プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド
12c (12.2.1.4.0)
E96104-02
目次へ移動
目次

前
次

5 Oracle Business IntelligenceのSSLの構成

この章では、Secure Socket Layer (SSL)を介して通信するようにOracle Business Intelligenceコンポーネントを構成する方法について説明します。

「Oracle Business Intelligenceでセキュリティを設定するためのプロセス」を参照してください。

Oracle Business IntelligenceのSSL Everywhere機能を使用すると、コンポーネント間のセキュアな通信が可能になります。デプロイメント全体でセキュアなHTTP通信が行われるように、Oracle Business Intelligenceコンポーネント間およびOracle WebLogic Server間のSSL通信を構成できます。この項では、データベースやWebサーバーといった外部サービスとのセキュアな通信の構成については説明しません。『Oracle Fusion Middlewareの管理』のOracle Fusion MiddlewareのSSL構成に関する項を参照してください。

この章の構成は、次のとおりです。

SSLとは

SSLは、ネットワーク全体のアプリケーション間でセキュアな通信を有効にするための暗号プロトコルです。

SSL通信を有効にすることで、メッセージの暗号化、データ整合性、認証など、いくつもの機能による利益を享受できます。メッセージを暗号化することで、認可されたユーザーだけがこれにアクセスできるという機密保護を徹底できます。データ整合性は、メッセージが改ざんされることなく、元の状態のままで受信されることを保証します。認証は、メッセージの送信者が実際にその人物であることを保証します。

SSLを使用する場合は、セッションのネゴシエーション用に、サーバーが公開鍵と秘密鍵を保有している必要があります。公開鍵は、認証局によって署名されたサーバー証明書によって使用可能になります。証明書には、サーバーを識別する情報も含まれます。秘密鍵はサーバーによって保護されます。

『Oracle Fusion Middlewareの管理』のSSLのしくみに関する項を参照してください。

Oracle Business IntelligenceでのSSLの使用

デフォルトでは、Oracle Business IntelligenceコンポーネントはTCP/IPを使用して相互通信します。Oracle Business Intelligenceコンポーネント間でSSLを構成すると、セキュアなネットワーク通信が可能になります。

Oracle Business Intelligenceコンポーネントは、一度に1つのプロトコルを介してのみ通信できます。あるコンポーネント間で単純なTCP/IP通信を行いながら、別のコンポーネント間でSSLを使用することはできません。SSLを介したセキュアな通信を可能にするには、次のコンポーネントを構成する必要があります。

  • Oracle BIサーバー

  • Oracle BIプレゼンテーション・サービス

  • Oracle BI JavaHost

  • Oracle BIスケジューラ

  • Oracle BIジョブ・マネージャ

  • Oracle BIクラスタ・コントローラ

  • Oracle BIサーバーのクライアント(Oracle BI ODBCクライアントなど)

SSLは、Oracle Business Intelligenceインストール全体で、中心となる1つの場所から構成されます。独自の証明書が作成され、すべてのOracle Business Intelligenceコンポーネント(Essbaseを除く)がSSLを使用するように構成されます。SSLによって、次のデフォルトのセキュリティ・レベルが構成されます。

  • SSL暗号化が有効化されています。

  • SSL相互認証は有効化されません。SSL相互認証が有効にされないため、クライアントが各自のSSL秘密鍵を所有する必要はありません。

  • デフォルトの暗号スイートを使用します。「SSL暗号スイートの手動構成」を参照してください。

  • スケールアウトの際、一元管理されたSSL構成は、追加されたすべての新規コンポーネントに自動的に伝搬されます。

より高度なセキュリティが必要な場合は、SSLによる一元的な構成を、手動構成によって強化または置換できる場合もあります。これは、相当複雑な処理となります。SSLを手動で構成する方法の詳細は、Oracleサポートにお問合せください。

Oracle Business Intelligenceでの証明書と鍵の作成

SSLを使用したセキュアな通信には、認証局(CA)による署名のある証明書が必要です。内部での通信には、SSL Everywhere機能により、プライベートな認証局および証明書が作成されます。ユーザーのWebブラウザはプライベートな認証局を認識しないため、内部証明書は外部に向けたWebサーバーでは使用できません。したがって、Webサーバーには、外部で認知された認証局によって署名されたWebサーバー証明書を用意する必要があります。

SSLが有効化されているシステムのスケール・アウト

内部SSLが有効なシステムをスケール・アップするには、『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の新しいコンピュータの追加に関する項を参照してください。この場合、必要なssl.sh bindchannelcertsコールが行われます。

エンドツーエンドSSLの有効化

エンドツーエンドSSLを実現するには、内部BIEE SSLおよびWebLogic SSLを構成する必要があります。WebLogic SSL構成では複数の手動の手順が必要である一方で、内部SSL構成は高度に自動化されています。2つは完全に独立しているため、どちらからでも実行できます。WebLogic構成では、手動の手順が必要です(最初に実行することをお薦めします)。

注意:

この項には、EssbaseのSSLの構成が含まれていません。

次の手順を実行します。構成の手順が強調されています。

標準の非SSL Oracle BI EEシステムの構成

この項では、標準の非SSL Oracle Business Intelligenceシステムを構成する方法について説明します。

  • Oracle BI EEをインストールします。

  • システムが動作していることを確認します。

    次を使用するためにHTTPを介してログインできることを確認します。

    • Analytics

      - http://<Host>:<ManagedServerPort>/analytics

    • Fusion Middleware Control

      - http://<Host>:< AdminPort>/em

    • WebLogic管理コンソール

      - http://<Host>:<AdminPort>/console

WebLogic SSLの構成

これらの手順では、提供されているデモ証明書を使用してWebLogicを構成します。これらはセキュアではありません。

本番環境ではこれらのタスクを使用しないでください。デモ証明書を使用すると、実際の証明書を使用した場合の環境の構成方法が理解しやすくなります。

実際の認証局によって署名されたセキュアな証明書を使用して構成するには、WebLogicドキュメントを参照してください。認証局は、署名されたサーバー証明書を返し、対応するルートCA証明書を提供する必要があります。タスクの手順でdemoCAと示されている場所については、実際のCA証明書でdemoCAを置き換えます。

この項では、次の項目について説明します。

管理サーバーのみの起動

すべてを起動するのではなく管理サーバーのみを起動するとすべて停止する必要がなくなりますが、管理接続プロパティがすべての停止スクリプトと混同する変化の状態になります。

  1. 次を使用してすべてを停止します。

    <DomainHome>/bitools/bin/stop.sh

  2. 次を使用して管理サーバーのみを起動します。

    <DomainHome>/bitools/bin/start.sh -i Adminserver

HTTPSポートの構成

これらの手順に従って、HTTPSポートを構成します。

  1. WebLogic管理コンソールにログインします。
  2. 「ロックして編集」をクリックします。
  3. 「環境」「サーバー」の順に選択します。
  4. メインの「構成」タブの各サーバーで、「SSLリスニング・ポートの有効化」を選択します。
  5. 「保存」をクリックします。
  6. 「変更のアクティブ化」をクリックします。
  7. WebLogicのデモ証明書を使用している場合は、URL https://<host>:<AdminServerSSLPort>に移動し、単一のブラウザ証明書例外を設定します。

    URL https://<host>:<AdminServerSSLPort>はベースURLで、パスにEnterprise ManagerもWebLogic管理コンソールもありません。最初にベースURLにアクセスすることで、単一のブラウザ証明書例外を設定できます。Enterprise ManagerまたはWebLogic管理コンソールのパスに直接移動する場合は、複数の証明書例外を設定する必要があります。

  8. ベースURLに移動して、証明書例外を有効化します。

    これは、WebLogicコンソールとFusion Middleware Controlで個別に実行するのではなく、1回のみ実行する必要があります。

    SSL接続が行われると、ベースURLは404エラーを表示します。このエラーは無視できます。

  9. 次のようなURLを使用して、セキュアなWebLogicコンソールのURLをテストします。

    https://<Host>:<AdminServerSSLPort>/console

  10. 次のようなURLを使用して、セキュアなFusion Middleware ControlのURLをテストします。

    https://<Host>:<AdminServerSSLPort>/em

    HTTPを使用してFusion Middleware Controlにログインしながら、HTTPS URLをテストします。

    HTTPSを無効化しないでください。

  11. WebLogic管理コンソールで「ロックして編集」をクリックし、セキュア・レプリケーションの有効化を開始します。
  12. 「環境」「クラスタ」「bi_cluster」の順に選択します。
  13. 「構成」を選択し、「レプリケーション」タブを選択します。
  14. 「セキュア・レプリケーションの有効化」を選択します。
    「セキュア・レプリケーションの有効化」を選択しなかった場合、管理対象サーバーは起動に失敗し、起動スクリプトの実行を阻止する管理モードのままになります。
  15. 「保存」をクリックします。
  16. 「変更のアクティブ化」をクリックします。

LDAPを使用するための内部WebLogic Server LDAPの構成

外部アイデンティティ・ストアをすでに構成してある場合は、この手順の実行をスキップできます。WebLogic Server LDAPを使用する場合はこのタスクを実行します。virtualizeプロパティはtrueに設定しません。

セキュアな接続を使用するように外部アイデンティティ・ストアを構成できます。外部アイデンティティ・ストアを使用するには、内部LDAP IDストアのURLを変更する必要があります。

  1. 次のようなURLを使用して、Fusion Middleware Controlにログインします。

    https://<Host>/<SecureAdminPort>/em

  2. 「WebLogicドメイン」「セキュリティ」「セキュリティ・プロバイダ構成」の順にクリックします。
  3. 「アイデンティティ・ストア・プロバイダ」セグメントを展開します。
  4. 「構成」をクリックし、プラス記号(+)をクリックして新しいプロパティを追加します。
  5. 次の書式を使用して、bi_server1アドレスではなくadministration serverアドレスにldap.urlプロパティを追加します。

    ldaps://<host>:<adminServer HTTPS port>。たとえば、ldaps://myexample_machine.com:9501

  6. プロパティ・エディタで「OK」をクリックします。
  7. 「アイデンティティ・ストア・プロバイダ」ページで、「OK」をクリックします。
  8. <DomainHome>/config/fmwconfig/jps-config.xmlにあるjps-config.xmlファイルを開きます。
  9. このファイルで、<property name="ldap.url" value="ldaps://<Host>:<AdminServerSecurePort>"/>という行を探し、構成の変更を確認します。
IBM-AIXでは、IBM JDKでサポートされている暗号スイートを構成するために、追加の構成手順が必要です。
  1. <DomainHome>/config/fmwconfig/ovd/default/adapters.os_xmlを開きます

  2. このファイルの<ldap>セクションに、次のSSL暗号スイートを挿入します。

    <ldap id="DefaultAuthenticator" version="0">  
    <ssl>  
        <protocols>TLSv1.2,TLSv1.1</protocols>  
        <cipherSuites>  
           <cipher>SSL_RSA_WITH_AES_128_CBC_SHA</cipher>  
           <cipher>SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA</cipher>   
           <cipher>SSL_ECDH_ECDSA_WITH_AES_128_GCM_SHA256</cipher>  
        </cipherSuites>  
    </ssl>    
    </ldap>

内部WebLogic Server LDAPのトラスト・ストアの構成

信頼キーストアを指定する必要があります。

『Oracle Platform Security Servicesによるアプリケーションの保護』の複数LDAPでの一方向SSLのシナリオに関する項を参照してください

注意:

この項は、明示的に管理サーバーを指し示すため、WebLogic Server LDAPを使用し、さらにvirtualize=trueを設定している場合にのみ適用されます。

  1. ターミナル・ウィンドウで、ORACLE_HOMEおよびWL_HOME環境変数を設定します。

    たとえばLinuxでは、次のように指定します。

    setenv ORACLE_HOME <OracleHome>

    setenv WL_HOME <OracleHome>/wlserver/

  2. パスおよびJAVA_HOMEがJDK 8インストールを示していることを確認します。

    setenv JAVA_HOME <path_to_your_jdk8>

    setenv PATH $JAVA_HOME/bin

  3. 次を実行してJavaバージョンを確認します。

    java -version

  4. 次を実行します(改行なし)。

    <OracleHome>/oracle_common/bin/libovdconfig.sh

    -host <Host>

    -port <AdminServerNonSSLPort>

    -userName <AdminUserName>

    -domainPath <DomainHome>

    -createKeystore

    入力を求められた場合は、<AdminUserName>の既存のパスワードを入力します。

    OVDキーストアのパスワードの入力を求められた場合は、新しいパスワードを選択します。

    次に例を示します。

    oracle_common/bin/libovdconfig.sh -host myhost -port 9500 -userName weblogic -domainPath /OracleHome/user_projects/domains/bi -createKeystore
    
    Enter AdminServer password:
    Enter OVD Keystore password:
    OVD config files already exist for context: default
    CSF credential creation successful
    Permission grant already available for context: default
    OVD MBeans already configured for context: default
    Successfully created OVD keystore.
    
    

    管理サーバーの非SSLポートが無効になっている場合、-port <AdminServerNonSSL>コマンドは機能しません。SSLを有効化してLDAPを構成する場合は、管理サーバーの非SSLポートを一時的に再有効化する必要があります。

  5. 次を実行して、結果のキーストアが存在することを確認し、初期コンテンツを表示します。

    keytool -list -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks

  6. 上のキーストアにインポートするため、適切な形式でデモ証明書をエクスポートする必要があります。

    Fusion Middleware Control:

    WebLogicデモ証明書を使用する場合、Fusion Middleware Controlを使用してシステム・キーストアから必要なルートCAを取得できます。

    1. 「WebLogicドメイン」「セキュリティ」「キーストア」の順に選択します。

    2. 「システム」を展開します。

    3. 「信頼」を選択します。

    4. 「管理」をクリックします。

    5. 「olddemoca」ではなく「democa」を選択します。

    6. 「エクスポート」をクリックします。

    7. 「証明書のエクスポート」を選択します。

    8. ファイル名を選択します。

      たとえば、demotrust.pemです

      WebLogicデモ証明書を使用しない場合、セキュアなサーバー証明書に署名したCAのルートCAを取得する必要があります。

  7. 作成したキーストアにインポートします。

    keytool -importcert -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks -alias localldap -file <DemoTrustFile>
    
  8. 入力を求められた場合、前に選択したキーストアのパスワードを入力し、証明書が信頼されていることを確認します。

  9. キーストアの-listコマンドを繰り返すと、次のようにlocalldapに新しいエントリが表示されます。

    localldap, Jul 8, 2015, trustedCertEntry,
    

    証明書のフィンガープリント(SHA1):

    CA:61:71:5B:64:6B:02:63:C6:FB:83:B1:71:F0:99:D3:54:6A:F7:C8
    

HTTPの無効化

HTTPSを使用するようにシステムを保護した後、環境を完全に保護するには、HTTPを無効にする必要もあります。

  1. WebLogic管理コンソールにログインします。

  2. 「ロックして編集」をクリックします。

  3. 「環境」「サーバー」の順に選択します。

    各サーバーで次の手順に従います。

    1. 「構成」タブが表示されます

    2. 「リスニング・ポート有効」をクリアします。

    3. 「保存」をクリックします。

  4. 「変更のアクティブ化」をクリックします。

再起動

ここで、Oracle Business Intelligenceを再起動する必要があります。

Oracle Web Service Manager (OWSM)で引き続き無効化したHTTPポートが使用されているため、Analyticsを介してログインすることはできません。

HTTPSのみ使用します。

HTTPにより、「接続できないエラー」のようなエラーが即時に表示されます。プロトコルやポートを混同しないでください。誤ったプロトコルを使用して実行中のポートに接続しようとすると、ブラウザがハングする可能性があります。

  1. <DomainHome>/bitools/bin/start.shスクリプトにあるstart.shスクリプトを使用して、WebLogic管理コンソールから管理サーバーを停止します。
  2. HTTPおよびHTTPS WebLogicコンソールURLにログインしてHTTPが無効であることを確認します。

t3sを使用するためのOWSMの構成

Oracle Web Services Manager (OWSM)構成を変更して、HTTPSポートを使用する必要があります。

ローカルのOWSMを使用する場合、HTTP(s) OWSMリンクは使用されません。

  1. Fusion Middleware Control 12cにログインします。

    https://<Host>/<SecureAdminPort>/em

  2. 「WebLogicドメイン」「クロス・コンポーネント・ワイヤリング」「コンポーネント」の順に選択します。
  3. 「コンポーネント・タイプ」「OWSMエージェント」を選択します。
  4. ステータスが「同期外れ」になっているowsm-pm-connection-t3の行を選択して、「バインド」をクリックします。
  5. 「はい」を選択します。
  6. 次のようにバリデータを介してポリシーにアクセスして確認します。

    https://<host>:<ManagedServerSSLPort>/wsm-pm/validator

システムの再起動

すべてのサーバーを停止および再起動してから、HTTPSを使用したAnalyticsログインをテストする必要があります。

  1. <DomainHome>/bitools/bin/stop.shスクリプトを使用して、すべてのサーバーを停止します。
  2. <DomainHome>/bitools/bin/start.shスクリプトを使用して、すべてを開始します。
  3. 次のようなURLを使用して、Analyticsにログインできることを確認します。

    https://<Host>:<SecureManagedServerPort>/analytics

    WebLogic層では、外部向けのポートとすべてのWebLogicインフラストラクチャに対してのみHTTPSを使用します。内部BIチャネルおよびBIシステム・コンポーネントでは、HTTPを使用します。

Oracle BI EE内部SSLの有効化

これらの手順に従って、内部通信リンクのSSLを有効化します。

マスター・ホストからコマンドを実行する必要があります。Oracle Business IntelligenceがBI構成アシスタントで構成され、WebLogic管理対象サーバーが作成され、スケール・アウトが完了している必要があります。構成アシスタントを使用してセキュリティを構成している場合は、この手順のみを使用します。

SSLに構成テンプレートを使用している場合は、「構成テンプレート構成済システムのSSLの有効化」を参照してください。

次の高度なオプションを構成できます。

事後状態:

  1. 次のコマンドを使用して、システムを停止します。

    ORACLE_HOME/user_projects/domains/bi/bitools/bin/stop.sh

  2. 次のコマンドを実行して、WebLogic内部チャネルおよび内部コンポーネントのSSLを有効化します。

    ORACLE_HOME/user_projects/domains/bi/bitools/bin/ssl.sh internalssl true

  3. (オプション)次のファイルを編集して、高度なオプションを構成します。

    ORACLE_HOME/user_projects/domains/bi/config/fmwconfig/biconfig/core/ssl/bi-ssl.xml

  4. 次のコマンドを使用して、ドメインおよびBIコンポーネントのプロセスを再起動します。

    ORACLE_HOME/user_projects/domains/bi/bitools/bin/start.sh

  5. 次を使用して、WebLogic証明書および対応する信頼が正しく構成されていることを確認します。

    ORACLE_HOME/user_projects/domains/bi/bitools/bin/ssl.shレポート

  6. 次にある環境変数を使用して、Oracle BI EEにログインできることを確認します。

    https://<host>:<SecureManagedServerPort>/analytics

    注意:

    エンドツーエンドSSLを有効化する前にHTTPSリスナーが各サーバーで有効であることを確認するには、このログインを実行する必要があります。内部コンポーネント間の通信は暗号化されますが、ssl.shレポート・コマンドを使用するかサーバー・トラフィックを確認してのみ検証可能です。

事後状態

  • WebLogicサーバー:

    • HTTPSリスナーが内部チャネルで有効化されます。

    • 外部ポート構成が変更されていません。外部ポートのSSLも有効化する方法の詳細は、「エンドツーエンドSSLの有効化」を参照してください。

      リスナー・アドレスごとに個別の内部アイデンティティ(キー/証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスに一致する共通名を持ちます。証明書は、内部認証局により署名されます。

  • Essbase Studio以外のシステム・コンポーネント:

    • HTTPSリスナーが内部チャネルで有効化されます。

    • 外部ポート構成が変更されていません。

    • リスナー・アドレスごとに個別の内部アイデンティティ(キーまたは証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスに一致する共通名を持ちます。証明書は、内部認証局により署名されます。

  • Essbase Studio:

    • 変更はありません。既存の接続を続行します。

内部SSLの無効化

このタスクを使用して、内部通信リンクのOracle BI EE SSLを無効化します。

マスター・ホストからコマンドを実行する必要があります。このオプションを使用するには、構成アシスタントを使用してOracle Business Intelligenceを構成し、WebLogic管理対象サーバーを作成して、スケール・アウトを完了しておきます。

  1. 次を使用してシステムを停止します。

    <DomainHome>/bitools/bin/stop.sh

  2. 次のコマンドを実行して、WebLogic内部チャネルおよび内部コンポーネントのSSLを無効化します。

    <DomainHome>/bitools/bin/ssl.sh internalssl false

  3. 次を使用してドメインを再起動します。

    <DomainHome>/bitools/bin/start.sh

事後状態:

  • WebLogicサーバー:

    • 内部チャネルで無効化されているHTTPSリスナーがあります。

    • 外部ポート構成が変更されていません。

  • Essbase Studio以外のシステム・コンポーネント:

    • 非SSLでのみリスニングします。SSL接続は受け入れられません。

  • Essbase Studio:

    • 変更はありません。既存の接続を続行します。

クライアント用の信頼およびアイデンティティのエクスポート

管理ツールやジョブ・マネージャなどのOracle BI EEクライアントでSSL対応サーバーに接続できるようにするために必要な鍵および証明書を指定できます。

前提:

  • マスター・ホストからコマンドを実行します。

  • オンラインおよびオフラインでこの操作を完了できます。

前提条件

  • 構成アシスタントを使用するか、./ssl.sh再生成コマンドを実行して、証明書が作成されています。

  • WebLogicでSSLが有効化されています。

    「WebLogic SSLの構成」を参照してください。

  • このタスクは、停止中または実行中のシステムで実行できます。

次のコマンドを使用して、クライアントのアイデンティティおよび信頼をmydirにエクスポートします。

./ssl.sh exportclientcerts mydir

証明書およびzipファイルが生成されます。

事後状態:

  • Mydirclientcerts.zipファイルが格納されます。

  • Mydirには、解凍されたzipファイルのコンテンツも直接使用のために格納されます。

    • clientcert.pem

    • clientkey.pem

    • identity.jks

    • internaltrust.jks

    • internaltrust/internalca.pem

    • internaltrust/<hashed form of above>

  • ジョブ・マネージャなどのJavaクライアントは、アイデンティティを定義するidentity.jksおよび信頼用のinternaltrust.jksで設定されたセキュア・オプション「サーバー証明書の確認」により、正常に接続できます。

  • 管理ツールなどのOpenSSLクライアントは、アイデンティティを定義するclientcert.pemclientkey.pemおよび信頼ファイルであるinternalca.pemで設定されたセキュア・オプション「ピアの検証」により、正常に接続できます。

クライアント用のSSLの構成

これらのトピックを使用して、クライアント用のSSLを構成します。

BIEE証明書を使用するように、BIEEコンポーネントにアクセスするクライアントを構成する必要があります。次のコマンドを実行して証明書をエクスポートする必要があります。

<DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>

この項では、クライアント用のSSLを構成する方法について説明します。項目は次のとおりです。

クライアント証明書のエクスポート

これらの手順を使用して、クライアント証明書のエクスポート時に使用するパスフレーズを作成します。

パスフレーズを使用して、エクスポート証明書を保護します。各クライアントを構成する場合に使用するこのパスフレーズを忘れないようにしてください。

コマンドは、Javaクライアントが使用するJavaキーストアおよび非Javaクライアントが使用する個々の証明書ファイルをエクスポートします。証明書をリモート・マシンにより簡単に移動するため、エクスポートによってすべてのファイルが単一のzipファイルにパッケージ化されます。

  1. 次のコマンドを実行します。
    <DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>
  2. プロンプトで新しいパスワードを入力します。

BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用

BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。

SASchInvokeツールはコマンドラインのジョブ起動ツールで、これを使用して既存のOracle BIスケジューラ・ジョブを実行できます。Oracle BIスケジューラの詳細は、Oracle BIスケジューラの概要に関する項を参照してください。

  1. ./ssl.sh exportclientcertsコマンドを実行する際に使用したパスフレーズが単一の行に含まれる新しいテキスト・ファイルを作成します。

    このファイルに保護するための正しく制限されたファイル権限があることを確認します。通常、所有者によってのみ読取り可能です。「クライアント証明書のエクスポート」を参照してください。

  2. SASchInvokeツールを探します。
    • Windows: <Domain_Home>/bitools/bin/saschinvoke.cmd
    • UNIX: <Domain_Home>/bitools/bin/saschinvoke.sh
  3. SASchInvokeコマンドを実行するには、次の構文を使用します。
    SASchInvoke -u <Admin Name>  (-j <job id> | -i <iBot path>)  
    	([-m <machine name>[:<port>]] | -p <primaryCCS>[:<port>] -s <secondaryCCS>[:<port>])  
    	([(-r <replace parameter filename> | -a <append parameter filename>)]  | [-x <re-run instance id>]) 
    	[-l [-c <SSL certificate filename> -k <SSL certificate private key filename>] [ -w <SSL passphrase>  | -q <passphrase file>  | -y ] 
    	[-h <SSL cipher list>] 
    	[-v [-e <SSL verification depth>] -d <CA certificate directory> | -f <CA certificate file> [-t <SSL trusted peer DNs>] ] ]
    
    where:
    -a  File containing additional parameters.
    -c  File containing SSL certificate. SSL certificate filename = clientcert.pem
    -d  Certificate authority directory.
    -e  SSL certificate verification depth.
    -f  Certificate authority file.
    -h  SSL cipher list
    -i  Agent path
    -j  Job id
    -k  SSL certificate private key filename. SSL certificate private key filename = clientkey.pem
    -l  Use SSL
    -m  Machine name:port of scheduler.  Provides direct access to scheduler.
    -p  Primary cluster controller name:port.  Provides access to clustered scheduler.
    -q  Location of the passphrase file created in step 1 containing the SSL passphrase protecting SSL private key (see -k).
    -r  File containing replacement parameters.
    -s  Secondary cluster controller name:port.  Provides access to clustered scheduler.
    -t  Distinguished names of trusted peers.
    -u  Username
    -v  Verify peer
    -w  SSL passphrase protecting SSL private key (see -k).
    -x  Rerun instance id.
    -y  Interactively prompt for SSL passphrase protecting SSL private key (see -k).
    
  4. このコマンドでは、管理者パスワードの入力を求められます。入力すると、SASchInvokeツールによって、BIスケジューラが、指定されたジョブを実行するようになります。

Oracle BI Job Managerの構成

SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。

Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用される鍵および証明書は、Javaキーストア・データベースに格納しておく必要があります。「クライアント証明書のエクスポート」を参照してください。

  1. ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。

  2. 「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。

  3. サーバー設定のクライアント証明書の検証false (一方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」は空白のままにできます。これがデフォルトの設定です。

  4. サーバー設定のクライアント証明書の検証true (双方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」を次のように設定する必要があります。

    • キー・ストア=<exportclientcerts_directory>\identity.jks

    • キー・ストア・パスワード =パスフレーズ

  5. セキュアなリンクを指定するには、サーバー証明書の検証を選択する必要があります。検証がなくても接続は有効ですが、サーバーを偽装する中間者攻撃を検出できません。

    1. 「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。

    2. 「トラスト・ストア」テキスト・ボックスで、次にトラスト・ストアを設定します。

      <exportclientcerts_directory>\internaltrust.jks

    3. 「トラスト・ストア・パスワード」「パスフレーズ」に設定します。

Oracle BIプレゼンテーション・サービスへのオンライン・カタログ・マネージャの接続

オンライン・カタログ・マネージャからOracle BIプレゼンテーション・サービスに接続するには、SSLサーバー証明書またはCA証明書のインポートが必要な場合があります。

Oracle Business IntelligenceのHTTP WebサーバーがSSLで有効になっている場合は、オンライン・カタログ・マネージャがOracle BIプレゼンテーション・サービスへの接続に失敗する可能性があります。Webサーバーから、システム変数JAVA_HOMEで指定されたJVMのJavaキーストアに、SSLサーバー証明書またはCA証明書をインポートする必要があります。

Javaトラスト・ストアのデフォルトのパスワードはchangeitです。

  1. ORACLE_HOME/JAVA_HOME/jre/lib/securityにある、cacertsという名前のJavaのデフォルト・トラスト・ストアに移動します。
  2. Javaのデフォルト・トラスト・ストアと同じ場所に、Webサーバーからエクスポートした証明書をコピーします。
  3. 次のコマンドを実行して、デフォルト・トラスト・ストアに証明書をインポートします。
    keytool -importcert -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS

    Webサーバー証明書ファイル$WebserverCertFilenameが、Javaのデフォルト・トラスト・ストアにbicertという別名でインポートされます。

    たとえば、Oracle WebLogic Serverのデフォルトのデモ証明書を使用する場合は、証明書へのフルパスであるORACLE_HOME/wlserver/server/lib/CertGenCA.derを使用します。

  4. セキュアなHTTPS URLを使用して、カタログ・マネージャを再起動します。

SSL経由で通信するためのOracle BI管理ツールの構成

SSLを使用するように構成されているOracle BIサーバーに適切に接続するには、Oracle BI管理ツールもSSL経由で通信するように構成する必要があります。

BIサーバーのデータ・ソースのデータ・ソース名(DSN)が必要です。

  1. プレゼンテーション・サービスの管理ページに管理ユーザーとしてログインし、使用されているBIサーバーのデータ・ソースのDSNを確認します。
  2. Oracle BIサーバー「データ・ソース」フィールドを探します。

    DSNがcoreapplication_OH<DSNnumber>という形式でリストされます。

  3. 管理ツールで、「ファイル」「開く」「オンライン」の順に選択します。
  4. リストからDSNを選択します。
  5. リポジトリのユーザー名およびパスワードを入力します。

    これで、管理ツールがSSLを使用してBIサーバーに接続されます。

リモート・クライアント・アクセス用のODBC DSNの構成

BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。

ODBC DSNのSSL通信を有効にするには、『Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のOracle Business Intelligenceと他のクライアントとの統合に関する項を参照してください。

SSL経由で通信するためのOracle BI Publisherの構成

SSLを使用してインターネット経由で安全に通信できるようにOracle BI Publisherを構成できます。

『Oracle Business Intelligence Publisher管理者ガイド』のSecure Socket Layer (SSL)通信用のBI Publisherの構成に関する項を参照してください。

SSL構成後、BI Publisherの動作が正常でなくなったら、HTTPSプロトコルとSSLポートを再構成することが必要になる場合があります。『Oracle Business Intelligence Publisher管理者ガイド』Oracle BIプレゼンテーション・サービスとの統合の構成に関する項を参照してください。

証明書の有効期限の確認

このタスクは、証明書が期限切れまたはまもなく期限切れになる場合に警告を示します。

実行中または停止中のシステムで、マスター・ホストからコマンドを実行する必要があります。

  • 次のコマンドを実行して、証明書の有効期限を確認します。

    <DomainHome>/bitools/bin/ssl.shの有効期限

事後状態:

  • 認証局およびサーバー証明書の詳細な有効期限情報がリストされます。

  • ssl.shコマンドは次のステータスを返します。

    • 13 – 証明書の有効期限が切れている場合。

    • 14 – 30日未満に証明書の有効期限が切れる場合。

    • 0 – 証明書に30日を超える有効期限が残っている場合。

証明書の置換え

証明書の置換えにより、すべての証明書を新しい証明書に置き換えることができます。

次の場合に行う可能性があります。

  • 既存の証明書の有効期限が切れているか、間もなく期限切れになる場合。

    サーバー証明書とCA (信頼)証明書の両方で有効期限が定義されています。有効期限が切れると、それらの証明書を使用している接続が無効になります。

  • 組織に構成アシスタントで指定されたデフォルトと異なる証明書の有効期限が必要なポリシーがあります。

  • 既存の証明書およびキーのセキュリティが損われている場合。

前提:

  • マスター・ホストからコマンドを実行します。

  • これはオフライン操作です。

  1. 内部BIEEまたはクライアント証明書を置き換えます。

    再生成コマンドを使用する場合、既存のクライアント証明書を無効にするため、それらを再エクスポートする必要があります。

    ./ssl.sh regenerate
    ./ssl.sh exportclientcerts mydir
    
  2. 次を使用してドメインを再起動します。
    ./start.sh
    
  3. 次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
    ./ssl.sh report
    

事後状態

ドメインはSSLで実行され、新しい証明書を使用します。サーバーは古い信頼を使用してWebLogicインスタンスに接続されません。

ssl.sh expiryコマンドを実行して、新しい有効期限の新しい証明書をリストできます。

リスナー・アドレスの変更後の証明書の更新

デフォルト(空白)を置き換えるためのWebLogicコンソールの明示的なリスナー・アドレスの設定などのリスナー・アドレスの変更後に証明書を更新できます。

ssl.shスキャン・コマンドは、正しくない証明書の共通名のためにエラーを表示します。リスニング・アドレスと一致しない証明書のサーバーへの接続が拒否されます。

前提:

  • マスター・ホストからコマンドを実行します。

  • これはオフライン操作です。

  1. 次を実行して証明書を更新します。
    ./ssl.sh rebindchannelcerts
    
  2. 次を使用してドメインを再起動します。
    ./start.sh
    
  3. 次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
    ./ssl.sh report
    

事後状態

ドメインはSSLで実行され、新しい証明書を使用します。新しい証明書は、既存の証明書と同じ有効期限があります。証明書が既存の内部認証局によって署名されるため、以前にエクスポートしたクライアントが引き続き有効です。

ssl.sh expiryコマンドを実行して、新しい有効期限の新しい証明書をリストできます。

新しいサーバーの追加

これらの手順に従って、新しいサーバーで同じ内部SSL構成を実現します。

前提:

  • マスター・ホストからコマンドを実行します。

  • これはオフライン操作です。

  • 既存のサーバーをクローニングするか最初から作成して、1つ以上の新しいサーバーが作成されています。

  1. 新規サーバーごとに、次を実行します。

    ./ssl.sh channel <new_bi_server> <port>

  2. 次のコマンドは複数回実行できます。

    ./ssl.sh internalssl true

    internalsslコマンドのエラー・メッセージに示されているようにチャネル・コマンドを実行します。

  3. 次を使用してドメインを再起動します。
    ./start.sh
    
  4. 次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。
    ./ssl.sh report
    

事後状態

ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーが内部SSLを使用します。サーバーがクローニングされた場合、クローニングされた内部チャネル・ポートがチャネル・コマンドで指定されたポートで置き換えられます。サーバーを最初から作成した場合、SSLを使用するために内部チャネルが作成および構成されます。

構成テンプレート構成済システムのSSLの有効化

このタスクは、WLSTを使用して構成されたシステムのBI構成アシスタントに示されているか、またはWebLogic構成アシスタントの構成テンプレートを直接適用した同じSSL内部チャネル構成を提供します。

前提:

  • マスター・ホストからコマンドを実行します。

  • これはオフライン操作です。

  1. 次のコマンドを実行します。
    <domain_home>/bitools/bin/ssl.sh regenerate <days>
    <domain_home>/bitools/bin/ssl.sh targetapps bi_cluster
    
  2. 新しいサーバーごとに次を実行します。
    ./ssl.sh channel <new_bi_server> <port>
    
  3. 次のいずれかを行います:
    • 次のコマンドを実行します。

      ./ssl.sh internalssl true

    • ./ssl.sh internalssl trueを繰り返し実行して、internalsslコマンドのエラー・メッセージに示されているように<<other commands>>を実行します

  4. ./start.shを使用してドメインを再起動します。
  5. 次を使用してWebLogic証明書および対応する信頼が正しく構成されていることを確認します。

    ./ssl.sh report

事後状態

ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーで内部SSLが使用されます。

Business Intelligenceの内部SSLを使用しない場合のSSLの有効化

SSLを内部で使用しないで外部ポートでSSLをサポートするには、内部チャネルを作成して内部通信を分離する必要があります。このタスクの手順を使用して、HTTPを使用するように構成された内部チャネルを作成します。

Oracle Business Intelligenceには、WebLogic管理対象サーバー内で実行しているJavaコンポーネントとの通信が必要なシステム・コンポーネントがあります。たとえば、ログイン時にOracle BIサーバーはBIセキュリティ・サービスをコールします。デフォルト構成テンプレートで構成されたシステムでは、通信リンクで外部WebLogicポートが使用されます。外部ポート用にHTTPSを使用するように、Oracle WebLogic Serverを構成できます。

外部ポートにHTTPSを使用するようにWebLogicを構成している場合、内部コンポーネントは必要な信頼設定なしでHTTPSポートに接続しようとします。この問題を回避するには、プライベート・チャネルを構成する必要があります。これらのプライベート・チャネルは外部WebLogicポートとは無関係であり、専用のポートおよび専用のプロトコル構成を使用します。

前提:

  • マスター・ホストからコマンドを実行します。
  • このタスクをオフライン操作として実行します。
  • 次のいずれかを行います:
    • オプションA: 次のコマンドを実行します。

      <domain_home>/bitools/bin/ssl.sh regenerate <days>

      証明書を再生成して、後続のチャネル・コマンドが機能するようにします。証明書は、後で方針を変更して内部SSLを有効にしないかぎり、使用されません。

      <domain_home>/bitools/bin/ssl.sh targetapps bi_cluster

      新規サーバーごとに、未使用のポートを使用して次を実行します。

      ./ssl.sh channel <new_bi_server> <port>

      ./ssl.sh internalssl false

    • オプション: 問題の解決を促すinternalsslエラー・チェックを使用して、次のコマンドを繰り返し実行します。

      ./ssl.sh internalssl false

      internalsslコマンドのエラー・メッセージに示されているように他のコマンドを実行します。

SSL暗号スイートの手動構成

デフォルトのSSL構成では、デフォルトの暗号スイートによるネゴシエーションを使用します。組織におけるセキュリティ標準ではデフォルト構成の使用が許容されない場合は、別の暗号スイートを使用するようにシステムを構成できます。SSLステータス・レポートから出力にデフォルトの選択を表示できます。

この高度なオプションには、構成ファイルの編集が含まれます。このファイル・タイプに対する構文上の規則を確認するように注意してください。

手動構成したSSL環境は、デフォルトのSSL構成と共存できます。

詳細は、『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動および停止に関する項を参照してください。

  1. SSLを構成します。
  2. 目的のJava暗号スイートを選択します。
  3. 暗号スイートに一致するOpen SSLの暗号スイート名を作成します。

    たとえば、SSL_RSA_WITH_RC4_128_SHAというJava暗号スイート名は、Open SSLではRSA+RC4+SHAにマップされます。

  4. 次のbi-ssl.xmlファイルを編集します。

    <DOMAIN_HOME>/config/fmwconfig/core/ssl/bi-ssl.xml

    たとえば、次の子要素をJavaHost/Listener/SSL要素に追加します。

    <EnabledCipherSuites>SSL_RSA_WITH_RC4_128_SHA</EnabledCipherSuites>
    
  5. 次を使用して、Oracle Business Intelligenceコンポーネントを再起動します。
    ./start.sh
    

外部システムへのSSL接続の構成

外部システムへのSSL接続の構成に関するトピックは、これらのリンクを使用して参照できます。

Fusion Middleware Controlの使用によるSMTPサーバーのSSLの構成

このタスクを行うには、SMTPサーバー証明書を取得する必要があります。

  1. Fusion Middleware Controlにログインします。
  2. 「Business Intelligence概要」ページに移動します。
  3. 「デプロイメント」ページの「メール」タブを表示します。

    ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。

  4. 構成をロックして編集」をクリックして、構成をロックします。
  5. Secure Socket Layer (SSL)」の各フィールドを、次のように処理します。
    • 接続セキュリティ: オプションを1つ選択します。他のフィールドは後でアクティブになる場合があります。

    • CA証明書ソースの指定: 「ディレクトリ」または「ファイル」を選択します。

    • CA証明書ディレクトリ: CA証明書を含むディレクトリを指定します。

    • CA証明書ファイル: CA証明書のファイル名を指定します。

    • SSL証明書検証の深さ: 証明書に適用する検証レベルを指定します。

    • SSL暗号リスト: SMTPサーバーがサポートする暗号スイート名に一致する暗号のリストを指定します(たとえば、RSA+RC4+SHA)。

  6. 「適用」,をクリックしてから、「変更のアクティブ化」をクリックします。

複数認証プロバイダ使用時のSSLの構成

複数の認証プロバイダを構成している場合に、SSL(一方向SSLのみ)で通信するLDAP認証プロバイダを追加構成するには、仮想化(libOVD)機能で使用される追加キーストアに、該当するLDAPサーバーのルート証明書を配置する必要があります。

次の手順で、環境変数ORACLE_HOMEWL_HOMEおよびJAVA_HOMEの値を設定します。

UNIXの場合の例:

  • set ORACLE_HOME= orahome

  • set WL_HOME=orahome/wlserver

  • set JAVA_HOME=orahome/oracle_common/jdk

createKeystoreコマンドによってOVDキーストア・パスワードが作成されます。OVDキーストア・パスワードの値を入力する必要があります。

『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のコンポーネントの起動および停止に関する項を参照してください。

このタスクを完了する前に、virtualizeというカスタム・プロパティを構成し、プロパティの値をtrueに設定する必要があります。「Fusion Middleware Controlを使用したアイデンティティ・ストアの仮想化の構成」を参照してください。

  1. -createKeystoreオプションを使用して、libovdconfig.sh (UNIXの場合)またはlibovdconfig.bat (Windowsの場合)を実行し、キーストアを設定します。
  2. UNIXでシェル・プロンプトを開き、<OracleHome>/oracle_common/binディレクトリに移動します。
  3. 次のようなコマンドを入力します。
    libovdconfig.bat -createKeystore -host <hostname> -port <Admin_Server_Port> -domainPath <OracleHome>/user_projects/domains/bi -userName <BI Admin User>  
  4. プロンプトで、Oracle Business Intelligence管理者のユーザー名とパスワードを入力します。
  5. キーストア・ファイルを保護するためのOVDキーストア・パスワードにパスワードを入力します。
  6. LDAPディレクトリからルート証明書をエクスポートします。
  7. 次のkeytoolコマンドを使用して、ルート証明書をlibOVDキーストアにインポートします。
    <OracleHome>/jdk/jre/bin/keytool -import -keystore <OracleHome>/user_projects/domains/bi/config/fmwconfig/ovd/default/adapters.jks -storepass <KeyStore password> -alias <alias of your choice> -file <Certificate filename>
  8. WebLogic ServerプロセスとOracle Business Intelligenceプロセスを再起動します。

2つの新しい資格証明が資格証明ストアに表示され、adapters.jksという名前の新しいキーストア・ファイルが<OracleHome>/user_projects/domains/bi/config/fmwconfig/ovd/defaultに表示されます。

Oracle BI EE内部SSL使用のために予約されたWebLogicアーティファクト

次のWebLogicアーティファクトがOracle BI EE内部使用のために予約されています。

  • 仮想ホスト:

    bi_internal_virtualhost1

  • チャネル(管理対象サーバーごと):

    bi_internal_channel1