機械翻訳について

第 2 章 インストール後のOracle VM Managerの構成

Oracle VM Managerを正常にインストールした後、いくつかの構成タスクを実行して環境をカスタマイズできます。 これらの構成タスクには、Oracle VM Manager Webインタフェースのセッション・タイムアウト時間の設定およびSSLの構成が含まれます。

2.1 Oracle VM Manager Webインタフェース・セッション・タイムアウトの構成

Oracle WebLogic Server管理コンソールを使用して、Oracle VM Managerセッションが非アクティブになってからタイムアウトが発生するまでの時間を変更できます。

Oracle VM Manager Webインタフェース・セッションのタイムアウトを構成するには、次の手順を実行します。

  1. Oracle WebLogic Server管理コンソールを開きます。

    https://hostname:7002/console

    ここで、hostnameはOracle VM Managerのホスト名またはIPアドレスです。

  2. weblogicユーザーとしてログインします。

  3. 左側の「Domain Structure」ペインを特定し、「Deployments」をクリックします。

  4. デプロイされたアプリケーションのリストで、「ovm_console」アプリケーションが見つかるまで「Next」をクリックします。

  5. [+]をクリックして、「ovm_console」アプリケーションを展開し、「ovm/console」をクリックします。

    ovm_consoleの設定が表示されます。

  6. 「Configuration」タブをクリックしてから、「Change Center」ペインの「Lock and Edit」をクリックして、設定を変更します。

  7. 「Configuration」タブから「General」サブタブを特定し、「Session Timeout」フィールドの値を編集します。 デフォルト設定は30分(1800秒)です。

    変更が終了したら、「Save」をクリックします。

    ノート

    権限に関するエラーが表示される場合、/u01/app/oracle/ovm-manager-3/weblogic/deploy/ovm_console/plan/plan.xmlのファイルの権限および所有者を変更する必要がある可能性があります。 次のコマンドを使用します。 

    chown oracle:dba /u01/app/oracle/ovm-manager-3/weblogic/deploy/ovm_console/plan/plan.xml

    ファイルの権限を変更した後、再度「Session Timeout」フィールドの値を編集して保存する必要があります。

  8. 左側の「Domain Structure」ペインの「Deployments」をクリックして、デプロイされたアプリケーションのリストを返します。

  9. 「ovm_console」チェック・ボックスを検索して選択し、「Update」をクリックしてアプリケーションを再デプロイします。

  10. 必要に応じてソースおよびデプロイメント・プラン・パスを変更し、「Finish」をクリックします。

  11. 変更をアクティブ化するには、「Change Center」「Activate Changes」をクリックします。

重要

Oracle VM Manager内で提供される一部のページの性質上、クライアント・ブラウザは定期的に自動リフレッシュして変更をポーリングします。 これは、「Health」ページにおいて特に顕著です。 クライアントが常にリフレッシュされているため、UIタイムアウトは期待どおりに動作しない可能性があります。 そのため、Oracle VM Manager内でマウスまたはキーボードの操作が行われていない場合、デフォルトの20分後に自動ポーリングがタイムアウトするようにADFの構成パラメータが設定されています。 つまり、これらのページではUIタイムアウト値はポーリング・タイムアウトが発生した後にのみ有効になります。

ポーリング・タイムアウトの変更は、直接構成することはできません。 この機能を変更する必要がある場合には、Oracle Supportに連絡してください。

2.2 SSLの設定

デフォルトでOracle VM Managerには、カスタム・キーストアに独自のSSL証明書が用意されています。 提供された証明書は、内部の認証局(CA)を使用して署名されています。 Oracle VMは、次の目的でSSL証明書を使用します。

  • 検出された各Oracle VM Serverに対するOracle VM Managerの認証用およびOracle VM Managerと各Oracle VM Serverで実行されているOracle VM Agentとの間の通信の暗号化用。

  • Oracle VM ManagerのWebサービスAPIを使用するいくつかのツールの認証および暗号化用。

  • WebブラウザとOracle VM Manager Webベースのユーザー・インタフェースとの間の通信の暗号化用。

証明書は、Oracle VM Managerのインストール時に自動的に生成されます。 クライアントWebブラウザでのSSL検証の問題を回避するには、Oracle VM Managerで使用される内部CA証明書を取得し、Oracle VM ManagerのWebユーザー・インタフェースへのアクセスに使用される各Webブラウザにインストールできます。  2.2.4項「CA証明書のエクスポート」を参照してください。

また、すでに外部CAによって署名されたSSL証明書がある場合、WebブラウザとOracle VM ManagerのWebベースのユーザー・インタフェースとの間の通信の暗号化に使用するSSL証明書を変更できます。  2.2.6項「デフォルトSSL証明書の変更」を参照してください。

最後に、内部CAによって署名された新しいSSLキーを生成する必要がある場合、 2.2.5項「新しいSSLキーの生成」に示されている手順に従います。

重要

Oracle VM Manager CA証明書を変更すると、Oracle VM Managerと様々な内部コンポーネントとの間の認証に影響が及びます。 CA証明書を変更すると、Oracle VM Managerと各Oracle VM ServerインスタンスおよびWebブラウザなどその他の外部アプリケーションとの間の認証にも影響が及びます。

CA証明書を変更しようとしている場合、コンポーネント間の認証や通信の問題を避けるために、他のOracle VM Manager構成を開始する前に変更してください。

Oracle VM Managerは、デフォルトのOracle WebLogic Serverキーストアではなく次に示す2048ビット・キーストアを使用します。

  • /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmca.jks

  • /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmclient.jks

  • /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks

  • /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks

これらのキーストアのパスワードはインストール時にランダム化されます。 相互に信頼されたCAをキーストアに追加するためにCAキーストアなどのキーストアを更新する必要がある場合、Oracle VM Key Toolを使用してキーストア・パスワードを変更する必要があります。 キーストア・パスワードを変更する手順の詳細は、 2.2.7項「キーストア・パスワードの変更」を参照してください。

2.2.1 Oracle VM Key Tool

Oracle VM Managerには、SSL証明書の管理に役立つキー管理ユーティリティが含まれています。 Oracle VM Key Toolは、Oracle VM ManagerホストにインストールされているJava Development Kit(JDK)のJava keytoolとともに使用します。 これらのユーティリティは、次のようにOracle VM Managerホストにあります。

  • Oracle VM Key Tool: /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh

  • Java keytool: /u01/app/oracle/java/bin/keytool

重要

キー管理ユーティリティを誤って使用すると、Oracle VM Manager、内部コンポーネント、外部システム、アプリケーションの間で認証の問題を引き起こす可能性があります。 認証の問題でサービスが完全に失われる場合もあります。 キー管理ユーティリティを使用する前に、慎重に変更を計画し、変更が環境に与える影響を考慮してください。

構文

ovmkeytool.sh [ --help ] [ --overwrite ] [ --quiet ] [ --verbose ] [ --propertyFile filename ] [ -D property=value ] [ --noWebLogic ] { [{ show } | { check } | { setup } | { setupWebLogic } | { gencakey } | { setcakey } | { gensslkey } | { setsslkey } | { changepass } | { exportca }] }

オプション

次の表に、このツールで使用可能なオプションを示します。

オプション

説明

--help

ovmkeytool.shコマンドのパラメータおよびオプションを表示します。

--overwrite

ユーザーの操作が無効な場合、既存のキーストアを上書きできるようにします。

--quiet

プロパティ値を排他的に使用してユーザーの操作なしで実行します。

--verbose

実行中に追加情報を出力します。

--propertyFile filename

指定したファイルを使用して、ツールに対してプロパティを指定できます。

-D property=value

プロパティを指定した値に設定します。

--noWebLogic

Oracle WebLogic Serverを構成したり、Oracle WebLogic Server設定を検証したりしません。

コマンド

次の表に、このツールで使用可能なコマンドを示します。 一度に実行できるコマンドは1つのみです。

オプション

説明

show

CAとSSLキーストア・ファイル、証明書キー別名および証明書詳細などのSSL構成詳細を表示します。

check

現在のSSL構成を検証し、エラーが存在する場合に情報を提供します。

setup

すべてのキーストア・ファイルを設定し、Oracle WebLogic Serverを構成します。

setupWebLogic

Oracle WebLogic Serverで既存のキーストア設定を構成します。

gencakey

新しい認証機関(CA)キーを生成し、そのキーをトラストストアに格納します。

Oracle VM Managerをすでに構成済の場合には、このコマンドは実行しないでください

setcakey

CAキーを設定して、既存のキーストア・ファイルから既存のキーを使用します。

Oracle VM Managerをすでに構成済の場合には、このコマンドは実行しないでください

gensslkey

新しいSSLキーを生成します。

setsslkey

SSLキーを設定して、既存のキーストア・ファイルから既存のキーを使用します。

changepass

既存のキーストア・ファイルおよびキーのパスワードを構成または変更できるようにします。

exportca

CA証明書をPEM形式でエクスポートします。

コマンド・プロンプト

実行するコマンドに応じて、Oracle VM Key Toolでは、次の情報を求めるプロンプトを表示します。

  • Oracle WebLogic Server Middlewareディレクトリ

    Oracle WebLogic Server Middlewareディレクトリの場所を指すようにMW_HOME環境変数を設定できます。 設定しない場合には、Oracle VM Key Toolを実行するたびにデフォルトのディレクトリを指定する必要があります。 デフォルト・ディレクトリは/u01/app/oracle/Middlewareです。

    次のコマンドを実行してMW_HOME環境変数を設定します。 

    # export MW_HOME=/u01/app/oracle/Middleware

  • Oracle WebLogic Serverドメイン・ディレクトリ

    デフォルト・ディレクトリは、/u01/app/oracle/ovm-manager-3/domains/ovm_domainです。

  • Oracle WebLogic Server名

    デフォルトのサーバー名はAdminServerです。

  • Oracle WebLogic Server資格証明

    Oracle VM Managerのインストール時に設定するデフォルトのweblogicユーザー名と一時パスワードを使用します。

2.2.2 証明書構成の表示

showコマンドを使用して、現在の認証局(CA)およびSSL構成の詳細を表示します。

showコマンドの例を次に示します。 

# ./ovmkeytool.sh show

time_stamp oracle.security.jps.JpsStartup start
INFO: Jps initializing.
time_stamp oracle.security.jps.JpsStartup start
INFO: Jps started.
CA Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmca.jks
CA Key Alias: ca
Certificate details:
  Algorithm: SHA256withRSA
  Subject: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, 
    O=Oracle Corporation, L=Redwood City, ST=California, C=US
  Issuer: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, 
    O=Oracle Corporation, L=Redwood City, ST=California, C=US
  Serial number: 836053555564701558087207803980684693673312169403
  Valid from day mm dd hh:mm:ss CET yyyy to day mm dd hh:mm:ss CET yyyy
  SHA256 Fingerprint: b4:6b:00:cd:d3:e1:69:d6:f2:10:80:cf:a8:ef:89:c9:b3
  This is a valid Certificate to be used as a CA.
Full Certificate:
-----BEGIN CERTIFICATE-----
MIID/DCCAuSgAwIBAgIVAJJx8CLgw6WudhsYXsY70zxLaq27MA0GCSqGSIb3DQEB
CwUAMIGkMQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEVMBMGA1UE
BxMMUmVkd29vZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRpb24xGjAY
BgNVBAsTEU9yYWNsZSBWTSBNYW5hZ2VyMTAwLgYDVQQDEydPVk0gQ0EgMDAwNGZi
MDAwMDAxMDAwMDdjMDhiNjg0YmQyMDMzODgwHhcNMTUwMzIyMTYxMTI1WhcNMjUw
MzIzMTYxMTI1WjCBpDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEx
FTATBgNVBAcTDFJlZHdvb2QgQ2l0eTEbMBkGA1UEChMST3JhY2xlIENvcnBvcmF0
aW9uMRowGAYDVQQLExFPcmFjbGUgVk0gTWFuYWdlcjEwMC4GA1UEAxMnT1ZNIENB
IDAwMDRmYjAwMDAwMTAwMDA3YzA4YjY4NGJkMjAzMzg4MIIBIjANBgkqhkiG9w0B
AQEFAAOCAQ8AMIIBCgKCAQEAprkZ3RYvS433ZOx+3RKK7iK7E52znhNpLPzM6b9s
O0fIdCiTBB16h6SU+GQlMMpQbqDh5V9OgWGd7BqCEnKhCU0O3L+xY45sXWGQ0S9R
DvQMH/68VgDwoSsI6BFL5gJHspWWr9wdqkpVcTpau9IN9nDGD38XnTd0KOtVvt+d
32lK3hBzQiXf/W2vX6vNA/RFMlfFBncnYIO4POvtQDsVSDzbfPq4CPqAxn/io1Gk
lycRrVbzemsrWuvusFCOpUkGpmaqwXneg/ozfN8ObUr+bh/PKhLniOo6gJsY2Y9l
ZjD6XiSUEd/Xb4s89SO6yHsNr65RC+wCCHpWjArr/3oVfQIDAQABoyMwITAPBgNV
HRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIABTANBgkqhkiG9w0BAQsFAAOCAQEA
Iv4g3Djf3KFwWLdQ/Tw1vK4kmzGIxcd9SS1YQUPYnddYeU22dwkqgIn9ap8dVK1u
lmkYdYZ4BDte4Y+Lptxqhf149S3nX1lBKfpg4eLsfUIZ+DTnxcuTCiFp/UNKp4Xk
yn43GMpUtyz8D//QX7T3FOtKq786Rl4i522i9xnWizyEXjTsSZ1T0b0y8lK7a+C4
mFOC53Ah1Ihmjl+1Q/zrcf+iFFFInCFywXDrpslE1R8H3Luse4EO42+xhEbxGY6h
xdVkG3vVCYqExBX3XWFfkVPF78+6bmzZbKZzam+NT49dVJRole4mssyOWa1AdWmB
RXXs6j6MR1mcveQVRFhPjg==
-----END CERTIFICATE-----


SSL Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks
SSL Key Alias: ovmm
Certificate details:
  Algorithm: SHA256withRSA
  Subject: CN=ovmm.virtlab.info, OU=Oracle VM Manager, 
    O=Oracle Corporation, L=Redwood City, ST=California, C=US
  Issuer: CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, 
    O=Oracle Corporation, L=Redwood City, ST=California, C=US
  Serial number: 942935368201955864664901535859030776122723582749
  Valid from day mm dd hh:mm:ss CET yyyy to day mm dd hh:mm:ss CET yyyy
  SHA256 Fingerprint: 83:16:23:e1:2e:f5:7e:ff:3a:d5:72:1b:0b:d9:80:5b:d3:d6:b3
  Subject Alternative Names:
    Hostnames:
      myserver.example.com
      myovmm
Full Certificate:
-----BEGIN CERTIFICATE-----
MIID6TCCAtGgAwIBAgIVAKUqryxHow/khR23pDPGttbIbMMdMA0GCSqGSIb3DQEB
CwUAMIGkMQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEVMBMGA1UE
BxMMUmVkd29vZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRpb24xGjAY
BgNVBAsTEU9yYWNsZSBWTSBNYW5hZ2VyMTAwLgYDVQQDEydPVk0gQ0EgMDAwNGZi
MDAwMDAxMDAwMDdjMDhiNjg0YmQyMDMzODgwHhcNMTUwMzIyMTYxMTM5WhcNMjUw
MzIzMTYxMTM5WjCBjjELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEx
FTATBgNVBAcTDFJlZHdvb2QgQ2l0eTEbMBkGA1UEChMST3JhY2xlIENvcnBvcmF0
aW9uMRowGAYDVQQLExFPcmFjbGUgVk0gTWFuYWdlcjEaMBgGA1UEAxMRb3ZtbS52
aXJ0bGFiLmluZm8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCZEiTS
iY6sgh/23myW2l2PyO02ajGohnRxeDYFHRcfmdw/5C9XZXKY7rEpTx1WdPlRTjG0
DFD1dFjCjhJyIJo4DemyulniDoAKJG7dUoiB1sLb0HwVLyjGr3xQ/TbDyw04nppc
mdCGzhS/7ivzm2haMSSxiAoDFVZbeL/CmJSeN59fJmuUvZW01be/6TUNZVoMoOy0
GZm4D6cGWVcXIOuJSjfXep1mzkLIr4zsBTJQLV5uzRDXWjUANPSoN/XeLeHhYLYY
hBuDkDUMYGt0MsGomgQ4jbWchEid5/zQ3Th6FIKZ9PHVsVJPaeYSjObjNEUKkcIz
360d17bUqzQPXMK3AgMBAAGjJjAkMCIGA1UdEQQbMBmCEW92bW0udmlydGxhYi5p
bmZvggRvdm1tMA0GCSqGSIb3DQEBCwUAA4IBAQAeQfaXBGqfoQFisguthG/yPY4G
CLhp+78qSItCdMYPRrfXpUeeIVwrE6GQvuVflXZk/PPBZQGdDR3n/+hDfD9lccv0
MHFS8akON471tiDoku8tjm8a/EMir2/fEHU4PbgH57qUU9bj3lqzDZVI880qmPEx
IvSHwZy0KbrtPf+KkqHn75O/JlN46J+8AgRwuB/6e5ch7wAL2hupO3WeZV7O/icB
FJieePjxvMV5oXqxkFMHuidvVyAKN0MJK26w2lOWwTJtEmnBJ6UF1btNRQdgujUL
anJoGhJsLHyoosIrXbj3M+SmezwV+2kAPLDd8C/aNnXzZC4m55cwEB/GphYd
-----END CERTIFICATE-----


SSL Trust Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks
Trusted certificates:
  CN=OVM CA 0004fb00000100007c08b684bd203388, OU=Oracle VM Manager, 
    O=Oracle Corporation, L=Redwood City, ST=California, C=US
CA certificiate found in SSL Trust-Store

Oracle MiddleWare Home (MW_HOME): [home/u01/app/oracle/Middleware]
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
WebLogic server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session178461015146984067.log

WebLogic SSL Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks
WebLogic SSL Key Alias: ovmm
WebLogic SSL Trust Keystore File: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks

2.2.3 証明書構成の検証

checkコマンドを使用して、現在のCAとSSL構成を検証します。 構成に問題がある場合、コマンドはそれらを解決するのに役立つ情報を表示します。

checkコマンドの例を次に示します。 

# ./ovmkeytool.sh check
time_stamp oracle.security.jps.JpsStartup start
INFO: Jps initializing.
time_stamp oracle.security.jps.JpsStartup start
INFO: Jps started.
 Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
 WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
 Oracle WebLogic Server name: [AdminServer]
 WebLogic username: [weblogic] 
 WebLogic password: [********] 
 WLST session logged at: /tmp/wlst-session178461015146984067.log
           
 The Oracle VM Manager CA and SSL configuration appears to be valid.

2.2.4 CA証明書のエクスポート

Oracle VM Managerには、証明書ベースの認証を実行し、デフォルトSSL証明書に署名する内部CAが含まれています。 exportcaコマンドを使用して、PEM形式でCA証明書をエクスポートします。 インポート後、ブラウザで信頼されたCAとして追加したり、必要に応じて使用したりすることができます。

exportcaコマンドの例を次に示します。 

# ./ovmkeytool.sh exportca

time_stamp oracle.security.jps.JpsStartup start
INFO: Jps initializing.
time_stamp oracle.security.jps.JpsStartup start
INFO: Jps started.
----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

2.2.5 新しいSSLキーの生成

デフォルトでは、Oracle VM Managerがインストールの日から10年間有効なSSL証明書を生成して署名します。 必要に応じて、gensslコマンドを使用してOracle VM Managerの内部CAによって署名された新しいSSL証明書を生成することができます。

gensslコマンドの例を次に示します。 

# ./ovmkeytool.sh gensslkey
Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks] 
The hostname should be the fully qualified hostname of the system
(this is the hostname you'd use to access this system from outside the
local domain).  Depending on your machine setup the value below may not be
correct.
Fully qualified hostname: [myserver.example.com]
Validity in months: [120] 
Key distinguished name is "CN=myserver.example.com, OU=Oracle VM Manager, 
  O=Oracle Corporation, L=Redwood City, ST=California, C=US".  Use these values? [yes] 
Alternate hostnames (separated by commas): [myserver.example.com,myserver]    
You may either specify passwords or use random passwords.
If you choose to use a random password, only WebLogic, the Oracle VM Manager,
and this application will have access to the information stored in this
keystore.
Use random passwords? [yes] 
Generating SSL key and certificate and persisting them to the keystore...
Updating keystore information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session178461015146984067.log

コマンドでは、新しいSSL証明書が生成されるたびにプロシージャ全体の様々なステップの値を入力するように求められます。 特に、サーバーの有効な完全修飾ドメイン名を入力する必要があります。 この値はSSL証明書のホスト名として使用され、Oracle VM ManagerのWebベース・ユーザー・インタフェースにアクセスするために使用するホスト名と一致する必要があります。

2.2.6 デフォルトSSL証明書の変更

Oracle VM Managerが認証に使用するデフォルトSSL証明書を変更できます。 たとえば、サードパーティのCAによって署名されたSSL証明書を使用するようにOracle VM Managerを構成することができます。

この項では、Java keytoolおよびOracle VM Key Toolを使用して、デフォルトSSL証明書を変更する方法を説明します。

ノート

Java keytoolがビジネス・ニーズに合うように、サンプル・コマンドを変更してください。 詳細は、該当するJava keytoolドキュメントを参照してください。

Oracle VM Managerでのキーストアの作成

サードパーティのCA証明書およびSSL証明書をまだ持っていない場合には、Oracle VM Managerに新しいキーストアを作成することができます。 作成するキーストアには、秘密キー用のエントリが1つあります。 キーストアを作成したら、その秘密キー用の証明書署名リクエスト(CSR)を生成し、サードパーティのCAにCSRを送信します。 次に、サードパーティのCAがCSRに署名し、署名済SSL証明書およびCA証明書のコピーを返します。 その後、CA証明書およびSSL証明書をキーストアにインポートし、Oracle VM ManagerをSSLキーストアとして使用するように構成します。

  1. 新しいキーストアを作成します。 

    # keytool -genkeypair -alias alias -keyalg RSA -keysize key_size \
-dname distinguished_name -keypass private_key_password \
-storetype jks -keystore keystore.jks -storepass keystore_password

  2. 証明書署名リクエスト(CSR)を生成します。 

    # keytool -certreq -alias alias -file certreq.csr -keypass private_key_password \
 -storetype jks -keystore keystore.jks -storepass keystore_password

  3. 署名用にCSRファイルを関連する第三者CAに送信します。

  4. CA証明書をキーストアにインポートします。 

    # keytool -importcert -trustcacerts -noprompt -alias alias -file ca_cert_file \
  -storetype jks -keystore keystore.jks -storepass keystore_password

  5. SSL証明書をキーストアにインポートします。 

    # keytool -importcert -trustcacerts -noprompt -alias alias -file ssl_cert_file \
  -keypass private_key_password -storetype jks -keystore keystore.jks \
  -storepass keystore_password

  6. setsslkeyコマンドを使用して、新しいキーストアを使用するようにOracle VM Managerを構成します。 

    # ./ovmkeytool.sh setsslkey
Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks] 
  /path/to/keystore.jks
Keystore password: 
Alias of key to use as SSL key: alias
Key password: 
Updating keystore information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session5820685079094897641.log

  7. rootユーザーでクライアント証明書ログインを構成します。 

    # su -c "/u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh /path/to/cacert"

    ここで、/path/to/cacertは、CA証明書の絶対パスです。 デフォルトのOracle VM Manager CA以外のCAを使用してSSL証明書に署名した場合、CA証明書へのパスを指定する必要があります。

Oracle VM Managerへのキーストアのインポート

CA証明書とSSL証明書をすでに持っている場合、SSL証明書を使用してキーストアを作成します。 その後、そのキーストアをOracle VM ManagerにインポートしてSSLキーストアとして構成できます。

  1. キーストアをOracle VM Managerにインポートします。 

    keytool -importkeystore -noprompt -srckeystore source_keystore \
  -srcstoretype source_format -srcstorepass source_keystore_password \
  -destkeystore destination_keystore.jks -deststoretype JKS \
  -deststorepass destination_keystore_password

  2. setsslkeyコマンドを使用して、新しいキーストアを使用するようにOracle VM Managerを構成します。 

    # ./ovmkeytool.sh setsslkey
Path for SSL keystore: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmssl.jks] 
  /path/to/keystore.jks
Keystore password: 
Alias of key to use as SSL key: alias
Key password: 
Updating keystore information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session5820685079094897641.log

  3. rootユーザーでクライアント証明書ログインを構成します。 

    # su -c "/u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh /path/to/cacert"

    ここで、/path/to/cacertは、CA証明書の絶対パスです。 デフォルトのOracle VM Manager CA以外のCAを使用してSSL証明書に署名した場合、CA証明書へのパスを指定する必要があります。

2.2.7 キーストア・パスワードの変更

いくつかのシナリオでは、追加の信頼されたCAを提供するためにOracle WebLogic ServerのSSLトラストストアを構成することもできます。 構成するには、changepassコマンドを使用してトラストストア・パスワードを変更することができます。キーストアのデフォルト・パスワードはランダム化されていて、正しいパスワードがないとキーストアを変更することができないからです。 パスワードをリセットすると、必要に応じてJava keytoolを使用してキーストアを変更できるようになります。 既存の内部Oracle VM Manager CA証明書がキーストアから削除されていないことが必要です。

キーストア・パスワードを設定してからJava keytoolコマンドを使用してトラスト情報にアクセスする例を次に示します。 

# ./ovmkeytool.sh changepass
You may either specify passwords or use random passwords.
If you choose to use a random password, only WebLogic, the Oracle VM Manager,
and this application will have access to the information stored in this
keystore.
Use random passwords? [yes] no
Change CA Keystore and Key passwords? [yes] no

Change SSL Keystore and Key passwords? [yes] no

Change SSL Trustore password? [yes]  
SSL Trust Keystore password: 
Verify SSL Trust Keystore password: 
Updating trust-store information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [WLS1] AdminServer
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session6297528751781822860.log
# keytool -list -keystore /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/ovmtrust.jks
Enter keystore password:  

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

ovmmgr_ca_key_entry, Nov 7, 2013, trustedCertEntry,
Certificate fingerprint (MD5): 65:31:9C:17:35:59:6C:A7:A3:93:C8:93:F0:A7:81:6A

Copyright © 2014, 2022 Oracle and/or its affiliates. 法律上の注意点