サーバー: 構成: SSL
構成オプション 詳細な構成オプション 関連タスク 関連トピック
このページでは、このサーバー・インスタンスの様々なSecure Sockets Layer(SSL)設定の表示および定義を行います。これらの設定は、メッセージ送信のセキュリティ管理に役立ちます。
下位互換性のため、WebLogic Serverでは秘密キーおよび信頼性のある認証局をファイルにもキーストア・プロバイダにも格納できます。IDおよび信頼に対してこれらのメカニズムのいずれかを使用する場合は、「ファイルまたはキーストア・プロバイダ(非推奨)」オプションを選択します。
構成オプション
名前 説明 アイデンティティと信頼の場所 SSLが、サーバーのアイデンティティ(証明書および秘密キー)とサーバーの信頼(信頼性のあるCA)を検出する場所を示します。
KEYSTORES
に設定すると、SSLは(サーバー上で構成されている)サーバーのキーストアからアイデンティティと信頼を取得します。
FILES_OR_KEYSTORE_PROVIDERS
に設定すると、SSLはまず非推奨のキーストア・プロバイダ内を検索してアイデンティティおよび信頼を探します。みつからなかった場合は、SSLの「信頼性のあるCAのファイル名」、「サーバー証明書のファイル名」、および「サーバー・キー・ファイル名」属性で示されるフラット・ファイル内を探します。WebLogic Serverバージョン8.1以降で作成されるドメインのデフォルト値は、
KEYSTORES
です。WebLogic Serverバージョン8.1より前のバージョンで作成されたドメインのデフォルト値は、FILES_OR_KEYSTORE_PROVIDERS
です。MBean属性:
SSLMBean.IdentityAndTrustLocations
秘密キーの場所 秘密キー・ファイルの場所を定義するキーストア属性。
秘密キーのファイル名 サーバーの秘密キー・ファイル(
.der
または.pem
)が置かれた絶対ディレクトリ。パス名は、絶対パスまたはサーバーの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内に秘密キーを格納するセキュリティ構成との下位互換性のために提供されています。デプロイメントをよりセキュアにするために、秘密キーをキーストアに保存することをお薦めします。
ファイルの拡張子(
.der
または.pem
)は、ファイルの読取り方法を示します。MBean属性:
SSLMBean.ServerKeyFileName
秘密キーの別名 サーバーの秘密キーの格納および取得に使用する文字列別名を定義するキーストア属性。
MBean属性:
SSLMBean.ServerPrivateKeyAlias
秘密キーのパスフレーズ サーバーの秘密キーの取得に使用するパスフレーズを定義するキーストア属性。
MBean属性:
SSLMBean.ServerPrivateKeyPassPhrase
証明書の場所 信頼性のある証明書の場所を定義するキーストア属性。
サーバー証明書のファイル名 サーバーのデジタル証明書ファイル(
.der
または.pem
)が置かれた絶対ディレクトリ。パス名は、絶対パスまたはサーバーの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内にデジタル証明書を格納するセキュリティ構成との下位互換性のために提供されています。
WebLogic Serverでは、ファイルの拡張子(
.der
または.pem
)によってファイルの内容の読取り方法を判別します。MBean属性:
SSLMBean.ServerCertificateFileName
信頼性のある認証局 認証局の場所を定義するキーストア属性。
信頼性のあるCAのファイル名 サーバーによって信頼される認証局を指定するファイルが置かれた絶対ディレクトリ。
パス名は、絶対パスまたはサーバーの起動ディレクトリを基準とした相対パスのいずれかとします。このフィールドは、ファイル内に信頼性のある認証局を格納するセキュリティ構成との下位互換性のために提供されています。
この属性で指定するファイルには、単一のデジタル証明書を含めることも、複数のデジタル証明書を含めることもできます。WebLogic Serverでは、ファイルの拡張子(
.der
または.pem
)によってファイルの内容の読取り方法を判別します。MBean属性:
SSLMBean.TrustedCAFileName
詳細な構成オプション
名前 説明 ホスト名の検証 (このサーバーが別のアプリケーション・サーバーへのクライアントとして動作している場合に)インストール済みの
weblogic.security.SSL.HostnameVerifier
インタフェースの実装を無視するかどうかを指定します。MBean属性:
SSLMBean.HostnameVerificationIgnored
カスタム・ホスト名の検証
weblogic.security.SSL.HostnameVerifier
インタフェースを実装するクラスの名前。このクラスは、URLからのホスト名を持つホストへの接続を許可するかどうかを確認します。このクラスは、介在者の攻撃を防ぐために使用します。
weblogic.security.SSL.HostnameVerifier
は、WebLogic ServerがSSLハンドシェーク時にクライアントに対して呼び出すverify()
メソッドを持っています。MBean属性:
SSLMBean.HostnameVerifier
エクスポート・キーの有効期間 WebLogic Serverがドメスティック・サーバーとエクスポータブル・クライアントとの間で、新規のキーを生成する前に、エクスポータブル・キーを使用できる回数を示します。新規のキーを生成する前のキーの使用回数が少ないほど、WebLogic Serverのセキュリティは向上します。
MBean属性:
SSLMBean.ExportKeyLifespan
最小値:
1
最大値:
2147483647
サーバーの証明書を使用 クライアントで、HTTPSを介したアウトバウンド接続の開始時に、クライアント・アイデンティティとしてサーバーの証明書およびキーを使用する必要があるかどうかを設定します。
MBean属性:
SSLMBean.UseServerCerts
相互クライアント証明書の動作 使用するSSLの形式。
デフォルトでは、一方向SSL (「
クライアント証明書をリクエストしない
」の値によって示唆される)を使用するように構成されています。「クライアント証明書をリクエスト(強制しない)
」を選択すると、双方向SSLが有効化されます。このオプションにより、サーバーはクライアントからの証明書をリクエストしますが、クライアントが証明書を提示しなくても、接続は継続します。「クライアント証明書をリクエスト(強制する)
」を選択しても双方向SSLが有効化され、クライアントに対して証明書の提示がリクエストされます。ただし、証明書が提示されない場合、SSL接続は終了します。MBean属性:
SSLMBean.TwoWaySSLEnabled
セキュアな値:
true
証明書オーセンティケータ WebLogic Serverのこのリリースでは非推奨となっている、
weblogic.security.acl.CertAuthenticator
クラスを実装するJavaクラスの名前。このフィールドは互換性セキュリティを保つためのみのものであり、レルム・アダプタ認証プロバイダが構成されている場合にのみ使用されます。
weblogic.security.acl.CertAuthenticator
クラスは、クライアントのデジタル証明書をWebLogic Serverユーザーにマップします。このクラスには、WebLogic Serverがクライアントによって提示されたデジタル証明書を検証した後で呼び出すauthenticate()
メソッドがあります。MBean属性:
SSLMBean.CertAuthenticator
SSL拒否ロギングの有効化 SSL接続が拒否された場合に、警告メッセージをサーバー・ログに記録するかどうかを示します。
MBean属性:
SSLMBean.SSLRejectionLoggingEnabled
非暗号化Null暗号を許可 AllowUnEncryptedNullCipherが有効かどうかをテストします。
NullCipher機能については、
setAllowUnencryptedNullCipher(boolean enable)
を参照してください。MBean属性:
SSLMBean.AllowUnencryptedNullCipher
インバウンド証明書の検証 インバウンドSSLのクライアント証明書の検証ルールを示します。
この属性は、2方向SSLを使用するポートおよびネットワーク・チャネルにのみ適用されます。
アウトバウンド証明書の検証 アウトバウンドSSLのサーバー証明書の検証ルールを示します。
この属性は、常にWebLogic Server (すなわち、ノード・マネージャと通信している管理サーバー)の一部であるアウトバウンドSSLに適用されます。アウトバウンドSSLを使用しているサーバーのアプリケーション・コードには適用されません。ただし、アプリケーション・コードが、アウトバウンドSSL検証を使用するよう構成されている
weblogic.security.SSL.ServerTrustManager
を使用している場合は、このかぎりではありません。