この章の内容は次のとおりです。
注意:
次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。
BPELサーバー - Oracle BPM Worklist
WSRPプロデューサ
ディスカッションおよびお知らせ
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。
注意:
デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられます。WC_Portal
をサーバーとして、およびOPSSをキーストア・サービスとして使用します。
WebLogic Server環境でのSSL構成の詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。
OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSS
タイプのキーストアを作成して管理します。
SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次の手順で構成されます。
注意:
構成プロセスの概要は、この項で説明されています。詳細および手順は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したSSLの構成に関する項を参照してください。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のカスタムのアイデンティティおよび信頼に対するOPSSキーストア・サービスの構成の主な手順に関する項を参照してください。
次の手順では、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。
IDキーストアおよび信頼キーストアを構成するには:
Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。
WebCenter PortalポートからHTTP Serverにワイヤリングする手順は次のとおりです。
SSLを使用したブラウザからディスカッションへの接続の保護については、次の各項で説明しています。
ディスカッションへの接続を保護するには、まず、次の手順に従ってカスタム・キーストアを生成します。
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
新しいキーストアを作成します。
注意:
システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要がありますsvc.createKeyStore(appStripe='system', name='collab_wls', password='password', permission=false)
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアが作成されるストライプの名前
name = キーストアの名前
password = キーストアのパスワード
permission = キーストアが権限によってのみ保護される場合はtrue、権限とパスワードの両方によって保護される場合はfalse
keytoolを使用して、キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='collab_wls', password='password', dn='cn=collabidentity,dc=example,dc=com', keysize='2048', alias='collab_wls', keypassword='welcome1')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キー・ペアが生成されるキーストアの名前
password = キーストアのパスワード
dn = キー・ペアをラップする証明書の識別名
keysize = キーのサイズ
alias = キー・ペア・エントリの別名
keypassword = キーのパスワード
オプションで、キーストアとキーストア内の別名をリストします。
svc.listKeyStores(appStripe='*')
これにより、system/collab_wls
がリストされます。
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアをリストするストライプの名前
svc.listKeyStoreAliases(appStripe="system",name="collab_wls", password="password", type="*")
これにより、別名collab_wls
がリストされます
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キーストアの名前
password = キーストアのパスワード
type = 別名をリストするエントリのタイプ。有効な値は、Certificate
、TrustedCertificate
、SecretKey
または*
です
syncKeyStores
を実行します。
syncKeyStores(appStripe='system', keystoreFormat='KSS')
次の手順では、WebCenter Collaborationサーバーに、カスタム・アイデンティティ・キーストアとカスタム信頼キーストアを構成します。
ディスカッションのアイデンティティ・キーストアおよび信頼キーストアを構成する手順は次のとおりです。
SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。
KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次の手順が必要です。
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
新しいキーストアを作成します。
注意:
システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)ここで:
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアが作成されるストライプの名前
name = キーストアの名前
password = キーストアのパスワード
permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)
キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キー・ペアが生成されるキーストアの名前
password = キーストアのパスワード
dn = キー・ペアをラップする証明書の識別名
keysize = キーのサイズ
alias = キー・ペア・エントリの別名
keypassword = キーのパスワード
オプションで、キーストアとキーストア内の別名をリストします。
これは、system/portlet_wls
をリストします:
svc.listKeyStores(appStripe='*')
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアをリストするストライプの名前
portlet_wls
をリストします:svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")
svc = getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト
appStripe = キーストアを含むストライプの名前
name = キーストアの名前
password = キーストアのパスワード
type = 別名をリストするエントリのタイプ。有効な値は、Certificate
、TrustedCertificate
、SecretKey
または*
です
syncKeyStores
を実行します。
syncKeyStores(appStripe='system', keystoreFormat='KSS')
次の手順では、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portlet
など)。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成する手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(WC_Portlet
など)をクリックします。
ポートレット・サーバーの「設定」ペインが表示されます。
「構成」タブ、「キーストア」サブタブの順に開きます。
「キーストア」ペインが表示されます。
「変更」をクリックします。
「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします
「アイデンティティ」の下で、kss://system/portlet_wls
(「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。
「カスタム・アイデンティティ・キーストアのタイプ」として、KSS
と入力します。
カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(welcome1
など)。
「信頼」の下で、「カスタム信頼キーストア」をkss://system/trust
に設定し、「保存」をクリックします。
「カスタム信頼キーストアのタイプ」としてKSS
を入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。
「SSL」タブを開きます。
秘密鍵の別名(portlet_wls
など)を入力し、秘密鍵のパスワード(welcome1
など)を設定します。
「保存」をクリックして、エントリを保存します。
注意:
ページレット・プロデューサでは、SSL構成のためにカスタム・アイデンティティおよびJava標準信頼キーストア・タイプを使用する必要があります。Java標準信頼キーストア(JKS)の構成方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のキーストアの構成に関する項を参照してください。
SSLを構成するには、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』ガイドのWebLogic ServerにおけるSSLの構成の概要に関する項を参照してください。
ポートレット・サーバーのSSL接続を構成する手順は次のとおりです。
SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うための手順は、「アイデンティティ・ストアの構成」を参照してください。
Oracle WebLogicサーバーにとってCA
が不明である場合は、次の各項で説明している追加手順を完了します。
リポジトリの接続を作成するコンテンツ・サーバーとWebCenter Portalアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播は保護されません。アイデンティティ伝播のセキュリティを確保するには、コンテンツ・サーバーのSSLも構成する必要があります。
SSLを使用したコンテンツ・サーバーの保護には、次のタスクが含まれます。
本番環境では、実際の証明書のみを使用することをお薦めします。実際の証明書を使用するときにキーストアを構成する方法の詳細は、『Oracle Fusion Middleware Oracle WebCenter Contentの管理』のContent Serverセキュリティ・プロバイダの理解に関する項を参照してください。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。
(クライアント)側のキーストアを構成する手順:
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。詳細およびステップごとの手順は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のSSLを使用したWebCenter Portalへの接続の保護に関する項を参照してください。
コンテンツ・サーバー側のキーストアを構成する手順:
メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。
SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護する手順は次のとおりです。
SES用にSSLを構成するシナリオは2つあります。1つ目のシナリオは、WebCenter PortalがすでにSSLを使用して保護されているが、SESは保護されていない場合です。2つ目のシナリオは、SESがすでにSSLを使用して保護されているが、WebCenter Portalは保護されていない場合です。これら2つのシナリオについて、次の各項で説明します。
注意:
このシナリオでは、WebCenter PortalはすでにSSLを使用して保護されていますが、SESは保護されていません。SSLを使用してSESを保護する手順は次のとおりです。
SESへの接続を登録する前に、まず、証明書をトラスト・ストアにインポートする必要があります。次の手順に従って、トラスト・ストアに証明書を格納し、Oracle Secure Enterprise Search (SES)への接続を登録します。
HTTPS URLの証明書をダウンロードして保存する手順は次のとおりです。
次の証明書名を使用して、WebCenter側でSSLを構成します。
cn=<myhost>
<myhost>
は、WebCenterがインストールされているホストの完全修飾名です。
WebCenter PortalでのSSLの構成の詳細は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
WebCenter証明書をPEM形式で(つまり<myhost>.crt
として)エクスポートします。
Firefox 3.0以降を使用すると、証明書を.PEM
形式で直接ダウンロードできます。それ以外のブラウザの場合は、次の手順を実行した後、WebLogic Serverのder2pem
ツールを使用してPEM形式に変換してください。
「証明書」をクリックします。
ポップアップ・ウィンドウで、「詳細」タブを開き、「ファイルにコピー...」をクリックします。
DER encoded binary(X.509)形式を使用して、証明書をファイルにコピーします。
.DER形式の証明書を.PEM形式に変換します。
der2pem
ツールの使用の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンス』のder2pem
に関する項を参照してください。WebLogicでは、.PEM
以外の形式は認識されません。
SESで、次のキーストアに証明書をインポートします。
<SES Installation Directory>/jdk6/jre/lib/security/cacerts
<SES Installation Directory>/seshome/jdk/jre/lib/security/cacerts
次のコマンドを使用します。
keytool -importcert -trustcacerts -alias webcenter_wls -file <myhost>.crt -keystore cacerts -storepass changeit
正常にハンドシェイクを実行するには、次の手順が必要です。
次のコマンドを使用して、WebCenter Portalを再起動します。-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1
10.3.6パッチをSESサーバーに適用します。http://aru.us.oracle.com:8080/ARU/ViewPatchRequest/process_form?aru=17092883
注意:
WebLogic ServerのSESのサーバー・バージョンは10.3.6で、WebCenterのWebLogic Serverバージョンは12.2.1です。
デフォルトでは、TLSv1.1およびTLSv1.2のみが12.2.1でサポートされています。10.3.6およびJDK 1.6_29 (SES環境)では、SSLv3およびTLSv1のみがサポートされています。
SESで、クロールおよび認可エンドポイントがWebCenter PortalアプリケーションのHTTPSポートを指す、Oracle WebCenterのソースを作成します。
クロールのスケジュールおよびソース・グループを作成します(「Fusion Middleware Controlを使用した検索パラメータとクローラの構成」を参照)。
SESのWebCenter側の構成を完了し、SESおよびWebCenter Portalを再起動します。
WebCenter Portalでいくつかオブジェクトを作成し、クロールを開始します。
クロールが完了したら、キーワード検索を実行します。WebCenter Portalに結果が表示されます。
この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。
注意:
SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。
SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護する手順は次のとおりです。