2 データストアの保護
次の項では、11gリリース11.1.1.7、11.1.1.8および11.1.1.9または12cリリース12.1.2.0.0、12.1.3.0.0、12.2.1.0.0、12.2.1.1.0および12.2.1.2.0からリリース12c (12.2.1.3.0)にセキュリティ・アーティファクトをアップグレードする方法について説明します。
ノート:
この項に記載されている手順を開始する前に、次に示す項に記載されているタスクおよび概念を読んで理解しておいてください。-
『Oracle WebLogic Serverのアップグレード』の「WebLogicドメインの再構成」
セキュリティの12c (12.2.1.3.0)へのアップグレード
アップグレード後のシステムでは、新しく作成されたデータ・ソースを使用し、古いデータ・ソースは使用しません。アップグレードすると、重複するOPSSデータ・ソースが表示されることがありますが、一方はアップグレード前から存在し、もう一方はアップグレード・プロセス中に作成されたものです。この重複は機能的に影響することはなく、古いデータ・ソースはアップグレード後のシステムで使用されません。
アップグレード後に、キーストアをJavaキーストア(JKS)からキーストア・サービス(KSS)キーストアに移行することを検討してください。12.2.1.0以上にアップグレードしたドメインでは、system
ストライプのKSSキーストアは以前のリリースのものとは異なります。
キーストア・サービス(KSS)キーストアでは、Javaキーストア(JKS)、Java暗号化拡張機能キーストア(JCEKS)およびOracleウォレットの証明書フォーマットがサポートされています。一般的な証明書管理タスクは、次のとおりです。
-
キー・ペアに対する証明書の作成。
-
証明書に対する証明書署名リクエスト(CSR)の生成とファイルへの保存。
-
送信者を検証し、署名して証明書を返信する認証局へのCSRの送信。
-
テキスト・フィールドへの貼付けまたはファイル・システムからのインポートによる、キーストアへのユーザーおよび信頼できる証明書のインポート。
ノート:
キーストア・サービスでは、PEM/BASE64でエンコードされた証明書のインポートのみサポートされます。DERでエンコードされた証明書または信頼できる証明書をキーストアにインポートすることはできません。
-
キーストアからファイルへの証明書または信頼できる証明書のエクスポート。
-
キーストアからの証明書または信頼できる証明書の削除。
公開CA証明書に関する次の点は、12.2.1にアップグレードされたドメインおよび新しい12.2.1 Java Required Files (JRF)ドメインに当てはまります。
-
よく知られた公開CA証明書は、
system
ストライプ内のtrust
キーストアでは使用できなくなりました。 -
かわりに、よく知られた公開CA証明書を使用してJava SE Development Kit (JDK)
cacerts
ファイルからすでにシードされている、system
ストライプ内のpubliccacerts
キーストアを使用します。あるいは、必要に応じて独自の証明書をインポートします。 -
merge.jdkcacerts.with.trust
プロパティでは、kss://system/trust
キーストアへの問合せ時に、kss://system/ubliccacerts
キーストアの公開CA証明書を戻すかどうかを指定します。問合せですべてのpublicacerts
証明書を戻す場合はtrue
に設定します。問合せでpublicacerts
証明書を戻さない場合は設定しないか、false
に設定します。
- セキュリティ・ストアをアップグレードする前に
- バージョン11gおよび12cの互換性の表
- セキュリティのアップグレード: 主なステップ
- Fusion Middleware再構成ウィザードを使用したドメインの再構成
親トピック: データストアの保護
セキュリティ・ストアをアップグレードする前に
セキュリティ・ストアをアップグレードする前に:
-
Fusion Middlewareの古いリリースで準備状況チェックを実行し、バージョン12c (12.2.1.3.0)へのアップグレードに適しているかどうかを判断します。
-
アップグレードが失敗したときにリカバリできるよう、完全なバックアップを作成します。
バージョン11gおよび12cの互換性の表
この項では、リリース11.1.1.5.0、11.1.1.6.0、11.1.1.7.0、11.1.1.9.0、12.1.2.0.0、12.1.3.0.0および12.2.1.xについて、バイナリ、構成、スキーマおよびストアの互換バージョンを示します。これらのアーティファクトの互換バージョンは、DBとLDAPの両方のセキュリティ・ストアに適用されます。DBストアでは、データベース・スキーマごとにセキュリティ・ストアは1つのみと見なされます。
次の表は、互換バージョンを示しており、DBとLDAPの両方のセキュリティ・ストアに適用されます。次の記号に注意してください。
-
バージョン番号の前に付いている記号=>は、示されているバージョン番号以降のバージョンを意味します。
-
バージョン番号の前に付いている記号>は、示されているバージョン番号より新しいバージョンを意味します。
-
バージョン番号の前に付いている記号<は、示されているバージョン番号より前のバージョンを意味します。
バイナリ | 構成 | スキーマ | ストア | ステータス |
---|---|---|---|---|
11.1.1.5.0 |
11.1.1.5.0 |
=>11.1.1.5.0 |
11.1.1.5.0 |
認証済 |
11.1.1.5.0 |
11.1.1.5.0 |
>11.1.1.5.0 |
>11.1.1.5.0 |
サポートされていません |
11.1.1.6.0 |
11.1.1.5.0 |
=>11.1.1.5.0 |
11.1.1.5.0 |
認証済 |
11.1.1.6.0 |
11.1.1.5.0 |
>11.1.1.5.0 |
>11.1.1.5.0 |
サポートされていません |
11.1.1.6.0 |
11.1.1.6.0 |
=>11.1.1.6.0 |
11.1.1.6.0 |
認証済 |
11.1.1.6.0 |
11.1.1.6.0 |
>11.1.1.6.0 |
>11.1.1.6.0 |
サポートされていません |
11.1.1.7.0 |
11.1.1.7.0 |
=>11.1.1.6.0 |
<11.1.1.7.0 |
サポートされていません |
11.1.1.7.0 |
11.1.1.6.0 |
=>11.1.1.6.0 |
11.1.1.6.0 |
認証済 |
11.1.1.7.0 |
11.1.1.6.0 |
>11.1.1.6.0 |
>11.1.1.6.0 |
サポートされていません |
11.1.1.7.0 |
11.1.1.7.0 |
=>11.1.1.7.0 |
11.1.1.7.0 |
認証済 |
11.1.1.9.0 |
11.1.1.7.0 11.1.1.6.0 11.1.1.5.0 11.1.1.9.0 |
=>11.1.1.7.0 =>11.1.1.6.0 =>11.1.1.5.0 =>11.1.1.9.0 |
11.1.1.7.0 11.1.1.6.0 11.1.1.5.0 11.1.1.9.0 |
認証済 |
12.1.2.0.0 |
12.1.2.0.0 |
=>12.1.2.0.0 |
12.1.2.0.0 |
認証済(スキーマのみのアップグレード) |
12.1.2.0.0 |
<12.1.2.0.0 |
<12.1.2.0.0 |
<12.1.2.0.0 |
サポートされていません |
12.1.3.0.0 |
12.1.3.0.0 |
=>12.1.3.0.0 |
12.1.3.0.0 |
認証済(スキーマのみのアップグレード) |
12.1.3.0.0 |
<12.1.3.0.0 |
<12.1.3.0.0 |
<12.1.3.0.0 |
サポートされていません |
12.2.1.0.0 |
12.2.1.0.0 |
12.2.1.0.0 |
12.2.1.0.0 |
認証済 |
12.2.1.0.0 |
<12.2.1.0.0 |
<12.2.1.0.0 |
<12.2.1.0.0 |
サポートされていません |
12.2.1.1.0 |
12.2.1.1.0 |
12.2.1.0.0 |
12.2.1.1.0 |
認証済 |
12.2.1.1.0 |
<12.2.1.1.0 |
<12.2.1.0.0 |
<12.2.1.1.0 |
サポートされていません |
12.2.1.2.0 |
12.2.1.2.0 |
12.2.1.0.0 |
12.2.1.2.0 |
認証済 |
12.2.1.2.0 |
<12.2.1.2.0 |
<12.2.1.0.0 |
<12.2.1.2.0 |
サポートされていません |
12.2.1.3.0 |
12.2.1.3.0 |
12.2.1.0.0 |
12.2.1.3.0 |
認証済 |
12.2.1.3.0 |
<12.2.1.3.0 |
<12.2.1.0.0 |
<12.2.1.3.0 |
サポートされていません |
セキュリティのアップグレード: 主なステップ
次の各表は、セキュリティ・ストアおよび監査ストアのタイプに応じて、システムをアップグレードするために実行するステップをまとめたものです。いずれの手順でも、バイナリが12c (12.2.1.3.0) Oracle Fusion Middlewareバイナリにアップグレードされていることを前提としています。
ノート:
この項に記載されている手順を開始する前に、次に示す項に記載されているタスクおよび概念を読んで理解しておいてください。-
『Oracle WebLogic Serverのアップグレード』の「WebLogicドメインの再構成」
ノート:
アップグレード・プロセス中に、再起動していないサーバーのいずれかでOPSS実行時操作を実行した場合、OPSSセキュリティ・ストアに対して実行している操作に関連するエラーを受け取ることがあります。バイナリおよびスキーマはアップグレードされたが、実行中のサーバー・プロセスが更新またはリフレッシュされていない古いクラスをまだ使用している場合に、このようなエラーが発生することがあります。そのため、アップグレード・プロセスが完了したら必ず、ドメイン内の管理対象サーバーをすべて再起動することをお薦めします。
IAU_APPENDおよびIAU_VIEWERによって所有されているシノニム・オブジェクトはスキーマ・バージョン・レジストリ表にINVALIDとして表示されますが、これは失敗を示していません。シノニム・オブジェクトは、シノニムの作成後にターゲット・オブジェクトが変更されるため無効になります。シノニム・オブジェクトは、アクセスされるときに有効になります。これらのINVALIDオブジェクトは無視してかまいません。
表2-1 12.1.2または12.1.3から12.2.1.xへのアップグレード
セキュリティ・ストア・タイプ | 監査ストア・タイプ | 12.2.1.xにアップグレードするには: |
---|---|---|
Oracle Internet Directory |
データベース |
|
データベース |
データベース |
|
ノート:
12cファイル・セキュリティ・ストアからのアップグレードはサポートされていません。
表2-2 11.1.1.7または11.1.1.9から12.2.1.xへのアップグレード
セキュリティ・ストア・タイプ | 監査ストア・タイプ | 12.2.1.xにアップグレードするには: |
---|---|---|
ファイル |
ファイル |
|
ファイル |
データベース |
|
Oracle Internet Directory |
ファイル |
|
Oracle Internet Directory |
データベース |
|
データベース |
ファイル |
|
データベース |
データベース |
|
ノート:
11gファイル・セキュリティ・ストアは、データベース・ベースのセキュリティ・ストアに自動的にアップグレードされます。
Fusion Middleware再構成ウィザードを使用したドメインの再構成
この項に記載されている手順を実行し、Fusion Middleware再構成ウィザードを使用してドメインを再構成します。「再構成」ウィザードの詳細は、『Oracle WebLogic Serverのアップグレード』の「WebLogicドメインの再構成」を参照してください。
ノート:
一部の構成では、再構成ウィザードの実行中に無効なキー・サイズの例外が発生する場合があります。再構成ウィザードの実行前に構成を確認し、必要に応じてJCE無制限強度の管轄ポリシー・ファイルをインストールすることをお薦めします。
DBベースのセキュリティ・ストアのアップグレード
複数のドメインが共有(結合)しているセキュリティ・ストアをアップグレードするには、次のタスクのいずれかを実行します。
共有している12cセキュリティ・ストアのアップグレード
この項に記載されている手順を実行し、以前の12cの共有しているセキュリティ・ストアを12c (12.2.1.3.0)にアップグレードします。
- アップグレードするストアを共有しているドメインをすべて停止します。
- Upgrade Assistantを実行し、共有しているセキュリティ・ストアのOPSSスキーマと、ソース監査データがデータベース・ストアの場合は監査スキーマをアップグレードします。
- セキュリティ・ストアを共有しているドメインそれぞれで、Fusion Middleware再構成ウィザードを実行してドメインを再構成し、OPSSデータ、ディレクトリ情報ツリーおよび製品のセキュリティ・アーティファクトをアップグレードします。
- セキュリティ・ストアを共有しているドメインをすべて再起動します。
親トピック: 共有セキュリティ・ストアのアップグレード
共有している11gセキュリティ・ストアのアップグレード
この項に記載されている手順を実行し、11.1.1.7または11.1.1.9の共有しているセキュリティ・ストアを12.2.1.xにアップグレードします。
- アップグレードするストアを共有しているドメインをすべて停止します。
- Upgrade Assistantを実行し、共有しているセキュリティ・ストアのOPSSスキーマと、ソース監査がデータベース・ストアの場合は監査スキーマをアップグレードします。
- セキュリティ・ストアを共有しているドメインのそれぞれで、「再構成」ウィザードを実行します。初めて実行すると、セキュリティ・ストアのデータおよびドメインの構成がアップグレードされます。他のドメインから実行すると、そのドメインの構成のみアップグレードされます。
- アップグレードされたドメインをすべて再起動します。
親トピック: 共有セキュリティ・ストアのアップグレード