チャネル: 構成: セキュリティ
構成オプション 詳細な構成オプション 関連タスク 関連トピック
このページでは、このネットワーク・チャネルのセキュリティ構成を定義できます。
ネットワーク・チャネルは、WebLogic Serverへのネットワーク接続の属性を定義する構成可能なリソースです。ネットワーク・チャネルを使用して、サービス品質を管理したり、変化する接続要件に対応したり、システムとネットワーク・リソースの利用率を向上させることができます。
構成オプション
名前 説明 双方向SSLの有効化 このネットワーク・チャネルが双方向SSLを使用するかどうかを指定します。
MBean属性:
NetworkAccessPointMBean.TwoWaySSLEnabled
セキュアな値:
true
クライアント証明書の強制 クライアントが、信頼される認証局から取得したデジタル証明書をこのチャネルのWebLogic Serverに提示する必要があるかどうかを定義します。
MBean属性:
NetworkAccessPointMBean.ClientCertificateEnforced
セキュアな値:
true
チャネルID このチャネルのSSLアイデンティティを指定します。
サーバーの秘密キーの別名 サーバーの秘密キーをキーストアに格納し、キーストアから取得するための文字列別名。この秘密キーはサーバーのデジタル証明書に関連付けられます。
MBean属性:
SSLMBean.ServerPrivateKeyAlias
カスタム・チャネルの秘密キーの別名 チャネルの秘密キーをキーストアに格納し、キーストアから取得するための文字列別名。この秘密キーはサーバーのデジタル証明書に関連付けられます。
null
の場合、ネットワーク・チャネルがサーバーのSSL構成に指定された別名を使用することを示します。カスタム・チャネルの秘密キーのパスフレーズ サーバーの秘密キーをキーストアから取得するために使用されるパスフレーズ。このパスフレーズは、生成時に秘密キーに割り当てられます。
null
の場合、ネットワーク・チャネルがサーバーのSSL構成に指定されたパスフレーズを使用することを示します。詳細な構成オプション
名前 説明 カスタム・アイデンティティ・キーストアのタイプ キーストアのタイプ。通常、これは
JKS
です。Oracleキーストアを使用する場合には、KSS
となります。空またはnullの場合、JDKのデフォルトのキーストア・タイプ(
java.security
で指定)が使用されます。カスタム・アイデンティティ・キーストアのタイプは、ServerMBean.KeyStores
がCUSTOM_IDENTITY_AND_JAVA_STANDARD_TRUST
、CUSTOM_IDENTITY_AND_CUSTOM_TRUS
TまたはCUSTOM_IDENTITY_AND_COMMAND_LINE_TRUST
の場合のみ使用されます。カスタム・アイデンティティ・キーストア アイデンティティ・キーストアのソース。JKSキーストアでは、ソースはパスおよびファイル名です。Oracleキーストア・サービス(KSS)キーストアの場合、ソースはKSS URIです。
JKSキーストアを使用する場合は、キーストア・パス名はサーバーが起動した場所への絶対パスまたは相対パスである必要があります。
KSSキーストアを使用する場合、キーストアのURIは次の形式である必要があります。
kss://system/keystorename
ここで、
keystorename
はKSSに登録されているキーストアの名前です。この属性の値は、
ServerMBean.KeyStores
がCUSTOM_IDENTITY_AND_JAVA_STANDARD_TRUST
、CUSTOM_IDENTITY_AND_CUSTOM_TRUST
またはCUSTOM_IDENTITY_AND_COMMAND_LINE_TRUST
の場合にのみ使用されます。MBean属性:
NetworkAccessPointMBean.CustomIdentityKeyStoreFileName
カスタム・アイデンティティ・キーストアのパスフレーズ 暗号化されたカスタムIDキーストアのパスフレーズ。これが空またはnullの場合、キーストアはパスフレーズなしで開かれます。
この属性は、
ServerMBean.KeyStores
がCUSTOM_IDENTITY_AND_JAVA_STANDARD_TRUST
、CUSTOM_IDENTITY_AND_CUSTOM_TRUST
またはCUSTOM_IDENTITY_AND_COMMAND_LINE_TRUST
である場合のみ使用されます。この属性の値を取得すると、WebLogic Serverは次の処理を実行します。
CustomIdentityKeyStorePassPhraseEncrypted
属性の値を取得します。値を復号化し、暗号化されていないパスワードをString型で戻します。
この属性の値を設定すると、WebLogic Serverは次の処理を実行します。
値を暗号化します。
CustomIdentityKeyStorePassPhraseEncrypted
属性の値を暗号化された値に設定します。この属性(
CustomIdentityKeyStorePassPhrase
)を使用すると、暗号化されていないパスワードを格納するString型のオブジェクトが、ガベージ・コレクションによって削除され、メモリーの再割当てが行われるまでJVMのメモリー内に留まるため、潜在的なセキュリティ上のリスクにつながります。JVM内でメモリーがどのように割り当てられているかによっては、この暗号化されていないデータがメモリーから削除されるまでに、かなりの時間が経過する可能性があります。この属性を使用するかわりに、
CustomIdentityKeyStorePassPhraseEncrypted
を使用します。MBean属性:
NetworkAccessPointMBean.CustomIdentityKeyStorePassPhrase
ホスト名の検証 (このサーバーが別のアプリケーション・サーバーへのクライアントとして動作している場合に)インストール済みの
weblogic.security.SSL.HostnameVerifier
インタフェースの実装を無視するかどうかを指定します。MBean属性:
NetworkAccessPointMBean.HostnameVerificationIgnored
カスタム・ホスト名の検証
weblogic.security.SSL.HostnameVerifier
インタフェースを実装するクラスの名前。このクラスは、URLからのホスト名を持つホストへの接続を許可するかどうかを確認します。このクラスは、介在者の攻撃を防ぐために使用します。
weblogic.security.SSL.HostnameVerifier
は、WebLogic ServerがSSLハンドシェーク時にクライアントに対して呼び出すverify()
メソッドを持っています。暗合スイート 特定のWebLogic Serverチャネルで使用される暗号スイートを示します。
最も強力な交渉された暗号スイートがSSLハンドシェイク時に選択されます。JSEEにデフォルトで使用される暗号スイートのセットは、WebLogic Serverの構成に使用されるJDKの特定のバージョンによって異なります。
使用可能な値のリストについては、暗号スイートを参照してください。
MBean属性:
NetworkAccessPointMBean.Ciphersuites
非暗号化Null暗号 AllowUnEncryptedNullCipherが有効かどうかをテストします。
NullCipher機能については、
setAllowUnencryptedNullCipher(boolean enable)
を参照してください。インバウンド証明書の検証 インバウンドSSLのクライアント証明書の検証ルールを示します。
この属性は、2方向SSLを使用するポートおよびネットワーク・チャネルにのみ適用されます。
MBean属性:
NetworkAccessPointMBean.InboundCertificateValidation
アウトバウンド証明書の検証 アウトバウンドSSLのサーバー証明書の検証ルールを示します。
この属性は、常にWebLogic Server (すなわち、ノード・マネージャと通信している管理サーバー)の一部であるアウトバウンドSSLに適用されます。アウトバウンドSSLを使用しているサーバーのアプリケーション・コードには適用されません。ただし、アプリケーション・コードが、アウトバウンドSSL検証を使用するよう構成されている
weblogic.security.SSL.ServerTrustManager
を使用している場合は、このかぎりではありません。MBean属性:
NetworkAccessPointMBean.OutboundCertificateValidation