1. Oracle Fusion Middlewareのアップグレードのプランニング
  2. データストアの保護

2 データストアの保護

次の項では、11gリリース11.1.1.7、11.1.1.8および11.1.1.9または12cリリース12.1.2.0.0、12.1.3.0.0、12.2.1.0.0、12.2.1.1.0および12.2.1.2.0からリリース12c (12.2.1.3.0)にセキュリティ・アーティファクトをアップグレードする方法について説明します。

ノート:

この項に記載されている手順を開始する前に、次に示す項に記載されているタスクおよび概念を読んで理解しておいてください。

セキュリティの12c (12.2.1.3.0)へのアップグレード

アップグレード後のシステムでは、新しく作成されたデータ・ソースを使用し、古いデータ・ソースは使用しません。アップグレードすると、重複するOPSSデータ・ソースが表示されることがありますが、一方はアップグレード前から存在し、もう一方はアップグレード・プロセス中に作成されたものです。この重複は機能的に影響することはなく、古いデータ・ソースはアップグレード後のシステムで使用されません。

アップグレード後に、キーストアをJavaキーストア(JKS)からキーストア・サービス(KSS)キーストアに移行することを検討してください。12.2.1.0以上にアップグレードしたドメインでは、systemストライプのKSSキーストアは以前のリリースのものとは異なります。

キーストア・サービス(KSS)キーストアでは、Javaキーストア(JKS)、Java暗号化拡張機能キーストア(JCEKS)およびOracleウォレットの証明書フォーマットがサポートされています。一般的な証明書管理タスクは、次のとおりです。

  • キー・ペアに対する証明書の作成。

  • 証明書に対する証明書署名リクエスト(CSR)の生成とファイルへの保存。

  • 送信者を検証し、署名して証明書を返信する認証局へのCSRの送信。

  • テキスト・フィールドへの貼付けまたはファイル・システムからのインポートによる、キーストアへのユーザーおよび信頼できる証明書のインポート。

    ノート:

    キーストア・サービスでは、PEM/BASE64でエンコードされた証明書のインポートのみサポートされます。DERでエンコードされた証明書または信頼できる証明書をキーストアにインポートすることはできません。

  • キーストアからファイルへの証明書または信頼できる証明書のエクスポート。

  • キーストアからの証明書または信頼できる証明書の削除。

公開CA証明書に関する次の点は、12.2.1にアップグレードされたドメインおよび新しい12.2.1 Java Required Files (JRF)ドメインに当てはまります。

  • よく知られた公開CA証明書は、systemストライプ内のtrustキーストアでは使用できなくなりました。

  • かわりに、よく知られた公開CA証明書を使用してJava SE Development Kit (JDK) cacertsファイルからすでにシードされている、systemストライプ内のpubliccacertsキーストアを使用します。あるいは、必要に応じて独自の証明書をインポートします。

  • merge.jdkcacerts.with.trustプロパティでは、kss://system/trustキーストアへの問合せ時に、kss://system/ubliccacertsキーストアの公開CA証明書を戻すかどうかを指定します。問合せですべてのpublicacerts証明書を戻す場合はtrueに設定します。問合せでpublicacerts証明書を戻さない場合は設定しないか、falseに設定します。

親トピック: データストアの保護

セキュリティ・ストアをアップグレードする前に

セキュリティ・ストアをアップグレードする前に:

  • Fusion Middlewareの古いリリースで準備状況チェックを実行し、バージョン12c (12.2.1.3.0)へのアップグレードに適しているかどうかを判断します。

  • アップグレードが失敗したときにリカバリできるよう、完全なバックアップを作成します。

親トピック: セキュリティの12c (12.2.1.3.0)へのアップグレードについて

バージョン11gおよび12cの互換性の表

この項では、リリース11.1.1.5.0、11.1.1.6.0、11.1.1.7.0、11.1.1.9.0、12.1.2.0.0、12.1.3.0.0および12.2.1.xについて、バイナリ、構成、スキーマおよびストアの互換バージョンを示します。これらのアーティファクトの互換バージョンは、DBとLDAPの両方のセキュリティ・ストアに適用されます。DBストアでは、データベース・スキーマごとにセキュリティ・ストアは1つのみと見なされます。

次の表は、互換バージョンを示しており、DBとLDAPの両方のセキュリティ・ストアに適用されます。次の記号に注意してください。

  • バージョン番号の前に付いている記号=>は、示されているバージョン番号以降のバージョンを意味します。

  • バージョン番号の前に付いている記号>は、示されているバージョン番号より新しいバージョンを意味します。

  • バージョン番号の前に付いている記号<は、示されているバージョン番号より前のバージョンを意味します。

バイナリ 構成 スキーマ ストア ステータス

11.1.1.5.0

11.1.1.5.0

=>11.1.1.5.0

11.1.1.5.0

認証済

11.1.1.5.0

11.1.1.5.0

>11.1.1.5.0

>11.1.1.5.0

サポートされていません

11.1.1.6.0

11.1.1.5.0

=>11.1.1.5.0

11.1.1.5.0

認証済

11.1.1.6.0

11.1.1.5.0

>11.1.1.5.0

>11.1.1.5.0

サポートされていません

11.1.1.6.0

11.1.1.6.0

=>11.1.1.6.0

11.1.1.6.0

認証済

11.1.1.6.0

11.1.1.6.0

>11.1.1.6.0

>11.1.1.6.0

サポートされていません

11.1.1.7.0

11.1.1.7.0

=>11.1.1.6.0

<11.1.1.7.0

サポートされていません

11.1.1.7.0

11.1.1.6.0

=>11.1.1.6.0

11.1.1.6.0

認証済

11.1.1.7.0

11.1.1.6.0

>11.1.1.6.0

>11.1.1.6.0

サポートされていません

11.1.1.7.0

11.1.1.7.0

=>11.1.1.7.0

11.1.1.7.0

認証済

11.1.1.9.0

11.1.1.7.0

11.1.1.6.0

11.1.1.5.0

11.1.1.9.0

=>11.1.1.7.0

=>11.1.1.6.0

=>11.1.1.5.0

=>11.1.1.9.0

11.1.1.7.0

11.1.1.6.0

11.1.1.5.0

11.1.1.9.0

認証済

12.1.2.0.0

12.1.2.0.0

=>12.1.2.0.0

12.1.2.0.0

認証済(スキーマのみのアップグレード)

12.1.2.0.0

<12.1.2.0.0

<12.1.2.0.0

<12.1.2.0.0

サポートされていません

12.1.3.0.0

12.1.3.0.0

=>12.1.3.0.0

12.1.3.0.0

認証済(スキーマのみのアップグレード)

12.1.3.0.0

<12.1.3.0.0

<12.1.3.0.0

<12.1.3.0.0

サポートされていません

12.2.1.0.0

12.2.1.0.0

12.2.1.0.0

12.2.1.0.0

認証済

12.2.1.0.0

<12.2.1.0.0

<12.2.1.0.0

<12.2.1.0.0

サポートされていません

12.2.1.1.0

12.2.1.1.0

12.2.1.0.0

12.2.1.1.0

認証済

12.2.1.1.0

<12.2.1.1.0

<12.2.1.0.0

<12.2.1.1.0

サポートされていません

12.2.1.2.0

12.2.1.2.0

12.2.1.0.0

12.2.1.2.0

認証済

12.2.1.2.0

<12.2.1.2.0

<12.2.1.0.0

<12.2.1.2.0

サポートされていません

12.2.1.3.0

12.2.1.3.0

12.2.1.0.0

12.2.1.3.0

認証済

12.2.1.3.0

<12.2.1.3.0

<12.2.1.0.0

<12.2.1.3.0

サポートされていません

親トピック: セキュリティの12c (12.2.1.3.0)へのアップグレードについて

セキュリティのアップグレード: 主なステップ

次の各表は、セキュリティ・ストアおよび監査ストアのタイプに応じて、システムをアップグレードするために実行するステップをまとめたものです。いずれの手順でも、バイナリが12c (12.2.1.3.0) Oracle Fusion Middlewareバイナリにアップグレードされていることを前提としています。

ノート:

この項に記載されている手順を開始する前に、次に示す項に記載されているタスクおよび概念を読んで理解しておいてください。

ノート:

アップグレード・プロセス中に、再起動していないサーバーのいずれかでOPSS実行時操作を実行した場合、OPSSセキュリティ・ストアに対して実行している操作に関連するエラーを受け取ることがあります。バイナリおよびスキーマはアップグレードされたが、実行中のサーバー・プロセスが更新またはリフレッシュされていない古いクラスをまだ使用している場合に、このようなエラーが発生することがあります。そのため、アップグレード・プロセスが完了したら必ず、ドメイン内の管理対象サーバーをすべて再起動することをお薦めします。

IAU_APPENDおよびIAU_VIEWERによって所有されているシノニム・オブジェクトはスキーマ・バージョン・レジストリ表にINVALIDとして表示されますが、これは失敗を示していません。シノニム・オブジェクトは、シノニムの作成後にターゲット・オブジェクトが変更されるため無効になります。シノニム・オブジェクトは、アクセスされるときに有効になります。これらのINVALIDオブジェクトは無視してかまいません。

表2-1 12.1.2または12.1.3から12.2.1.xへのアップグレード

セキュリティ・ストア・タイプ 監査ストア・タイプ 12.2.1.xにアップグレードするには:

Oracle Internet Directory

データベース

  1. OPSS、監査サービス(IAU)およびサービス表(STB)のスキーマをアップグレードします。このシナリオでは、OPSSスキーマはOracle Internet Directoryベースです。

  2. 12.2.1.x Oracle Fusion Middlewareリポジトリ作成ユーティリティを使用して、データベース・ベースのOPSSスキーマを作成します。既存のIAUおよびSTB接頭辞をOPSSスキーマに使用します。

  3. ドメインを再構成し、OPSSデータ・ソースを新規作成したOPSSスキーマにバインドします。「再構成」ウィザードで監査スキーマの詳細を入力します。

    この場合、データベース・ベースのOPSS 12.2.1.xスキーマは冗長であることに注意してください。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

データベース

データベース

  1. OPSS、監査サービスIAU、IAU_Viewer、IAU_APPENDおよびサービス表STBのスキーマをアップグレードします。

  2. ドメインを再構成します。

  3. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

ノート:

12cファイル・セキュリティ・ストアからのアップグレードはサポートされていません。

表2-2 11.1.1.7または11.1.1.9から12.2.1.xへのアップグレード

セキュリティ・ストア・タイプ 監査ストア・タイプ 12.2.1.xにアップグレードするには:

ファイル

ファイル

  1. 12.2.1.x Oracle Fusion Middlewareリポジトリ作成ユーティリティを使用して、OPSSスキーマを作成します。監査サービス(IAU)およびサービス表(STB)のスキーマは、デフォルトでOPSSスキーマとともに作成されることに注意してください。

  2. ドメインを再構成し、新しいスキーマの詳細を指定します。

  3. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

ファイル

データベース

  1. Oracle Fusion Middleware Upgrade Assistantを使用して、11g監査サービス(IAU)スキーマをアップグレードします。

  2. 12.2.1.x Oracle Fusion Middlewareリポジトリ作成ユーティリティを使用して、OPSS、監査サービス・ビューア(IAU_VIEWER)および監査サービス・アペンド(IAU_APPEND)のスキーマを作成します。ステップ1で新しいスキーマ用にアップグレードした既存のIAU接頭辞を使用します。サービス表(STB)スキーマが自動的に作成されることに注意してください。

  3. ドメインを再構成して新しいOPSSスキーマの詳細を指定し、Fusion Middleware再構成ウィザードで11g監査スキーマの詳細を入力します。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

Oracle Internet Directory

ファイル

  1. Oracle Fusion Middleware Upgrade Assistantを使用して、Oracle Internet DirectoryベースのOPSSスキーマをアップグレードします。

  2. 12.2.1.xリポジトリ作成ユーティリティを使用して、データベース・ベースのOPSSスキーマを作成します。監査サービス(IAU、IAU_Viewer、IAU_APPEND)およびサービス表(STB)のスキーマは、デフォルトでOPSSスキーマとともに作成されることに注意してください。

  3. ドメインを再構成し、OPSSデータ・ソースを新規作成したOPSSスキーマにバインドするために、新しいスキーマの詳細を指定します。

    この場合、12.2.1.x OPSSスキーマは冗長であることに注意してください。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

Oracle Internet Directory

データベース

  1. Oracle Fusion Middleware Upgrade Assistantを使用して、11g OPSSおよび監査スキーマをアップグレードします。このシナリオでは、OPSSスキーマはOracle Internet Directoryベースです。

  2. 12.2.1.xリポジトリ作成ユーティリティを使用して、データベース・ベースのOPSSスキーマを作成します。ステップ1で新しいスキーマ用にアップグレードした既存のIAU接頭辞を使用します。サービス表(STB)スキーマが自動的に作成されることに注意してください。

  3. ドメインを再構成し、OPSSデータ・ソースを新規作成したOPSSスキーマにバインドします。Fusion Middleware再構成ウィザードで11g監査スキーマの詳細を入力します。

    この場合、OPSS 12.2.1.xスキーマと12.2.1.x IAUスキーマはいずれも冗長であることに注意してください。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

データベース

ファイル

  1. 12.2.1.xリポジトリ作成ユーティリティを使用して、監査サービスIAU、IAU_Viewer、IAU_APPENDのスキーマを作成します。既存のOPSSスキーマ接頭辞を使用します。サービス表(STB)スキーマが自動的に作成されることに注意してください。

  2. Oracle Fusion Middleware Upgrade Assistantを使用して、11g OPSSスキーマをアップグレードします。

  3. ドメインを再構成して新しい監査スキーマの詳細を指定し、11g OPSSスキーマの詳細を入力します。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

データベース

データベース

  1. 12.2.1.xリポジトリ作成ユーティリティを使用して、監査サービス・ビューアおよび監査サービス・アペンドのスキーマ(IAU_VIEWERIAU_APPEND)およびサービス表(STB)スキーマを作成します。既存のOPSSおよびIAUスキーマに使用したものと同じ接頭辞を使用します。

  2. Oracle Fusion Middleware Upgrade Assistantを使用して、OPSSおよび監査サービス(IAU)のスキーマをアップグレードします。スキーマに既存の接頭辞を使用します。

  3. ドメインを再構成して、11g OPSSスキーマの詳細を指定します。

  4. ドメイン内のすべてのサーバー(管理および管理対象)を再起動します。

ノート:

11gファイル・セキュリティ・ストアは、データベース・ベースのセキュリティ・ストアに自動的にアップグレードされます。

親トピック: セキュリティの12c (12.2.1.3.0)へのアップグレードについて

Fusion Middleware再構成ウィザードを使用したドメインの再構成

この項に記載されている手順を実行し、Fusion Middleware再構成ウィザードを使用してドメインを再構成します。「再構成」ウィザードの詳細は、『Oracle WebLogic Serverのアップグレード』「WebLogicドメインの再構成」を参照してください。

ノート:

一部の構成では、再構成ウィザードの実行中に無効なキー・サイズの例外が発生する場合があります。再構成ウィザードの実行前に構成を確認し、必要に応じてJCE無制限強度の管轄ポリシー・ファイルをインストールすることをお薦めします。

  1. Fusion Middleware再構成ウィザードを起動します。
    > cd oracle_common/common/bin
> ./reconfig.sh
  2. 「ドメインの選択」ページで、再構成するドメインのディレクトリを指定して「次」をクリックします。
  3. 「データベース構成タイプ」ページで「RCUデータ」を選択し、データベース接続の詳細を入力して「RCU構成の取得」をクリックします。取得結果が表示されます。
  4. 「次」をクリックします。
  5. 「JDBCコンポーネント・スキーマ」ページに、影響を受けるスキーマの表が表示されます。必要に応じて行を選択し、「次」をクリックします。
  6. 「JDBCコンポーネント・スキーマ・テスト」ページで「選択された接続のテスト」をクリックします。テスト結果が表示されます。「次」をクリックします。
  7. 「拡張構成」ページで、必要に応じてボックスを選択して「次」をクリックします。

    選択したオプションに応じて、追加のページが表示されます。

  8. 残りのページで必要な情報をすべて指定すると、選択したオプションが「構成のサマリー」ページに表示されます。「再構成」をクリックします。

親トピック: セキュリティの12c (12.2.1.3.0)へのアップグレードについて

DBベースのセキュリティ・ストアのアップグレード

複数のドメインが共有(結合)しているセキュリティ・ストアをアップグレードするには、次のタスクのいずれかを実行します。

親トピック: データストアの保護

共有している12cセキュリティ・ストアのアップグレード

この項に記載されている手順を実行し、以前の12cの共有しているセキュリティ・ストアを12c (12.2.1.3.0)にアップグレードします。

  1. アップグレードするストアを共有しているドメインをすべて停止します。
  2. Upgrade Assistantを実行し、共有しているセキュリティ・ストアのOPSSスキーマと、ソース監査データがデータベース・ストアの場合は監査スキーマをアップグレードします。
  3. セキュリティ・ストアを共有しているドメインそれぞれで、Fusion Middleware再構成ウィザードを実行してドメインを再構成し、OPSSデータ、ディレクトリ情報ツリーおよび製品のセキュリティ・アーティファクトをアップグレードします。
  4. セキュリティ・ストアを共有しているドメインをすべて再起動します。

親トピック: 共有セキュリティ・ストアのアップグレード

共有している11gセキュリティ・ストアのアップグレード

この項に記載されている手順を実行し、11.1.1.7または11.1.1.9の共有しているセキュリティ・ストアを12.2.1.xにアップグレードします。

  1. アップグレードするストアを共有しているドメインをすべて停止します。
  2. Upgrade Assistantを実行し、共有しているセキュリティ・ストアのOPSSスキーマと、ソース監査がデータベース・ストアの場合は監査スキーマをアップグレードします。
  3. セキュリティ・ストアを共有しているドメインのそれぞれで、「再構成」ウィザードを実行します。初めて実行すると、セキュリティ・ストアのデータおよびドメインの構成がアップグレードされます。他のドメインから実行すると、そのドメインの構成のみアップグレードされます。
  4. アップグレードされたドメインをすべて再起動します。

親トピック: 共有セキュリティ・ストアのアップグレード