デフォルトでOracle VM Managerには、カスタム・キーストアに独自のSSL証明書が用意されています。 提供された証明書は、内部の認証局(CA)を使用して署名されています。 Oracle VMは、次の目的でSSL証明書を使用します。
検出された各Oracle VM Serverに対するOracle VM Managerの認証用およびOracle VM Managerと各Oracle VM Serverで実行されているOracle VM Agentとの間の通信の暗号化用。
Oracle VM ManagerのWebサービスAPIを使用するいくつかのツールの認証および暗号化用。
WebブラウザとOracle VM Manager Webベースのユーザー・インタフェースとの間の通信の暗号化用。
証明書は、Oracle VM Managerのインストール時に自動的に生成されます。 クライアントWebブラウザでのSSL検証の問題を回避するには、Oracle VM Managerで使用される内部CA証明書を取得し、Oracle VM ManagerのWebユーザー・インタフェースへのアクセスに使用される各Webブラウザにインストールできます。 2.2.4項「CA証明書のエクスポート」を参照してください。
また、すでに外部CAによって署名されたSSL証明書がある場合、WebブラウザとOracle VM ManagerのWebベースのユーザー・インタフェースとの間の通信の暗号化に使用するSSL証明書を変更できます。 2.2.6項「デフォルトSSL証明書の変更」を参照してください。
最後に、内部CAによって署名された新しいSSLキーを生成する必要がある場合、 2.2.5項「新しいSSLキーの生成」に示されている手順に従います。
Oracle VM Manager CA証明書を変更すると、Oracle VM Managerと様々な内部コンポーネントとの間の認証に影響が及びます。 CA証明書を変更すると、Oracle VM Managerと各Oracle VM ServerインスタンスおよびWebブラウザなどその他の外部アプリケーションとの間の認証にも影響が及びます。
CA証明書を変更しようとしている場合、コンポーネント間の認証や通信の問題を避けるために、他のOracle VM Manager構成を開始する前に変更してください。
Oracle VM Managerは、デフォルトのOracle WebLogic Serverキーストアではなく次に示す2048ビット・キーストアを使用します。
/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmca.jks
/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmclient.jks
/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks
/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks
これらのキーストアのパスワードはインストール時にランダム化されます。 相互に信頼されたCAをキーストアに追加するためにCAキーストアなどのキーストアを更新する必要がある場合、Oracle VM Key Toolを使用してキーストア・パスワードを変更する必要があります。 キーストア・パスワードを変更する手順の詳細は、 2.2.7項「キーストア・パスワードの変更」を参照してください。
Oracle VM Managerには、SSL証明書の管理に役立つキー管理ユーティリティが含まれています。 Oracle VM Key Toolは、Oracle VM ManagerホストにインストールされているJava Development Kit(JDK)のJava keytoolとともに使用します。 これらのユーティリティは、次のようにOracle VM Managerホストにあります。
Oracle VM Key Tool:
/u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh
Java keytool:
/u01/app/oracle/java/bin/keytool
キー管理ユーティリティを誤って使用すると、Oracle VM Manager、内部コンポーネント、外部システム、アプリケーションの間で認証の問題を引き起こす可能性があります。 認証の問題でサービスが完全に失われる場合もあります。 キー管理ユーティリティを使用する前に、慎重に変更を計画し、変更が環境に与える影響を考慮してください。
ovmkeytool.sh
[ --help
] [ --overwrite
] [ --quiet
] [ --verbose
] [ --propertyFile
] [ filename
-D
] [ property
=value
--noWebLogic
] { [{ show
} | { check
} | { setup
} | { setupWebLogic
} | { gencakey
} | { setcakey
} | { gensslkey
} | { setsslkey
} | { changepass
} | { exportca
}] }
次の表に、このツールで使用可能なオプションを示します。
オプション | 説明 |
---|---|
| ovmkeytool.shコマンドのパラメータおよびオプションを表示します。 |
| ユーザーの操作が無効な場合、既存のキーストアを上書きできるようにします。 |
| プロパティ値を排他的に使用してユーザーの操作なしで実行します。 |
| 実行中に追加情報を出力します。 |
| 指定したファイルを使用して、ツールに対してプロパティを指定できます。 |
| プロパティを指定した値に設定します。 |
| Oracle WebLogic Serverを構成したり、Oracle WebLogic Server設定を検証したりしません。 |
次の表に、このツールで使用可能なコマンドを示します。 一度に実行できるコマンドは1つのみです。
オプション | 説明 |
---|---|
| CAとSSLキーストア・ファイル、証明書キー別名および証明書詳細などのSSL構成詳細を表示します。 |
| 現在のSSL構成を検証し、エラーが存在する場合に情報を提供します。 |
| すべてのキーストア・ファイルを設定し、Oracle WebLogic Serverを構成します。 |
| Oracle WebLogic Serverで既存のキーストア設定を構成します。 |
| 新しい認証機関(CA)キーを生成し、そのキーをトラストストアに格納します。 Oracle VM Managerをすでに構成済の場合には、このコマンドは実行しないでください |
| CAキーを設定して、既存のキーストア・ファイルから既存のキーを使用します。 Oracle VM Managerをすでに構成済の場合には、このコマンドは実行しないでください |
| 新しいSSLキーを生成します。 |
| SSLキーを設定して、既存のキーストア・ファイルから既存のキーを使用します。 |
| 既存のキーストア・ファイルおよびキーのパスワードを構成または変更できるようにします。 |
| CA証明書をPEM形式でエクスポートします。 |
実行するコマンドに応じて、Oracle VM Key Toolでは、次の情報を求めるプロンプトを表示します。
Oracle WebLogic Server
Middleware
ディレクトリOracle WebLogic Server
Middleware
ディレクトリの場所を指すようにMW_HOME
環境変数を設定できます。 設定しない場合には、Oracle VM Key Toolを実行するたびにデフォルトのディレクトリを指定する必要があります。 デフォルト・ディレクトリは/u01/app/oracle/Middleware
です。次のコマンドを実行して
MW_HOME
環境変数を設定します。# export MW_HOME=/u01/app/oracle/Middleware
Oracle WebLogic Serverドメイン・ディレクトリ
デフォルト・ディレクトリは、
/u01/app/oracle/ovm-manager-3/domains/ovm_domain
です。Oracle WebLogic Server名
デフォルトのサーバー名は
AdminServer
です。Oracle WebLogic Server資格証明
Oracle VM Managerのインストール時に設定するデフォルトの
weblogic
ユーザー名と一時パスワードを使用します。
showコマンドを使用して、現在の認証局(CA)およびSSL構成の詳細を表示します。
showコマンドの例を次に示します。
# ./ovmkeytool.sh showtime_stamp
oracle.security.jps.JpsStartup start INFO: Jps initializing.time_stamp
oracle.security.jps.JpsStartup start INFO: Jps started. CA Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmca.jks CA Key Alias: ca Certificate details: Algorithm: SHA256withRSA Subject: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US Issuer: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US Serial number: 836053555564701558087207803980684693673312169403 Valid fromday mm dd hh:mm:ss CET yyyy
today mm dd hh:mm:ss CET yyyy
SHA256 Fingerprint: b4:6b:00:cd:d3:e1:69:d6:f2:10:80:cf:a8:ef:89:c9:b3 This is a valid Certificate to be used as a CA. Full Certificate: -----BEGIN CERTIFICATE----- MIID/DCCAuSgAwIBAgIVAJJx8CLgw6WudhsYXsY70zxLaq27MA0GCSqGSIb3DQEB CwUAMIGkMQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEVMBMGA1UE BxMMUmVkd29vZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRpb24xGjAY BgNVBAsTEU9yYWNsZSBWTSBNYW5hZ2VyMTAwLgYDVQQDEydPVk0gQ0EgMDAwNGZi MDAwMDAxMDAwMDdjMDhiNjg0YmQyMDMzODgwHhcNMTUwMzIyMTYxMTI1WhcNMjUw MzIzMTYxMTI1WjCBpDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEx FTATBgNVBAcTDFJlZHdvb2QgQ2l0eTEbMBkGA1UEChMST3JhY2xlIENvcnBvcmF0 aW9uMRowGAYDVQQLExFPcmFjbGUgVk0gTWFuYWdlcjEwMC4GA1UEAxMnT1ZNIENB IDAwMDRmYjAwMDAwMTAwMDA3YzA4YjY4NGJkMjAzMzg4MIIBIjANBgkqhkiG9w0B AQEFAAOCAQ8AMIIBCgKCAQEAprkZ3RYvS433ZOx+3RKK7iK7E52znhNpLPzM6b9s O0fIdCiTBB16h6SU+GQlMMpQbqDh5V9OgWGd7BqCEnKhCU0O3L+xY45sXWGQ0S9R DvQMH/68VgDwoSsI6BFL5gJHspWWr9wdqkpVcTpau9IN9nDGD38XnTd0KOtVvt+d 32lK3hBzQiXf/W2vX6vNA/RFMlfFBncnYIO4POvtQDsVSDzbfPq4CPqAxn/io1Gk lycRrVbzemsrWuvusFCOpUkGpmaqwXneg/ozfN8ObUr+bh/PKhLniOo6gJsY2Y9l ZjD6XiSUEd/Xb4s89SO6yHsNr65RC+wCCHpWjArr/3oVfQIDAQABoyMwITAPBgNV HRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIABTANBgkqhkiG9w0BAQsFAAOCAQEA Iv4g3Djf3KFwWLdQ/Tw1vK4kmzGIxcd9SS1YQUPYnddYeU22dwkqgIn9ap8dVK1u lmkYdYZ4BDte4Y+Lptxqhf149S3nX1lBKfpg4eLsfUIZ+DTnxcuTCiFp/UNKp4Xk yn43GMpUtyz8D//QX7T3FOtKq786Rl4i522i9xnWizyEXjTsSZ1T0b0y8lK7a+C4 mFOC53Ah1Ihmjl+1Q/zrcf+iFFFInCFywXDrpslE1R8H3Luse4EO42+xhEbxGY6h xdVkG3vVCYqExBX3XWFfkVPF78+6bmzZbKZzam+NT49dVJRole4mssyOWa1AdWmB RXXs6j6MR1mcveQVRFhPjg== -----END CERTIFICATE----- SSL Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks SSL Key Alias: ovmm Certificate details: Algorithm: SHA256withRSA Subject: CN=ovmm.virtlab.info, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US Issuer: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US Serial number: 942935368201955864664901535859030776122723582749 Valid fromday mm dd hh:mm:ss CET yyyy
today mm dd hh:mm:ss CET yyyy
SHA256 Fingerprint: 83:16:23:e1:2e:f5:7e:ff:3a:d5:72:1b:0b:d9:80:5b:d3:d6:b3 Subject Alternative Names: Hostnames:myserver.example.com
myovmm
Full Certificate: -----BEGIN CERTIFICATE----- MIID6TCCAtGgAwIBAgIVAKUqryxHow/khR23pDPGttbIbMMdMA0GCSqGSIb3DQEB CwUAMIGkMQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEVMBMGA1UE BxMMUmVkd29vZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRpb24xGjAY BgNVBAsTEU9yYWNsZSBWTSBNYW5hZ2VyMTAwLgYDVQQDEydPVk0gQ0EgMDAwNGZi MDAwMDAxMDAwMDdjMDhiNjg0YmQyMDMzODgwHhcNMTUwMzIyMTYxMTM5WhcNMjUw MzIzMTYxMTM5WjCBjjELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEx FTATBgNVBAcTDFJlZHdvb2QgQ2l0eTEbMBkGA1UEChMST3JhY2xlIENvcnBvcmF0 aW9uMRowGAYDVQQLExFPcmFjbGUgVk0gTWFuYWdlcjEaMBgGA1UEAxMRb3ZtbS52 aXJ0bGFiLmluZm8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCZEiTS iY6sgh/23myW2l2PyO02ajGohnRxeDYFHRcfmdw/5C9XZXKY7rEpTx1WdPlRTjG0 DFD1dFjCjhJyIJo4DemyulniDoAKJG7dUoiB1sLb0HwVLyjGr3xQ/TbDyw04nppc mdCGzhS/7ivzm2haMSSxiAoDFVZbeL/CmJSeN59fJmuUvZW01be/6TUNZVoMoOy0 GZm4D6cGWVcXIOuJSjfXep1mzkLIr4zsBTJQLV5uzRDXWjUANPSoN/XeLeHhYLYY hBuDkDUMYGt0MsGomgQ4jbWchEid5/zQ3Th6FIKZ9PHVsVJPaeYSjObjNEUKkcIz 360d17bUqzQPXMK3AgMBAAGjJjAkMCIGA1UdEQQbMBmCEW92bW0udmlydGxhYi5p bmZvggRvdm1tMA0GCSqGSIb3DQEBCwUAA4IBAQAeQfaXBGqfoQFisguthG/yPY4G CLhp+78qSItCdMYPRrfXpUeeIVwrE6GQvuVflXZk/PPBZQGdDR3n/+hDfD9lccv0 MHFS8akON471tiDoku8tjm8a/EMir2/fEHU4PbgH57qUU9bj3lqzDZVI880qmPEx IvSHwZy0KbrtPf+KkqHn75O/JlN46J+8AgRwuB/6e5ch7wAL2hupO3WeZV7O/icB FJieePjxvMV5oXqxkFMHuidvVyAKN0MJK26w2lOWwTJtEmnBJ6UF1btNRQdgujUL anJoGhJsLHyoosIrXbj3M+SmezwV+2kAPLDd8C/aNnXzZC4m55cwEB/GphYd -----END CERTIFICATE----- SSL Trust Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks Trusted certificates: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US CA certificiate found in SSL Trust-Store Oracle MiddleWare Home (MW_HOME): [home/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] WebLogic server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session178461015146984067.log
WebLogic SSL Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks WebLogic SSL Key Alias: ovmm WebLogic SSL Trust Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks
checkコマンドを使用して、現在のCAとSSL構成を検証します。 構成に問題がある場合、コマンドはそれらを解決するのに役立つ情報を表示します。
checkコマンドの例を次に示します。
# ./ovmkeytool.sh checktime_stamp
oracle.security.jps.JpsStartup start INFO: Jps initializing.time_stamp
oracle.security.jps.JpsStartup start INFO: Jps started. Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session178461015146984067.log
The Oracle VM Manager CA and SSL configuration appears to be valid.
Oracle VM Managerには、証明書ベースの認証を実行し、デフォルトSSL証明書に署名する内部CAが含まれています。 exportcaコマンドを使用して、PEM形式でCA証明書をエクスポートします。 インポート後、ブラウザで信頼されたCAとして追加したり、必要に応じて使用したりすることができます。
exportcaコマンドの例を次に示します。
# ./ovmkeytool.sh exportcatime_stamp
oracle.security.jps.JpsStartup start INFO: Jps initializing.time_stamp
oracle.security.jps.JpsStartup start INFO: Jps started. ----BEGIN CERTIFICATE----- MIID+zCCAuOgAwIBAgIUamdPKrCAl4O1yD8QlywkYhmh0l8wDQYJKoZIhvcNAQEL BQAwgaQxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRUwEwYDVQQH EwxSZWR3b29kIENpdHkxGzAZBgNVBAoTEk9yYWNsZSBDb3Jwb3JhdGlvbjEaMBgG A1UECxMRT3JhY2xlIFZNIE1hbmFnZXIxMDAuBgNVBAMTJ09WTSBDQSAwMDA0ZmIw MDAwMDEwMDAwN2RiZmM3M2UyYTFkNjY3ZTAeFw0xMzExMDYxNDU5MjBaFw0yMzEx MDcxNDU5MjBaMIGkMQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEV MBMGA1UEBxMMUmVkd29vZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRp b24xGjAYBgNVBAsTEU9yYWNsZSBWTSBNYW5hZ2VyMTAwLgYDVQQDEydPVk0gQ0Eg MDAwNGZiMDAwMDAxMDAwMDdkYmZjNzNlMmExZDY2N2UwggEiMA0GCSqGSIb3DQEB AQUAA4IBDwAwggEKAoIBAQCKEekWsegMBt6aAPLAq+riDX8TS6ssr6NNjdDNy0mQ 32NZRyoR8K85T0O0KoFJ9lkgJOH8Ll4Q4219S2xey0obnqMqt5byW/XhXjiDLgpF ESg/p2IGic8MubElhOQI3V71SeIcMHGk2b6sdS12T583uZD+FxvzCZoSTod4l4Pw KvmAWV0FJQHaeOlGxj2tUaAWyVGbw66IzXZM4WlmNFH/2SNdx7XK4lXtPD/QiMVB 7bXaP/wCTc1vQlXgP550idwRQi5ol2ly7IO2fbflfX5wdnkuJWFOKzJfnkclsMHo DW1FX5FEj34dEd/97wXvfAfYXRtC1DIq91mrF4vxD3lzAgMBAAGjIzAhMA8GA1Ud EwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgAFMA0GCSqGSIb3DQEBCwUAA4IBAQAe JK82gdNA/7tftEAgON7GlzJ0BSgu/3e1Luali+xOt2FFGAvrDtTdLxJjEEWM0OU4 Bhoc/6kjQ71nFs9Q/xxP9qC3YQPXa447Q1i9RZql5g2S5aQBr18ZHqeXp6HannLo iwLBfSpbACgAhZwpzo7ZS38yENir6u1LKAnFAP/6D55Jgx7/UnbHNcFTSXc2u4cI N3MHJ+0p8umz4+HrqqhFChNYZF2XhmuPawgL8TmRB2FNlQUcbmH19Nwb4UeOxEuD isAf90p/GlTdtwzbNbm6Mv3rPEK2GtIL5YcIwLyKYKZ07P5VW6tGuzJTMipN0cLo ij8FtceX5tmLGxlGQoKN -----END CERTIFICATE-----
デフォルトでは、Oracle VM Managerがインストールの日から10年間有効なSSL証明書を生成して署名します。 必要に応じて、gensslコマンドを使用してOracle VM Managerの内部CAによって署名された新しいSSL証明書を生成することができます。
gensslコマンドの例を次に示します。
# ./ovmkeytool.sh gensslkey Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks] The hostname should be the fully qualified hostname of the system (this is the hostname you'd use to access this system from outside the local domain). Depending on your machine setup the value below may not be correct. Fully qualified hostname: [myserver.example.com
] Validity in months: [120] Key distinguished name is "CN=myserver.example.com
, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, ST=California, C=US". Use these values? [yes] Alternate hostnames (separated by commas): [myserver.example.com
,myserver
] You may either specify passwords or use random passwords. If you choose to use a random password, only WebLogic, the Oracle VM Manager, and this application will have access to the information stored in this keystore. Use random passwords? [yes] Generating SSL key and certificate and persisting them to the keystore... Updating keystore information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session178461015146984067.log
コマンドでは、新しいSSL証明書が生成されるたびにプロシージャ全体の様々なステップの値を入力するように求められます。 特に、サーバーの有効な完全修飾ドメイン名を入力する必要があります。 この値はSSL証明書のホスト名として使用され、Oracle VM ManagerのWebベース・ユーザー・インタフェースにアクセスするために使用するホスト名と一致する必要があります。
Oracle VM Managerが認証に使用するデフォルトSSL証明書を変更できます。 たとえば、サードパーティのCAによって署名されたSSL証明書を使用するようにOracle VM Managerを構成することができます。
この項では、Java keytoolおよびOracle VM Key Toolを使用して、デフォルトSSL証明書を変更する方法を説明します。
Java keytoolがビジネス・ニーズに合うように、サンプル・コマンドを変更してください。 詳細は、該当するJava keytoolドキュメントを参照してください。
サードパーティのCA証明書およびSSL証明書をまだ持っていない場合には、Oracle VM Managerに新しいキーストアを作成することができます。 作成するキーストアには、秘密鍵用のエントリが1つあります。 キーストアを作成したら、その秘密鍵用の証明書署名リクエスト(CSR)を生成し、サードパーティのCAにCSRを送信します。 次に、サードパーティのCAがCSRに署名し、署名済SSL証明書およびCA証明書のコピーを返します。 その後、CA証明書およびSSL証明書をキーストアにインポートし、Oracle VM ManagerをSSLキーストアとして使用するように構成します。
新しいキーストアを作成します。
# keytool -genkeypair -alias
alias
-keyalg RSA -keysizekey_size
\ -dnamedistinguished_name
-keypassprivate_key_password
\ -storetype jks -keystorekeystore
.jks -storepasskeystore_password
証明書署名リクエスト(CSR)を生成します。
# keytool -certreq -alias
alias
-filecertreq
.csr -keypassprivate_key_password
\ -storetype jks -keystorekeystore
.jks -storepasskeystore_password
署名用にCSRファイルを関連する第三者CAに送信します。
CA証明書をキーストアにインポートします。
# keytool -importcert -trustcacerts -noprompt -alias
alias
-fileca_cert_file
\ -storetype jks -keystorekeystore
.jks -storepasskeystore_password
SSL証明書をキーストアにインポートします。
# keytool -importcert -trustcacerts -noprompt -alias
alias
-filessl_cert_file
\ -keypassprivate_key_password
-storetype jks -keystorekeystore
.jks \ -storepasskeystore_password
setsslkeyコマンドを使用して、新しいキーストアを使用するようにOracle VM Managerを構成します。
# ./ovmkeytool.sh setsslkey Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks]
/path/to/keystore.jks
Keystore password: Alias of key to use as SSL key:alias
Key password: Updating keystore information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session5820685079094897641.log
rootユーザーでクライアント証明書ログインを構成します。
# su -c "/u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh /
path
/to
/cacert
"ここで、
/
は、CA証明書の絶対パスです。 デフォルトのOracle VM Manager CA以外のCAを使用してSSL証明書に署名した場合、CA証明書へのパスを指定する必要があります。path
/to
/cacert
CA証明書とSSL証明書をすでに持っている場合、SSL証明書を使用してキーストアを作成します。 その後、そのキーストアをOracle VM ManagerにインポートしてSSLキーストアとして構成できます。
キーストアをOracle VM Managerにインポートします。
keytool -importkeystore -noprompt -srckeystore
source_keystore
\ -srcstoretypesource_format
-srcstorepasssource_keystore_password
\ -destkeystoredestination_keystore
.jks -deststoretype JKS \ -deststorepassdestination_keystore_password
setsslkeyコマンドを使用して、新しいキーストアを使用するようにOracle VM Managerを構成します。
# ./ovmkeytool.sh setsslkey Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks]
/path/to/keystore.jks
Keystore password: Alias of key to use as SSL key:alias
Key password: Updating keystore information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session5820685079094897641.log
rootユーザーでクライアント証明書ログインを構成します。
# su -c "/u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh /
path
/to
/cacert
"ここで、
/
は、CA証明書の絶対パスです。 デフォルトのOracle VM Manager CA以外のCAを使用してSSL証明書に署名した場合、CA証明書へのパスを指定する必要があります。path
/to
/cacert
いくつかのシナリオでは、追加の信頼されたCAを提供するためにOracle WebLogic ServerのSSLトラストストアを構成することもできます。 構成するには、changepassコマンドを使用してトラストストア・パスワードを変更することができます。キーストアのデフォルト・パスワードはランダム化されていて、正しいパスワードがないとキーストアを変更することができないからです。 パスワードをリセットすると、必要に応じてJava keytoolを使用してキーストアを変更できるようになります。 既存の内部Oracle VM Manager CA証明書がキーストアから削除されていないことが必要です。
キーストア・パスワードを設定してからJava keytoolコマンドを使用してトラスト情報にアクセスする例を次に示します。
# ./ovmkeytool.sh changepass You may either specify passwords or use random passwords. If you choose to use a random password, only WebLogic, the Oracle VM Manager, and this application will have access to the information stored in this keystore. Use random passwords? [yes] no Change CA Keystore and Key passwords? [yes] no Change SSL Keystore and Key passwords? [yes] no Change SSL Trustore password? [yes] SSL Trust Keystore password: Verify SSL Trust Keystore password: Updating trust-store information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [WLS1] AdminServer WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at: /tmp/wlst-session6297528751781822860.log
# keytool -list -keystore /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 1 entry ovmmgr_ca_key_entry, Nov 7, 2013, trustedCertEntry, Certificate fingerprint (MD5): 65:31:9C:17:35:59:6C:A7:A3:93:C8:93:F0:A7:81:6A