OAMのアップグレード・シナリオ
アップグレードされたOAM環境では、次のようなケースが発生する可能性があります。
-
WebGateがアップグレードされ、OAMサーバーがアップグレードされていない場合、これらの間のSSL通信ではMD5証明書を使用したTLSv1が使用されます。
-
OAMサーバーがアップグレードされ、WebGateがアップグレードされていない場合、これらの間のSSL通信は失敗します。OAMサーバーはMD5証明書を拒否し、TLSv1をサポートしないためです。この場合、Javaセキュリティ・ポリシーを変更して、TLSv1、TLSv1.1およびMD5を有効にする必要があります。
-
OAMサーバーとWebGateの両方がアップグレードされている場合、WebGateプロファイルを編集し、WebGateアーティファクトをWebGate構成フォルダにコピーします。OAMサーバーとWebGates間のSSL通信では、SHA-2証明書を使用したTLSv1.2が使用されます。
WebGates
OAPプロトコルのバージョン4を採用している12c PS2/R2PS3 WebGatesは、OAM 12cと連係し続けます。ただし、これらのWebGatesをアップグレードして、12cの全機能を利用する必要があります。WebGatesをアップグレードするには:
-
WebGates (OHS/OTD)を停止します
-
WebGateバイナリを12c PS3にアップグレードします
-
WebGateプロファイルを編集し、更新されたプロファイルを登録します
-
WebGateアーティファクトをWebGate構成フォルダにコピーします
-
WebGates (OHS/OTD)を起動します
マルチデータ・センター
アップグレードの結果、12cマスター・サーバーと11gクローン・サーバーの組合せ(またはその逆)になると、サーバー間のSSL通信は失敗します。これらのサーバー間の通信を有効にするには、前述のように、java.securityポリシーを変更して、TLSv1、TLSv1.1およびMD5を有効にします。
クライアント証明書
OAMサーバー12cは、JDK 8のセキュリティ要件に従っていない古いクライアント/ユーザーX.509証明書を拒否します。システムに固有のJDK 8更新のMD5およびTLS関連の制限事項については、JDK 8およびJDK 8 Updateリリースのリリース・ノートを参照してください。この動作は、JDK 8のjava.securityポリシーによって制御されます。古いクライアント/ユーザーのX.509証明書を確実に受け入れるには、前述のように、java.securityポリシーを変更して、TLSv1、TLSv1.1およびMD5を有効にします。
フェデレーション
サービス・プロバイダ(SP)またはアイデンティティ・プロバイダ(IDP)の登録を伴うシナリオでは、使用される証明書に前述のクライアント証明書と同じ制限が適用される場合があります。
トークン署名証明書が変更された場合、フェデレーション承諾は中断されます。その結果、アップグレード後に11gのセキュリティ状況が繰り越されます。この場合、前述のように旧式のアルゴリズム(TLSv1、TLSv1.1およびMD5)を有効にする必要があります。SHA-2証明書の使用はサポートされます。
OIC
フェデレーションと同様に、OAuthトークン署名証明書を変更すると、既存の信頼関係が失われます。その結果、アップグレード後に11gのセキュリティ状況が繰り越されます。この場合、前述のように旧式のアルゴリズム(TLSv1、TLSv1.1およびMD5)を有効にする必要があります。SHA-2証明書の使用はサポートされます。