Enterprise Managerバージョン12.1とSecure Socket Layer(SSL)プロトコルまたはTransport Layer Security (TLS)プロトコルを使用してWebLogic Serverを検出およびモニターする場合、管理エージェントは、セキュアな通信リンクを確立する前にサーバーを信頼できるようにする必要があります。エージェントは、セキュアな接続を確立する際にエージェントが信頼できる認証局(CA)の証明書を含むJavaキーストア(JKS)トラストストアを管理します。エージェントには、よく知られている9つのCA証明書が付属しています。
本番環境でWebLogic t3sを使用する顧客は、VeriSignやThawteなどの有名な認証局(CA)で署名された証明書をWebLogicサーバーで使用することをお薦めします。一部の一般的なルートCA証明書は、エージェントのJKSベースのトラストストアですぐに利用でき、顧客による操作は不要です。ただし、自己署名証明書やデフォルトの(即時利用可能な)デモ証明書をWebLogicサーバーで使用する場合、これらのサーバー証明書のルートCA証明書をエージェントのトラストストアに明示的にインポートするには、次の手順が必要になります。
JKSエージェント・トラストストアは次の場所にあります。
$ORACLE_HOME/sysman/config/montrust/AgentTrust.jks
注意: ORACLE_HOMEは管理エージェントのインスタンスのホームです。
セキュアなプロトコルを使用するWebLogicドメインの検出およびモニタリングに関連するすべてのEnterprise Managerエージェントでエージェント・トラストストアを更新する必要があります。
エージェント・トラストストア(AgentTrust.jks)を更新するにはEMCTLを使用します。デフォルトのデモ証明書(または自己署名証明書)をt3/iiopsのWebLogic Serverで使用する場合、エージェントがt3sを使用してこれらのWebLogic ServerとJ2EEアプリケーションを検出およびモニターできるようにするには、そのルートCA証明書をAgentTrust.jksに追加する必要があります。この目的でEMCTLコマンドが提供されます。
emctl secure add_trust_cert_to_jks [-password <password> -trust_certs_loc <loc> -alias <alias>]
ここで:
password: AgentTrust.jks
へのパスワード(指定しない場合、コマンドラインでパスワードが求められます)
trust_certs_loc: インポートする証明書ファイルの場所
alias: インポートする証明書のエイリアス
デモWebLogic ServerのルートCA証明書をエージェントのトラストストアにインポートするには、エージェントがあるホストからEMCTLのsecureコマンドを実行する必要があります。
<ORACLE_HOME>/bin/emctl secure add_trust_cert_to_jks -password "welcome"
注意: ORACLE_HOMEは管理エージェントのインスタンスのホームです。
次の例は、add_trust_cert_to_jksオプションを指定してsecureコマンドを使用する典型的なセッションを示しています。
AgentTrust.jksのデフォルトで即時利用可能なパスワードは「welcome」です。JDKキーツール・ユーティリティを使用してこのパスワードを変更することをお薦めします。EMCTLコマンドでパスワードを指定しない場合、パスワードが求められます。
例7-1 サンプルのセッション
./emctl secure add_trust_cert_to_jks -password welcome Oracle Enterprise Manager 12c Release 1 Cloud Control 12.1.0.2.0 Copyright (c) 1996, 2012 Oracle Corporation. All rights reserved. Message : Certificate was added to keystore ExitStatus: SUCCESS
WebLogic Serverを自己署名証明書などの別の証明書で保護する場合、そのルートCA証明書をエージェントのトラストストアに次のようにインポートする必要があります。
<ORACLE_HOME>/bin/emctl secure add_trust_cert_to_jks -password "welcome" trust_certs_loc <location of certificate> -alias <certificate-alias>
注意: ORACLE_HOMEは管理エージェントのインスタンスのホームです。
プラットフォームMBeanからJVMパフォーマンス・メトリックを収集するには、ランタイムMBeanServerからMBeanにアクセスできるようにする必要があります。このためには、WebLogicコンソールでPlatformMBeanServerEnabled=trueを設定します。「ドメイン」→「拡張」
注意:
Java Required Files(JRF)がインストールされていないWebLogic Serverインストールにのみ適用されます。
リリース9.2.0.40、10.0.2.0、10.3.1、10.3.2のWebLogic Serverおよび9.xリリースの特定のパッチを使用している場合、(前述の項で示した)PlatformMBeanServerEnabledの設定以外に、PlatformMBeanServerUsed属性をTRUEに明示的に設定する必要があります。次の項で示すように、WebLogic Scripting Tool(WLST)を使用してPlatformMBeanServerUsed属性を設定します。
注意:
10.3.3以降のWebLogic Serverでは、即時利用可能なデフォルトの動作を使用すると、ランタイムMBeanServerからプラットフォームMBeanにアクセスできます。そのため、この項は省略できます。
例7-2に示す次のWebLogic Scripting Toolセッションは、PlatformMBeanServerUsed属性の使用、確認および設定の方法を示しています。
ユーザーのアクションは太字になっています。
例7-2 PlatformMBeanServerUsedの設定
cd common/bin/ ade:[ adminsw_easvr ] [adminsw@mymachine bin]$ ./wlst.sh CLASSPATH=/net/mymachine/scratch/shiphomes/wl/wl10/patch wls1002/profiles/default/sys_manifest_classpath/weblogic patch.jar:/net/mymachine/scratch/shiphomes/wl/wl10/patch cie640/profiles/default/sys_manifest_classpath/weblogic patch.jar:/net/mymachine/scratch/shiphomes/wl/wl10/jrockit_150 15/lib/tools.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/weblogic_sp.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/weblogic.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/fea ures/weblogic.server.modules 10.0.2.0.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/features/com.bea.ci .common-plugin.launch 2.1.2.0.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/webservices.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/ rg.apache.ant 1.6.5/lib/ant-all.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/net.sf.ant ontrib_1.0b2.0/lib/ant-contrib.jar: PATH=/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/bin:/net/mymachine/scratch/shiphomes/wl/wl10/modules/org.apache.ant 1.6.5/bin:/net/mymachine/scratch/shiphomes/wl/wl10/jrockit_150 15/jre/bin:/net/mymachine/scratch/shiphomes/wl/wl10/jrockit_150 15/bin:/home/adminsw/products/valgrind/bin:/ade/adminsw easvr/oracle/jdk/bin:/ade/adminsw easvr/oracle/work/middleware/oms/perl/bin:/bin:/usr/local/bin:/usr/local/remote/p ckages/firefox-1.5.0.3:/ade/adminsw_easvr/oratst/bin:/ade/adminsw easvr/oracle/buildtools/bin:/ade/adminsw_easvr/oracle/emdev/merge:/ade/adminsw easvr/oracle/emdev/utl:/ade/adminsw_easvr/oracle/utl:/pdp/pds/utl:/ade/adminsw easvr/oracle/work/middleware/oms/bin:/ade/adminsw easvr/oracle/nlsrtl3/bin:/opt/SUNWspro/bin:/usr/ccs/bin:/usr/bin:/usr/sbin:/ade/a minsw easvr/oracle/opmn/bin:/usr/X11R6/bin:/home/adminsw/products/valgrind/bin:/home/ad insw/products/valgrind/bin:/usr/kerberos/bin:/home/adminsw/products/valgrind/bin: bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin:/usr/local/ade/bin:/bin:/usr/local/bin Your environment has been set. CLASSPATH=/net/mymachine/scratch/shiphomes/wl/wl10/patch wls1002/profiles/default/sys_manifest_classpath/weblogic patch.jar:/net/mymachine/scratch/shiphomes/wl/wl10/patch cie640/profiles/default/sys_manifest_classpath/weblogic patch.jar:/net/mymachine/scratch/shiphomes/wl/wl10/jrockit_150 15/lib/tools.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/weblogic_sp.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/weblogic.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/fea ures/weblogic.server.modules 10.0.2.0.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/features/com.bea.ci .common-plugin.launch 2.1.2.0.jar:/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/server/lib/webservices.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/ rg.apache.ant 1.6.5/lib/ant-all.jar:/net/mymachine/scratch/shiphomes/wl/wl10/modules/net.sf.ant ontrib 1.0b2.0/lib/ant-contrib.jar::/net/mymachine/scratch/shiphomes/wl/wl10/wlserver 10.0/common/eval/pointbase/lib/pbembedded51.jar:/net/mymachine/scratch/shiphomes/ l/wl10/wlserver 10.0/common/eval/pointbase/lib/pbtools51.jar:/net/mymachine/scratch/shiphomes/wl/ l10/wlserver_10.0/common/eval/pointbase/lib/pbclient51.jar Initializing WebLogic Scripting Tool (WLST) ... Welcome to WebLogic Server Administration Scripting Shell Type help() for help on available commands wls:/offline> wls:/offline> connect('weblogic','welcome1','mymachine:7501') Connecting to t3://mymachine:7501 with userid weblogic ... Successfully connected to Admin Server 'AdminServer' that belongs to domain 'base domain'. Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead. wls:/base_domain/serverConfig> edit() Location changed to edit tree. This is a writable tree with DomainMBean as the root. To make changes you will need to start an edit session via startEdit(). For more help, use help(edit) wls:/base_domain/edit> startEdit() Starting an edit session ... Started edit session, please be sure to save and activate your changes once you are done. wls:/base_domain/edit !> cd('JMX') wls:/base_domain/edit/JMX !> ls() drw- base_domain wls:/base_domain/edit/JMX !> cd ('base_domain') wls:/base_domain/edit/JMX/base_domain !> ls() -rw- CompatibilityMBeanServerEnabled true -rw- DomainMBeanServerEnabled true -rw- EditMBeanServerEnabled true -rw- InvocationTimeoutSeconds 0 -rw- ManagementEJBEnabled true -rw- Name base_domain -rw- Notes null -rw- PlatformMBeanServerEnabled true -rw- PlatformMBeanServerUsed false ** -rw- RuntimeMBeanServerEnabled true -r-- Type JMX -r-x freezeCurrentValue Void : String(attributeName) -r-x isSet Boolean : String(propertyName ) -r-x restoreDefaultValue Void : String(attributeName) -r-x unSet Void : String(propertyName) wls:/base_domain/edit/JMX/base_domain !> set('PlatformMBeanServerUsed','true') wls:/base_domain/edit/JMX/base_domain !> ls() -rw- CompatibilityMBeanServerEnabled true -rw- DomainMBeanServerEnabled true -rw- EditMBeanServerEnabled true -rw- InvocationTimeoutSeconds 0 -rw- ManagementEJBEnabled true -rw- Name base_domain -rw- Notes null -rw- PlatformMBeanServerEnabled true -rw- PlatformMBeanServerUsed true ** -rw- RuntimeMBeanServerEnabled true -r-- Type JMX -r-x freezeCurrentValue Void : String(attributeName) -r-x isSet Boolean : String(propertyName ) -r-x restoreDefaultValue Void : String(attributeName) -r-x unSet Void : String(propertyName) wls:/base_domain/edit/JMX/base_domain !> activate() Activating all your changes, this may take a while ... The edit lock associated with this edit session is released once the activation is completed. The following non-dynamic attribute(s) have been changed on MBeans that require server re-start: ** MBean Changed : com.bea:Name=base_domain,Type=JMX Attributes changed : PlatformMBeanServerUsed Activation completed wls:/base_domain/edit/JMX/base_domain> ade:[ adminsw_easvr ] [adminsw@mymachine bin]$ ade:[ adminsw_easvr ] [adminsw@mymachine bin]$
**注意: PlatformMBeanServerUsed属性はWebLogicリリース10.3.1.0および10.3.2.0にあり、それより以前のリリースのパッチにもあります。前述のPlatformMBeanServerUsed属性がない場合や、属性がすでにtrueに設定されている場合、コマンドを実行する必要はありません。