Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.4.0) E96104-05 |
|
前 |
次 |
この章では、Secure Socket Layer (SSL)を介して通信するようにOracle Business Intelligenceコンポーネントを構成する方法について説明します。
「Oracle Business Intelligenceでセキュリティを設定するためのプロセス」を参照してください。
Oracle Business IntelligenceのSSL Everywhere機能を使用すると、コンポーネント間のセキュアな通信が可能になります。デプロイメント全体でセキュアなHTTP通信が行われるように、Oracle Business Intelligenceコンポーネント間およびOracle WebLogic Server間のSSL通信を構成できます。この項では、データベースやWebサーバーといった外部サービスとのセキュアな通信の構成については説明しません。『Oracle Fusion Middlewareの管理』のOracle Fusion MiddlewareのSSL構成に関する項を参照してください。
この章の構成は、次のとおりです。
SSLは、ネットワーク全体のアプリケーション間でセキュアな通信を有効にするための暗号プロトコルです。
SSL通信を有効にすることで、メッセージの暗号化、データ整合性、認証など、いくつもの機能による利益を享受できます。メッセージを暗号化することで、認可されたユーザーだけがこれにアクセスできるという機密保護を徹底できます。データ整合性は、メッセージが改ざんされることなく、元の状態のままで受信されることを保証します。認証は、メッセージの送信者が実際にその人物であることを保証します。
SSLを使用する場合は、セッションのネゴシエーション用に、サーバーが公開キーと秘密キーを保有している必要があります。公開キーは、認証局によって署名されたサーバー証明書によって使用可能になります。証明書には、サーバーを識別する情報も含まれます。秘密キーはサーバーによって保護されます。
『Oracle Fusion Middlewareの管理』のSSLのしくみに関する項を参照してください。
Oracle Business IntelligenceでのSSLの使用
デフォルトでは、Oracle Business IntelligenceコンポーネントはTCP/IPを使用して相互通信します。Oracle Business Intelligenceコンポーネント間でSSLを構成すると、セキュアなネットワーク通信が可能になります。
Oracle Business Intelligenceコンポーネントは、一度に1つのプロトコルを介してのみ通信できます。あるコンポーネント間で単純なTCP/IP通信を行いながら、別のコンポーネント間でSSLを使用することはできません。SSLを介したセキュアな通信を可能にするには、次のコンポーネントを構成する必要があります。
Oracle BIサーバー
Oracle BIプレゼンテーション・サービス
Oracle BI JavaHost
Oracle BIスケジューラ
Oracle BIジョブ・マネージャ
Oracle BIクラスタ・コントローラ
Oracle BIサーバーのクライアント(Oracle BI ODBCクライアントなど)
SSLは、Oracle Business Intelligenceインストール全体で、中心となる1つの場所から構成されます。独自の証明書が作成され、すべてのOracle Business Intelligenceコンポーネント(Essbaseを除く)がSSLを使用するように構成されます。SSLによって、次のデフォルトのセキュリティ・レベルが構成されます。
SSL暗号化が有効化されています。
SSL相互認証は有効化されません。SSL相互認証が有効にされないため、クライアントが各自のSSL秘密キーを所有する必要はありません。
デフォルトの暗号スイートを使用します。「SSL暗号スイートの手動構成」を参照してください。
スケールアウトの際、一元管理されたSSL構成は、追加されたすべての新規コンポーネントに自動的に伝搬されます。
より高度なセキュリティが必要な場合は、SSLによる一元的な構成を、手動構成によって強化または置換できる場合もあります。これは、相当複雑な処理となります。SSLを手動で構成する方法の詳細は、Oracleサポートにお問合せください。
Oracle Business Intelligenceでの証明書とキーの作成
SSLを使用したセキュアな通信には、認証局(CA)による署名のある証明書が必要です。内部での通信には、SSL Everywhere機能により、プライベートな認証局および証明書が作成されます。ユーザーのWebブラウザはプライベートな認証局を認識しないため、内部証明書は外部に向けたWebサーバーでは使用できません。したがって、Webサーバーには、外部で認知された認証局によって署名されたWebサーバー証明書を用意する必要があります。
SSLが有効化されているシステムのスケール・アウト
内部SSLが有効なシステムをスケール・アップするには、『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の新しいコンピュータの追加に関する項を参照してください。この場合、必要なssl.sh
bindchannelcerts
コールが行われます。
エンドツーエンドSSLを実現するには、内部BIEE SSLおよびWebLogic SSLを構成する必要があります。WebLogic SSL構成では複数の手動のステップが必要である一方で、内部SSL構成は高度に自動化されています。2つは完全に独立しているため、どちらからでも実行できます。WebLogic構成では、手動のステップが必要です(最初に実行することをお薦めします)。
ノート:
この項には、EssbaseのSSLの構成が含まれていません。
次のステップを実行します。構成のステップが強調されています。
この項では、標準の非SSL Oracle Business Intelligenceシステムを構成する方法について説明します。
Oracle BI EEをインストールします。
システムが動作していることを確認します。
次を使用するためにHTTPを介してログインできることを確認します。
Analytics
- http://<Host>:<ManagedServerPort>/analytics
Fusion Middleware Control
- http://<Host>:< AdminPort>/em
WebLogic管理コンソール
- http://<Host>:<AdminPort>/console
これらのステップでは、提供されているデモ証明書を使用してWebLogicを構成します。これらはセキュアではありません。
本番環境ではこれらのタスクを使用しないでください。デモ証明書を使用すると、実際の証明書を使用した場合の環境の構成方法が理解しやすくなります。
実際の認証局によって署名されたセキュアな証明書を使用して構成するには、WebLogicドキュメントを参照してください。認証局は、署名されたサーバー証明書を返し、対応するルートCA証明書を提供する必要があります。タスクのステップでdemoCAと示されている場所については、実際のCA証明書でdemoCAを置き換えます。
この項では、次の項目について説明します。
外部アイデンティティ・ストアをすでに構成してある場合は、このステップの実行をスキップできます。WebLogic Server LDAPを使用する場合はこのタスクを実行します。virtualize
プロパティはtrueに設定しません。
セキュアな接続を使用するように外部アイデンティティ・ストアを構成できます。外部アイデンティティ・ストアを使用するには、内部LDAP IDストアのURLを変更する必要があります。
<DomainHome>/config/fmwconfig/ovd/default/adapters.os_xml
を開きます
このファイルの<ldap>
セクションに、次のSSL暗号スイートを挿入します。
<ldap id="DefaultAuthenticator" version="0"> <ssl> <protocols>TLSv1.2,TLSv1.1</protocols> <cipherSuites> <cipher>SSL_RSA_WITH_AES_128_CBC_SHA</cipher> <cipher>SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA</cipher> <cipher>SSL_ECDH_ECDSA_WITH_AES_128_GCM_SHA256</cipher> </cipherSuites> </ssl> </ldap>
信頼キーストアを指定する必要があります。
『Oracle Platform Security Servicesによるアプリケーションの保護』の複数LDAPでの一方向SSLのシナリオに関する項を参照してください
ノート:
この項は、明示的に管理サーバーを指し示すため、WebLogic Server LDAPを使用し、さらにvirtualize=true
を設定している場合にのみ適用されます。
ターミナル・ウィンドウで、ORACLE_HOMEおよびWL_HOME環境変数を設定します。
たとえばLinuxでは、次のように指定します。
setenv ORACLE_HOME <OracleHome>
setenv WL_HOME <OracleHome>/wlserver/
パスおよびJAVA_HOMEがJDK 8インストールを示していることを確認します。
setenv JAVA_HOME <path_to_your_jdk8>
setenv PATH $JAVA_HOME/bin
次を実行してJavaバージョンを確認します。
java -version
次を実行します(改行なし)。
<OracleHome>/oracle_common/bin/libovdconfig.sh
-host <Host>
-port <AdminServerNonSSLPort>
-userName <AdminUserName>
-domainPath <DomainHome>
-createKeystore
入力を求められた場合は、<AdminUserName>の既存のパスワードを入力します。
OVDキーストアのパスワードの入力を求められた場合は、新しいパスワードを選択します。
次に例を示します。
oracle_common/bin/libovdconfig.sh -host myhost -port 9500 -userName weblogic -domainPath /OracleHome/user_projects/domains/bi -createKeystore Enter AdminServer password: Enter OVD Keystore password: OVD config files already exist for context: default CSF credential creation successful Permission grant already available for context: default OVD MBeans already configured for context: default Successfully created OVD keystore.
管理サーバーの非SSLポートが無効になっている場合、-port <AdminServerNonSSL>
コマンドは機能しません。SSLを有効化してLDAPを構成する場合は、管理サーバーの非SSLポートを一時的に再有効化する必要があります。
次を実行して、結果のキーストアが存在することを確認し、初期コンテンツを表示します。
keytool -list -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks
上のキーストアにインポートするため、適切な形式でデモ証明書をエクスポートする必要があります。
Fusion Middleware Control:
WebLogicデモ証明書を使用する場合、Fusion Middleware Controlを使用してシステム・キーストアから必要なルートCAを取得できます。
「WebLogicドメイン」、「セキュリティ」、「キーストア」の順に選択します。
「システム」を展開します。
「信頼」を選択します。
「管理」をクリックします。
「olddemoca」ではなく「democa」を選択します。
「エクスポート」をクリックします。
「証明書のエクスポート」を選択します。
ファイル名を選択します。
たとえば、demotrust.pemです
WebLogicデモ証明書を使用しない場合、セキュアなサーバー証明書に署名したCAのルートCAを取得する必要があります。
作成したキーストアにインポートします。
keytool -importcert -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks -alias localldap -file <DemoTrustFile>
入力を求められた場合、前に選択したキーストアのパスワードを入力し、証明書が信頼されていることを確認します。
キーストアの-list
コマンドを繰り返すと、次のようにlocalldap
に新しいエントリが表示されます。
localldap, Jul 8, 2015, trustedCertEntry,
証明書のフィンガープリント(SHA1):
CA:61:71:5B:64:6B:02:63:C6:FB:83:B1:71:F0:99:D3:54:6A:F7:C8
HTTPSを使用するようにシステムを保護した後、環境を完全に保護するには、HTTPを無効にする必要もあります。
WebLogic管理コンソールにログインします。
「ロックして編集」をクリックします。
「環境」、「サーバー」の順に選択します。
各サーバーで次の手順に従います。
「構成」タブが表示されます
「リスニング・ポート有効」をクリアします。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
ここで、Oracle Business Intelligenceを再起動する必要があります。
Oracle Web Service Manager (OWSM)で引き続き無効化したHTTPポートが使用されているため、Analyticsを介してログインすることはできません。
HTTPSのみ使用します。
HTTPにより、「接続できないエラー」のようなエラーが即時に表示されます。プロトコルやポートを混同しないでください。誤ったプロトコルを使用して実行中のポートに接続しようとすると、ブラウザがハングする可能性があります。
<DomainHome>/bitools/bin/stop.sh
スクリプトにあるstop.sh
スクリプトを使用して、WebLogic管理コンソールから管理サーバーを停止します。<DomainHome>/bitools/bin/start.sh
スクリプトにあるstart.sh
スクリプトを使用して、WebLogic管理コンソールから管理サーバーを起動します。Oracle Web Services Manager (OWSM)構成を変更して、HTTPSポートを使用する必要があります。
ローカルのOWSMを使用する場合、HTTP(s) OWSMリンクは使用されません。
これらのステップに従って、内部通信リンクのSSLを有効化します。
マスター・ホストからコマンドを実行する必要があります。Oracle Business IntelligenceがBI構成アシスタントで構成され、WebLogic管理対象サーバーが作成され、スケール・アウトが完了している必要があります。構成アシスタントを使用してセキュリティを構成している場合は、この手順のみを使用します。
SSLに構成テンプレートを使用している場合は、「構成テンプレート構成済システムのSSLの有効化」を参照してください。
次の高度なオプションを構成できます。
クライアント証明書のサーバー・チェックを有効化します。
使用する暗号スイートを指定します。
「SSL暗号スイートの手動構成」を参照してください。
事後状態:
事後状態
WebLogicサーバー:
HTTPSリスナーが内部チャネルで有効化されます。
外部ポート構成が変更されていません。外部ポートのSSLも有効化する方法の詳細は、「エンドツーエンドSSLの有効化」を参照してください。
リスナー・アドレスごとに個別の内部アイデンティティ(キー/証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスに一致する共通名を持ちます。証明書は、内部認証局により署名されます。
Essbase Studio以外のシステム・コンポーネント:
HTTPSリスナーが内部チャネルで有効化されます。
外部ポート構成が変更されていません。
リスナー・アドレスごとに個別の内部アイデンティティ(キーまたは証明書のペア)があります。証明書は、標準のHTTPSと互換性があるリスニング・アドレスに一致する共通名を持ちます。証明書は、内部認証局により署名されます。
Essbase Studio:
変更はありません。既存の接続を続行します。
このタスクを使用して、内部通信リンクのOracle BI EE SSLを無効化します。
マスター・ホストからコマンドを実行する必要があります。このオプションを使用するには、構成アシスタントを使用してOracle Business Intelligenceを構成し、WebLogic管理対象サーバーを作成して、スケール・アウトを完了しておきます。
事後状態:
WebLogicサーバー:
内部チャネルで無効化されているHTTPSリスナーがあります。
外部ポート構成が変更されていません。
Essbase Studio以外のシステム・コンポーネント:
非SSLでのみリスニングします。SSL接続は受け入れられません。
Essbase Studio:
変更はありません。既存の接続を続行します。
管理ツールやジョブ・マネージャなどのOracle BI EEクライアントでSSL対応サーバーに接続できるようにするために必要なキーおよび証明書を指定できます。
前提:
マスター・ホストからコマンドを実行します。
オンラインおよびオフラインでこの操作を完了できます。
前提条件
構成アシスタントを使用するか、./ssl.sh
再生成コマンドを実行して、証明書が作成されています。
WebLogicでSSLが有効化されています。
「WebLogic SSLの構成」を参照してください。
このタスクは、停止中または実行中のシステムで実行できます。
次のコマンドを使用して、クライアントのアイデンティティおよび信頼をmydirにエクスポートします。
./ssl.sh exportclientcerts mydir
証明書およびzipファイルが生成されます。
事後状態:
Mydirにclientcerts.zipファイルが格納されます。
Mydirには、解凍されたzipファイルのコンテンツも直接使用のために格納されます。
clientcert.pem
clientkey.pem
identity.jks
internaltrust.jks
internaltrust/internalca.pem
internaltrust/<hashed form of above>
ジョブ・マネージャなどのJavaクライアントは、アイデンティティを定義するidentity.jks
および信頼用のinternaltrust.jksで設定されたセキュア・オプション「サーバー証明書の確認」により、正常に接続できます。
管理ツールなどのOpenSSLクライアントは、アイデンティティを定義するclientcert.pem
とclientkey.pem
および信頼ファイルであるinternalca.pem
で設定されたセキュア・オプション「ピアの検証」により、正常に接続できます。
これらのトピックを使用して、クライアント用のSSLを構成します。
BIEE証明書を使用するように、BIEEコンポーネントにアクセスするクライアントを構成する必要があります。次のコマンドを実行して証明書をエクスポートする必要があります。
<DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>
この項では、クライアント用のSSLを構成する方法について説明します。項目は次のとおりです。
これらのステップを使用して、クライアント証明書のエクスポート時に使用するパスフレーズを作成します。
パスフレーズを使用して、エクスポート証明書を保護します。各クライアントを構成する場合に使用するこのパスフレーズを忘れないようにしてください。
コマンドは、Javaクライアントが使用するJavaキーストアおよび非Javaクライアントが使用する個々の証明書ファイルをエクスポートします。証明書をリモート・マシンにより簡単に移動するため、エクスポートによってすべてのファイルが単一のzipファイルにパッケージ化されます。
BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。
SASchInvoke
ツールはコマンドラインのジョブ起動ツールで、これを使用して既存のOracle BIスケジューラ・ジョブを実行できます。Oracle BIスケジューラの詳細は、Oracle BIスケジューラの概要に関する項を参照してください。
SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。
Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用されるキーおよび証明書は、Javaキーストア・データベースに格納しておく必要があります。「クライアント証明書のエクスポート」を参照してください。
「ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。
「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。
サーバー設定のクライアント証明書の検証がfalse (一方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」は空白のままにできます。これがデフォルトの設定です。
サーバー設定のクライアント証明書の検証がtrue (双方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」を次のように設定する必要があります。
キー・ストア=<exportclientcerts_directory>\identity.jks
キー・ストア・パスワード =
パスフレーズ。
セキュアなリンクを指定するには、サーバー証明書の検証を選択する必要があります。検証がなくても接続は有効ですが、サーバーを偽装する中間者攻撃を検出できません。
「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。
「トラスト・ストア」テキスト・ボックスで、次にトラスト・ストアを設定します。
<exportclientcerts_directory>\internaltrust.jks
「トラスト・ストア・パスワード」を「パスフレーズ」に設定します。
オンライン・カタログ・マネージャからOracle BIプレゼンテーション・サービスに接続するには、SSLサーバー証明書またはCA証明書のインポートが必要な場合があります。
Oracle Business IntelligenceのHTTP WebサーバーがSSLで有効になっている場合は、オンライン・カタログ・マネージャがOracle BIプレゼンテーション・サービスへの接続に失敗する可能性があります。Webサーバーから、システム変数JAVA_HOMEで指定されたJVMのJavaキーストアに、SSLサーバー証明書またはCA証明書をインポートする必要があります。
Javaトラスト・ストアのデフォルトのパスワードはchangeitです。
SSLを使用するように構成されているOracle BIサーバーに適切に接続するには、Oracle BI管理ツールもSSL経由で通信するように構成する必要があります。
BIサーバーのデータ・ソースのデータ・ソース名(DSN)が必要です。
BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。
ODBC DSNのSSL通信を有効にするには、『Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のOracle Business Intelligenceと他のクライアントとの統合に関する項を参照してください。
SSLを使用してインターネット経由で安全に通信できるようにOracle BI Publisherを構成できます。
『Oracle Business Intelligence Publisher管理者ガイド』のSecure Socket Layer (SSL)通信用のBI Publisherの構成に関する項を参照してください。
SSL構成後、BI Publisherの動作が正常でなくなったら、HTTPSプロトコルとSSLポートを再構成することが必要になる場合があります。『Oracle Business Intelligence Publisher管理者ガイド』のOracle BIプレゼンテーション・サービスとの統合の構成に関する項を参照してください。
このタスクは、証明書が期限切れまたはまもなく期限切れになる場合に警告を示します。
実行中または停止中のシステムで、マスター・ホストからコマンドを実行する必要があります。
事後状態:
認証局およびサーバー証明書の詳細な有効期限情報がリストされます。
ssl.sh
コマンドは次のステータスを返します。
13 – 証明書の有効期限が切れている場合。
14 – 30日未満に証明書の有効期限が切れる場合。
0 – 証明書に30日を超える有効期限が残っている場合。
証明書の置換えにより、すべての証明書を新しい証明書に置き換えることができます。
次の場合に行う可能性があります。
既存の証明書の有効期限が切れているか、間もなく期限切れになる場合。
サーバー証明書とCA (信頼)証明書の両方で有効期限が定義されています。有効期限が切れると、それらの証明書を使用している接続が無効になります。
組織に構成アシスタントで指定されたデフォルトと異なる証明書の有効期限が必要なポリシーがあります。
既存の証明書およびキーのセキュリティが損われている場合。
前提:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
事後状態
ドメインはSSLで実行され、新しい証明書を使用します。サーバーは古い信頼を使用してWebLogicインスタンスに接続されません。
ssl.sh expiry
コマンドを実行して、新しい有効期限の新しい証明書をリストできます。
デフォルト(空白)を置き換えるためのWebLogicコンソールの明示的なリスナー・アドレスの設定などのリスナー・アドレスの変更後に証明書を更新できます。
ssl.shスキャン・コマンドは、正しくない証明書の共通名のためにエラーを表示します。リスニング・アドレスと一致しない証明書のサーバーへの接続が拒否されます。
前提:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
事後状態
ドメインはSSLで実行され、新しい証明書を使用します。新しい証明書は、既存の証明書と同じ有効期限があります。証明書が既存の内部認証局によって署名されるため、以前にエクスポートしたクライアントが引き続き有効です。
ssl.sh expiry
コマンドを実行して、新しい有効期限の新しい証明書をリストできます。
これらのステップに従って、新しいサーバーで同じ内部SSL構成を実現します。
前提:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
既存のサーバーをクローニングするか最初から作成して、1つ以上の新しいサーバーが作成されています。
事後状態
ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーが内部SSLを使用します。サーバーがクローニングされた場合、クローニングされた内部チャネル・ポートがチャネル・コマンドで指定されたポートで置き換えられます。サーバーを最初から作成した場合、SSLを使用するために内部チャネルが作成および構成されます。
このタスクは、WLSTを使用して構成されたシステムのBI構成アシスタントに示されているか、またはWebLogic構成アシスタントの構成テンプレートを直接適用した同じSSL内部チャネル構成を提供します。
前提:
マスター・ホストからコマンドを実行します。
これはオフライン操作です。
事後状態
ドメインがSSLで実行され、すべてのWebLogic管理対象サーバーで内部SSLが使用されます。
SSLを内部で使用しないで外部ポートでSSLをサポートするには、内部チャネルを作成して内部通信を分離する必要があります。このタスクのステップを使用して、HTTPを使用するように構成された内部チャネルを作成します。
Oracle Business Intelligenceには、WebLogic管理対象サーバー内で実行しているJavaコンポーネントとの通信が必要なシステム・コンポーネントがあります。たとえば、ログイン時にOracle BIサーバーはBIセキュリティ・サービスをコールします。デフォルト構成テンプレートで構成されたシステムでは、通信リンクで外部WebLogicポートが使用されます。外部ポート用にHTTPSを使用するように、Oracle WebLogic Serverを構成できます。
外部ポートにHTTPSを使用するようにWebLogicを構成している場合、内部コンポーネントは必要な信頼設定なしでHTTPSポートに接続しようとします。この問題を回避するには、プライベート・チャネルを構成する必要があります。これらのプライベート・チャネルは外部WebLogicポートとは無関係であり、専用のポートおよび専用のプロトコル構成を使用します。
前提:
オプションA: 次のコマンドを実行します。
<domain_home>/bitools/bin/ssl.sh regenerate <days>
証明書を再生成して、後続のチャネル・コマンドが機能するようにします。証明書は、後で方針を変更して内部SSLを有効にしないかぎり、使用されません。
<domain_home>/bitools/bin/ssl.sh targetapps bi_cluster
新規サーバーごとに、未使用のポートを使用して次を実行します。
./ssl.sh channel <new_bi_server> <port>
./ssl.sh internalssl false
オプション: 問題の解決を促すinternalssl
エラー・チェックを使用して、次のコマンドを繰り返し実行します。
./ssl.sh internalssl false
internalssl
コマンドのエラー・メッセージに示されているように他のコマンドを実行します。
デフォルトのSSL構成では、デフォルトの暗号スイートによるネゴシエーションを使用します。組織におけるセキュリティ標準ではデフォルト構成の使用が許容されない場合は、別の暗号スイートを使用するようにシステムを構成できます。SSLステータス・レポートから出力にデフォルトの選択を表示できます。
この高度なオプションには、構成ファイルの編集が含まれます。このファイル・タイプに対する構文上の規則を確認するように注意してください。
手動構成したSSL環境は、デフォルトのSSL構成と共存できます。
詳細は、『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceシステム・コンポーネントの起動および停止に関する項を参照してください。
外部システムへのSSL接続の構成に関するトピックは、これらのリンクを使用して参照できます。
複数の認証プロバイダを構成している場合に、SSL(一方向SSLのみ)で通信するLDAP認証プロバイダを追加構成するには、仮想化(libOVD)機能で使用される追加キーストアに、該当するLDAPサーバーのルート証明書を配置する必要があります。
次の手順で、環境変数ORACLE_HOME、WL_HOMEおよびJAVA_HOMEの値を設定します。
UNIXの場合の例:
set ORACLE_HOME= orahome
set WL_HOME=orahome/wlserver
set JAVA_HOME=orahome/oracle_common/jdk
createKeystore
コマンドによってOVDキーストア・パスワードが作成されます。OVDキーストア・パスワードの値を入力する必要があります。
『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のコンポーネントの起動および停止に関する項を参照してください。
このタスクを完了する前に、virtualize
というカスタム・プロパティを構成し、プロパティの値をtrue
に設定する必要があります。「Fusion Middleware Controlを使用したアイデンティティ・ストアの仮想化の構成」を参照してください。
2つの新しい資格証明が資格証明ストアに表示され、adapters.jks
という名前の新しいキーストア・ファイルが<OracleHome>/user_projects/domains/bi/config/fmwconfig/ovd/default
に表示されます。