OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > キーストアの構成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

キーストアの構成

始める前に

  • VeriSign社やEntrust.netなど、信頼できる認証局から秘密キーおよびデジタル証明書を入手します。
  • アイデンティティ・キーストアおよび信頼キーストアを作成します。
  • 秘密キーおよび信頼性のあるCAをキーストアにロードします。
  • デフォルト・セキュリティ・レルムでレルムの自動再起動を有効化する場合、このトピックで説明しているように、キーストアを構成した後でWebLogic Serverを再起動する必要はありません。

これらのステップの詳細は、キーストアの構成を参照してください。

デフォルトでは、WebLogic Serverには開発用のみの2つのタイプのキーストアが構成されています。

DemoIdentity.jksはdomain_name\securityにあります。信頼キーストアは、WL_HOME\server\libディレクトリおよびJAVA_HOME\jre\lib\securityディレクトリにあります。テストおよび開発においては、このキーストア構成で十分です。次のステップは、プロダクション用途においてアイデンティティ・キーストアおよび信頼キーストアを構成するためのステップです。

キーストア・サービスを使用したキーと証明書の管理の説明のとおり、OPSSキーストア・サービスは、メッセージ・セキュリティのためのキーおよび証明書を管理するための代替メカニズムです。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成して管理します。Oracle Java Required Files (JRF)テンプレートがWebLogic Serverシステムにインストールされている場合は、KSSキーストアを使用するという選択肢があります。KSSキーストアを使用するにはJRFテンプレートが必要であり、デフォルトのWebLogic Server構成では使用できません。

アイデンティティ・キーストアおよび信頼キーストアを構成するには:

  1. まだ行っていない場合、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(チェンジ・センターの使用を参照)。
  2. 管理コンソールの左ペインで、「環境」を展開して「サーバー」を選択します。
  3. アイデンティティ・キーストアおよび信頼キーストアを構成するサーバーの名前をクリックします。
  4. 「構成」→「キーストア」を選択します。
  5. キーストア」フィールドで、秘密キーとデジタル証明書のペア、および信頼性のあるCA証明書の格納と管理の方法を選択します。次のオプションがあります。
    1. 「デモ・アイデンティティとデモ信頼」 - デモ・アイデンティティとデモ信頼のキーストア(それぞれdomain_name\securityおよびMIDDLEWARE_HOME\server\libディレクトリにあります)、およびJDK cacertsキーストアがデフォルトで構成されます。開発にのみ使用してください。KSSキーストアをデモ・アイデンティティおよびデモ信頼に使用するには、まず、「ドメイン」→「セキュリティ」→詳細ページで「デモへのKSSの使用」フィールドを設定します。このフィールドは、デモ・アイデンティティ・キーストアとデモ信頼キーストアをOracleキーストア・サービス(KSS)から取得するかどうかを決定します。
    2. カスタム・アイデンティティとJava標準信頼」- ユーザー作成によるキーストアと、JAVA_HOME\jre\lib\securityディレクトリのcacertsファイルで定義された、信頼性のあるCA。
    3. カスタム・アイデンティティとカスタム信頼」- 自分で作成したアイデンティティ・キーストアおよび信頼キーストア。
    4. カスタム・アイデンティティとコマンドライン信頼」- 自分で作成したアイデンティティ・キーストアおよび信頼キーストアの場所を指定するコマンドライン引数。
  6. ID」セクションで、アイデンティティ・キーストアの属性を定義します。
    1. 「カスタム・アイデンティティ・キーストア」: アイデンティティ・キーストアの完全修飾パス。Oracleキーストア・サービス(KSS)キーストアの場合、ソースはKSS URIです。キーストアURIはkss://system/keystorenameの形式で指定する必要があり、keystorenameはKSSに登録されているキーストアの名前です。
    2. カスタム・アイデンティティ・キーストアの種類」: キーストアのタイプ。通常、この属性はJava KeyStore (JKS)です。空白のままにすると、デフォルトでJKSに設定されます。Oracleキーストア・サービスを使用する場合は、KSSと入力します。
    3. カスタム・アイデンティティ・キーストアのパスフレーズ」: キーストアの読取りまたは書込みの際に入力するパスワード。この属性は、キーストアのタイプによって必須かどうかが異なります。すべてのキーストアに、キーストアを書き込むためのパスフレーズが必要です。しかし、一部のキーストアは、キーストアから読み取るためのパスフレーズが必要ありません。WebLogic Serverは、キーストアから読み取るのみなので、このプロパティを定義するかどうかは、キーストアの要件によって決まります。

      ノート: デモ・アイデンティティ・キーストアのパスワードは、DemoIdentityKeyStorePassPhraseです。

  7. 信頼」セクションで、信頼キーストアのプロバイダを定義します。

    キーストアとしてJava標準信頼を選択した場合は、キーストアの作成時に定義されたパスワードを指定します。パスワードを確認します。

    カスタム信頼を選択した場合は、次の属性を定義します。

    1. 「カスタム信頼キーストア」: 信頼キーストアの完全修飾パス。Oracleキーストア・サービス(KSS)キーストアの場合、ソースはKSS URIです。キーストアURIはkss://system/keystorenameの形式で指定する必要があり、keystorenameはKSSに登録されているキーストアの名前です。
    2. カスタム信頼キーストアの種類」: キーストアのタイプ。通常、この属性はJKSです。空白のままにすると、デフォルトでJKSに設定されます。Oracleキーストア・サービスを使用する場合は、KSSと入力します。
    3. カスタム信頼キーストアのパスフレーズ」: キーストアの読取りまたは書込みの際に入力するパスワード。この属性は、キーストアのタイプによって必須かどうかが異なります。すべてのキーストアに、キーストアを書き込むためのパスフレーズが必要です。しかし、一部のキーストアは、キーストアから読み取るためのパスフレーズが必要ありません。WebLogic Serverは、キーストアから読み取るのみなので、このプロパティを定義するかどうかは、キーストアの要件によって決まります。
  8. 「保存」をクリックします。
  9. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。

完了した後に

サーバーのSSL属性はすべて動的です。コンソールから属性を変更すると、対応するSSLサーバーまたはチャネルSSLサーバーが再起動され、新しい接続に対して新しい設定が使用されます。古い接続は引き続き古い構成で実行されます。レルムの自動再起動を有効化しない場合、すべてのSSL接続を指定した構成に従うようにするには、WebLogic Serverを再起動する必要があります。

キーストア・ファイルに対して変更を行い、後続の接続にもWebLogic Serverを再起動せずに適用する必要がある場合は、「制御: 起動と停止」ページの「SSLの再起動」ボタンを使用してSSLサーバーを再起動します。SSLの再起動を参照してください。


先頭に戻る