| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12c (12.2.1.3.0) E90347-06 |
|
 前 |
 次 |
キーストアの構成では、WebLogic Serverのアイデンティティおよび信頼をデフォルトのJKSキーストア・タイプで構成する方法について説明します。
『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項で説明するように、OPSSキーストア・サービスでは、メッセージ・セキュリティのためにキーと証明書を管理するための代替メカニズムが提供されています。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成および保持できます。
OPSSキーストア・サービスの構成を続行する前に、キーストア・サービスを使用したキーと証明書の管理に関する項に示されているOPSSキーストア・サービスの基本的な概要をよく理解していることを前提とします。
この章には次のトピックが含まれます:
OPSSキーストア・サービスはJRFテンプレートのみで利用でき、デフォルトのWebLogic Server構成では利用できません。
『ドメイン・テンプレート・リファレンス』で説明するように、WebLogic ServerシステムにOracle JRFテンプレートをインストールしており、そのテンプレートを使用してドメインを作成している場合にかぎり、WebLogic ServerでOPSSキーストア・サービスを使用できます。
OPSSキーストア・サービスの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスでのキーと証明書の管理に関する項を参照してください。キーストア・サービスでのキーと証明書の管理に関する項では具体的に、KSSキーストアの作成方法、管理方法、および利用可能なツールとコマンドについて説明しています。
この項では、OPSSキーストア・サービスの構成ステップを簡単に説明しますが、最も正確な情報は『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスでのキーと証明書の管理に関する項にあります。
OPSSキーストア・サービスの操作は、Fusion Middleware Controlまたはキーストア・サービス・コマンドのいずれかとWLSTを使用して実行できます。デモ・アイデンティティとデモ信頼用にOPSSキーストア・サービスを構成するには、デモ・アイデンティティとデモ信頼を使用するようにWebLogic Serverインスタンスを構成する他、そのWebLogic Serverインスタンス用にSSLを構成する必要があります。
この項ではFusion Middleware Controlのステップを示しますが、キーストア・サービスでのキーと証明書の管理に関する項では両方のステップを説明しています。
KSSのデモIDキーストアとデモ信頼キーストアは、ドメインの作成時にすでに構成されています。これらのキーストアをさらに構成する必要はありません。
デモIDおよびデモ信頼に対してOPSSキーストア・サービスを構成するには、次のステップを実行します。
WebLogic Serverでカスタム・アイデンティティおよびカスタム信頼に対してOPSSキーストア・サービスを使用できるように、OPSSキーストア・サービスを構成する必要があります。Fusion Middleware Controlまたはキーストア・サービス・コマンドのいずれかとWLSTを使用して、OPSSキーストア・サービス操作を実行できます。
この項ではFusion Middleware Controlのステップを示しますが、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項では両方のステップを説明しています。
カスタムIDとカスタム信頼に対してOPSSキーストア・サービスを構成するには、次のステップを実行します。
Fusion Middleware Controlを起動します。
「WebLogicドメイン」メニューから、「セキュリティ」→「キーストア」を選択します。
systemストライプにキーストアを作成します。
systemストライプを選択し、「キーストアの作成」をクリックします。
「キーストアの作成」ページで次のようにします。
このキーストアに名前を付けます。
保護タイプを「パスワード」に設定します。
パスワードを設定します。
「権限の付与」チェック・ボックスの選択を解除します。
コード・ベースURLは指定しないでください。
作成したキーストアを選択し、「管理」をクリックします。
パスワードを入力します。
図31-1に「証明書の管理」画面を示します。
「キー・ペアの生成」をクリックし、公開キーと秘密キーのペアを生成します。
「キー・ペアの生成」画面で次のようにします。
キー・ペアの別名を指定します。
必要に応じて、サイト固有の情報を指定します。
環境に適合する場合、デフォルトのRSAキー・サイズを受け入れます。RSAキーの最小サイズは2048ビットです。
パスワードを指定します。
「OK」をクリックします。
このKSSデモCA署名のキー・ペアをそのまま使用することも、Entrust、Verisignなどの信頼できるベンダーから署名証明書を取得することもできます。
信頼できるベンダーから署名証明書を取得するには、キー・ペアの別名を選択し、「CSRの生成」をクリックします。CSRの作成後、それをCAに送信します。CAは証明書リクエストを認証し、リクエストに基づいてデジタル証明書を作成します。
CA署名証明書のインポート方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した証明書または信頼できる証明書のインポートに関する項を参照してください。
事前構成されたOPSSキーストア・サービスの信頼ストアkss://system/trustを使用しない場合は、独自の信頼ストアを作成する必要があります。
ノート:
事前構成されたOPSSキーストア・サービスの信頼ストアを使用することをお薦めします。
独自の信頼ストアを作成するには、別のOPSSキーストア・サービスのキーストアを作成し、信頼できる証明書をインポートします。信頼できる証明書のインポート方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した証明書または信頼できる証明書のインポートに関する項を参照してください。
キーストアの構成に関する項で説明しているように、カスタムIDおよびカスタム信頼に対してKSSを使用するようにWebLogic Serverインスタンスを構成します。キーストアへの完全修飾パスとして、kss://system/keystore-name形式のURIを指定します。キーストア・タイプはKSSです。
SSLの設定に関する項で説明しているように、WebLogic Serverインスタンスに対してSSLを構成します。
syncKeyStores WLSTコマンドを実行します。『Oracle Platform Security Servicesによるアプリケーションの保護』のローカル・キーストアとセキュリティ・ストアの同期に関する項を参照してください
サーバーのSSL属性はすべて動的です。コンソールから属性を変更すると、対応するSSLサーバーまたはチャネルSSLサーバーが再起動され、新しい接続に対して新しい設定が使用されます。古い接続は引き続き古い構成で実行されます。すべてのSSL接続が、指定された構成に従って動作するようにするには、WebLogic Serverを再起動する必要があります。
