り付けるか、証明書ファイルへのパスを証明書ファイルフィールドに指定することができます。 証明書のテキストを貼り付けることを選んだ場合は、必ずBEGIN CERTIFICATEヘッダーとEND CERTIFICATEヘッダーを始まりと終わりのハイフンも含めて貼り付けてください。
    5. 「次」をクリックします。
    6. 証明書のインストールをクリックします。

ロード・バランサ証明書の管理の詳細は、次を参照してください。

• Oracle Traffic Directorの管理(12.2.1)の証明書の管理に関する項

• Oracle Traffic Director管理者ガイド(11.1.1.7)の証明書の管理に関する項

SSL証明書のロード・バランサとの関連付け

CA発行または自己署名SSL証明書をロード・バランサにインストールした後は、それをロード・バランサ構成でHTTPSリスナーに関連付ける必要があります。 関連付けを行うと、ロード・バランサは新しいHTTPSリクエストの処理中にSSL証明書を提示します。

1. Oracle Java Cloud Serviceコンソールのサービスページに移動します。
2. 目的のサービス・インスタンスのをクリックし、ロード・バランサ・コンソールを開くを選択します。
3. サービス・インスタンスのプロビジョニング時に定義した資格証明を使用してコンソールにログインします。

   Oracle Java Cloud Serviceコンソールを使用してサービス・インスタンスを作成した場合、ユーザー名およびパスワードのデフォルトはOracle WebLogic Server管理コンソールのユーザー名およびパスワードになります。

4. ロード・バランサ構成(たとえば、opc-config)にアクセスします。
   • サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、ターゲット・ナビゲーション・アイコンをクリックします。 Traffic Directorフォルダを開き、Traffic Director構成の名前をクリックします。
   • サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、構成をクリックし、Traffic Director構成の名前をクリックします。
5. この構成のリスナーに移動します。

   • サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、Traffic Director構成をクリックし、管理→リスナーを選択します。

   • サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、ナビゲーション・ペインでリスナーをクリックします。

6. https-listener-1をクリックします。
7. SSL/TLS設定セクションのRSA証明書フィールドで、新しい証明書を選択します。
8. 変更をアクティブ化します。

   • サービス・インスタンスでOracle Traffic Director 12cが実行されている場合は、OKをクリックします。

   • サービス・インスタンスでOracle Traffic Director 11gが実行されている場合は、変更のデプロイをクリックします。

9. 手順3以降を繰り返して、この構成の追加のHTTPSリスナーの証明書を更新します。

   または、ロード・バランサ構成で仮想サーバー全体のSSL/TLS設定を構成することもできます。

リスナーの証明書を変更した後、変更を有効にするには、サービス・インスタンス内のロード・バランサ・ノードを再起動する必要があります。 管理対象サーバーおよびロード・バランサのVMの停止、起動および再起動を参照してください。

ロード・バランサのSSL設定の詳細は、次を参照してください。

• Oracle Traffic Directorの管理(12.2.1)のOracle Traffic Directorとクライアント間のSSL/TLSの構成に関する項

• Oracle Traffic Director管理者ガイド(11.1.1.7)のOracle Traffic Directorとクライアント間のSSL/TLSの構成に関する項