OTNホーム > Oracle WebLogic Server 12.2.1.3.0ドキュメント > 管理コンソール・オンライン・ヘルプ > ネットワーク・チャネルに固有のキーストアおよびSSL属性の構成

管理コンソール・オンライン・ヘルプ

前 次 新規ウィンドウで目次を開く
ここから内容の開始

ネットワーク・チャネルに固有のキーストアおよびSSL属性の構成

始める前に

  • 構成するネットワーク・チャネルに固有のアイデンティティと信頼キーストアの作成方法の詳細は、キーストアの構成を参照してください。これらはカスタム・キーストアと呼ばれ、ドメイン内で使用されるデフォルトのキーストアとは区別されます。
  • デフォルト・セキュリティ・レルムでレルムの自動再起動を有効化する場合、このトピックで説明しているように、キーストアとSSL属性を構成した後でWebLogic Serverを再起動する必要はありません。

特定のサーバー・インスタンスに対し構成した各チャネルには、リスニング・アドレス、リスニング・ポートおよびプロトコルの一意の組合せが必要です。

そのチャネルにのみ固有でドメインに設定されたデフォルト値をオーバーライドする、キーストアおよびその他のSSL属性を使用するネットワーク・チャネルを構成できます。これにより、1つのチャネルで1つのアイデンティティおよび1セットのSSL属性を使用し、別のチャネルで別のアイデンティティおよびSSL属性を使用するように管理対象サーバーを構成できます。詳細は、ネットワーク・チャネルに固有のIDキーストアの構成を参照してください。

ネットワーク・チャネルに固有のキーストアおよびSSL属性を構成するには:

  1. まだ行っていない場合、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします(チェンジ・センターの使用を参照)。
  2. 管理コンソールの左ペインで、「環境」を展開して「サーバー」を選択します。
  3. デフォルト以外のキーストアと他のSSL属性を使用するネットワーク・チャネルを構成するサーバーを選択します。
  4. 「プロトコル」「チャネル」を選択します。
  5. 「新規作成」をクリックします。
  6. 新しいネットワーク・チャネルの名前と、そのチャネルで使用するプロトコルを入力して、「」をクリックします。
  7. 次の情報を入力します。
    • リスニング・アドレス
    • リスニング・ポート
    • 外部リスニング・アドレス
    • 外部リスニング・ポート

    外部リスニング・アドレスおよびポートは、ネットワーク・アドレス変換(Network Address Translation: NAT)ファイアウォールをサポートするために使用されます。これらは、クライアントでサーバー上のアプリケーションへのアクセスに使用するIPアドレスまたはDNS名と一致している必要があります。
  8. 「次」をクリックします。
  9. このネットワーク・チャネルに任意のプロパティを追加で構成します。詳細は、カスタム・ネットワーク・チャネルの構成を参照してください。
  10. 「終了」をクリックします。
  11. server-name→プロトコル→チャネル」ページから、前述のステップで構成された新規ネットワーク・チャネルの名前をクリックします。

    channel-nameの設定ページが表示されます。

  12. 「構成」→「セキュリティ」を選択します。
  13. 必要に応じて、「双方向SSLの有効化」および「クライアント証明書の強制」を設定します。
  14. 「チャネル・アイデンティティ」「カスタマイズ・アイデンティティ」に設定します。
  15. サーバーまたはドメインに対して設定されているSSLの値を上書きするように、このチャネルの次の1つ以上の値を構成します。
    • カスタム・チャネルの秘密キーの別名: チャネルの秘密キーをカスタム・アイデンティティ・キーストアに格納し、キーストアから取得するための文字列別名。
    • カスタム・チャネルの秘密キーのパスフレーズ: チャネルの秘密キーをカスタム・アイデンティティ・キーストアから取得するために使用するパスワード。
  16. 「詳細」をクリックし、このネットワーク・チャネルに固有の、1つ以上の次のSSL値を構成します。
    • カスタム・アイデンティティ・キーストアのパスフレーズ: カスタム・アイデンティティ・キーストアの読取りまたは書込みの際に使用するパスワード。
    • 「カスタムIDキーストアのタイプ」- キーストアのタイプ。通常、この属性はJavaキーストア(JKS)です。空白のままにすると、デフォルトのJKSに設定されます。Oracleキーストア・サービスを使用する場合は、KSSと入力します。
    • カスタム・アイデンティティ・キーストア: カスタム・アイデンティティ・キーストアの完全修飾パス。KSSの場合、これはKSS URIです。
    • ホスト名の検証: このチャネルがインストール済のweblogic.security.SSL.HostnameVerifierインタフェースの実装を無視するかどうかを指定します。
    • カスタム・ホスト名の検証: このチャネルに使用するweblogic.security.SSL.HostnameVerifierインタフェースを実装するクラスの名前を入力します。
    • 暗合スイート: ネットワーク・チャネルに対してSSLリスナーで使用する暗号スイート。空のリストは、特定の暗号スイートが有効になっておらず、JVMインストールからのデフォルトの有効化された暗号スイートに戻されることを意味します。
    • 非暗号化Null暗号: 暗号化されていない暗号スイートがこのチャネルに対して有効かどうかを指定します。
    • インバウンド証明書の検証: インバウンドSSLのクライアント証明書の検証ルールを示します。
    • アウトバウンド証明書の検証: アウトバウンドSSLのサーバー証明書の検証ルールを示します。

    ノート: WebLogic Serverには、NetworkAccessPointMBean.ChannelIdentityCustomized MBean属性に関連するカスタム・アイデンティティ・キーストアに指定された値に関連する検証ルールがあります。カスタム・アイデンティティ・キーストアの属性が設定されている場合、次の値も設定する必要があります。

    • すべてのカスタム・アイデンティティ・キーストアの属性を設定する必要があります。
    • 「チャネル・アイデンティティ」の値を「カスタマイズ・アイデンティティ」に設定する必要があります。
    • 「カスタム・チャネルの秘密キーの別名」を設定する必要があります。

    この検証により、チャネルの別名がチャネル・キーストアに関連し、デフォルトのサーバー・キーストア内の別名ではないことが保証されます。カスタム・アイデンティティ・キーストアの属性が設定されていない場合、チャネルの秘密キーの別名をサーバーのキーストアを参照するように設定できることにも注意してください。

  17. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。レルムの自動再起動が有効になっている場合、更新を有効にするためにWebLogic Serverを再起動する必要はありません。

先頭に戻る