27 SSLの構成
ノート:
Oracle WebCenter Portalでは、Jive機能(お知らせおよびディスカッション)のサポートが非推奨となりました。リリース12c (12.2.1.4.0)より前のリリースからアップグレードした場合、アップグレードしたインスタンスでJive機能は使用可能なままですが、これらの機能にOracleサポートは提供されません。次のリリースでは、アップグレードしたインスタンスでもJive機能は使用できなくなります。
権限:
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
ノート:
次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。
-
BPELサーバー - Oracle BPM Worklist
-
WSRPプロデューサ
-
ディスカッションおよびお知らせ
トピック:
SSLを使用したブラウザからWebCenter Portalへの接続の保護
この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。
ノート:
デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられます。WC_Portal
をサーバーとして、およびOPSSをキーストア・サービスとして使用します。
WebLogic Server環境でのSSL構成の詳細およびステップは、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。
OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSS
タイプのキーストアを作成して管理します。
SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次のステップで構成されます。
カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle WebLogic Serverセキュリティの管理』のカスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主なステップに関する項を参照してください。
次のステップでは、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。
IDキーストアおよび信頼キーストアを構成するには:
SSL接続の構成
SSL接続の構成の概要は、『Oracle WebLogic Serverセキュリティの管理』のアウトバウンド双方向SSL接続のクライアント証明書の指定に関する項を参照してください。
SSL接続を構成するには:
SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護
Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。
SSLを使用したブラウザからディスカッションへの接続の保護
SSLを使用したブラウザからディスカッションへの接続の保護については、次の各項で説明しています。
ディスカッションのカスタム・キーストアの作成
ディスカッションへの接続を保護するには、まず、次のステップに従ってカスタム・キーストアを生成します。
-
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
-
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
-
新しいキーストアを作成します。
ノート:
システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要がありますsvc.createKeyStore(appStripe='system', name='collab_wls', password='password', permission=false)
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアが作成されるストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
permission = キーストアが権限によってのみ保護される場合はtrue、権限とパスワードの両方によって保護される場合はfalse
-
-
keytoolを使用して、キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='collab_wls', password='password', dn='cn=collabidentity,dc=example,dc=com', keysize='2048', alias='collab_wls', keypassword='welcome1')
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キー・ペアが生成されるキーストアの名前
-
password = キーストアのパスワード
-
dn = キー・ペアをラップする証明書の識別名
-
keysize = キーのサイズ
-
alias = キー・ペア・エントリの別名
-
keypassword = キーのパスワード
-
-
オプションで、キーストアとキーストア内の別名をリストします。
svc.listKeyStores(appStripe='*')
これにより、
system/collab_wls
がリストされます。ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアをリストするストライプの名前
次のように入力します。svc.listKeyStoreAliases(appStripe="system",name="collab_wls", password="password", type="*")
これにより、別名
collab_wls
がリストされますここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
type = 別名をリストするエントリのタイプ。有効な値は、
Certificate
、TrustedCertificate
、SecretKey
または*
です
-
-
syncKeyStores
を実行します。syncKeyStores(appStripe='system', keystoreFormat='KSS')
ディスカッションのアイデンティティ・キーストアと信頼キーストアの構成
次のステップでは、WebCenter Collaborationサーバーに、カスタム・アイデンティティ・キーストアとカスタム信頼キーストアを構成します。
ディスカッションのアイデンティティ・キーストアおよび信頼キーストアを構成するには:
SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護
SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。
ポートレット・プロデューサのカスタム・キーストアの作成
KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次のステップが必要です。
-
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
-
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
-
新しいキーストアを作成します。
ノート:
システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアが作成されるストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)
-
-
キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キー・ペアが生成されるキーストアの名前
-
password = キーストアのパスワード
-
dn = キー・ペアをラップする証明書の識別名
-
keysize = キーのサイズ
-
alias = キー・ペア・エントリの別名
-
keypassword = キーのパスワード
-
-
オプションで、キーストアとキーストア内の別名をリストします。
これは、
system/portlet_wls
をリストします:svc.listKeyStores(appStripe='*')
-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアをリストするストライプの名前
これは、エイリアスportlet_wls
をリストします:svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")
-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
type = 別名をリストするエントリのタイプ。有効な値は、
Certificate
、TrustedCertificate
、SecretKey
または*
です
-
-
syncKeyStores
を実行します。syncKeyStores(appStripe='system', keystoreFormat='KSS')
ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成
次のステップでは、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portlet
など)。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成するには:
-
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。
-
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
-
アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(
WC_Portlet
など)をクリックします。ポートレット・サーバーの「設定」ペインが表示されます。
-
「構成」タブ、「キーストア」サブタブの順に開きます。
「キーストア」ペインが表示されます。
-
「変更」をクリックします。
-
「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします
-
「アイデンティティ」の下で、
kss://system/portlet_wls
(「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。 -
「カスタム・アイデンティティ・キーストアのタイプ」として、
KSS
と入力します。 -
カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(
welcome1
など)。 -
「信頼」の下で、「カスタム信頼キーストア」を
kss://system/trust
に設定し、「保存」をクリックします。 -
「カスタム信頼キーストアのタイプ」として
KSS
を入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。 -
「SSL」タブを開きます。
-
秘密キーの別名(
portlet_wls
など)を入力し、秘密キーのパスワード(welcome1
など)を設定します。 -
「保存」をクリックして、エントリを保存します。
ポートレット・プロデューサのSSL接続の構成
SSLを構成するには、『Oracle WebLogic Serverセキュリティの管理』ガイドのWebLogic ServerにおけるSSLの構成の概要に関する項を参照してください。
ポートレット・サーバーのSSL接続を構成するには:
WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護
SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うためのステップは、「アイデンティティ・ストアの構成」を参照してください。
Oracle WebLogicサーバーにとってCA
が不明である場合は、次の各項で説明している追加ステップを完了します。
SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護
メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次のステップに従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。
SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護するには:
SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護
この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。
ノート:
SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。
SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護するには:
SSLを使用したWebCenter PortalからContent Serverへの接続の保護
ソケットSSLのためのコンテンツ・サーバーSSLの構成
コンテンツ・サーバーのソケットSSLを構成するには、『Oracle WebCenter Contentでの開発』のSSLの構成に関する項を参照してください。
serverPort
keystoreLocation
- client_keystorekeystorePassword
- idcidcprivateKeyAlias
- SecureClientprivateKeyPassword
- idcidc
WebCenter Portalでのコンテンツ・サーバーSSL接続の作成
ソケットSSL接続の作成
WebCenter Portalでのコンテンツ・サーバー接続の作成
- コンテンツ・サーバー接続を作成するには、次のことを実行します:
createContentServerConnection (appName='webcenter', name='dev-ucm', socketType='socketssl', serverHost='100.111.149.197', serverPort='3333', isPrimary='true', keystoreLocation='/scratch/patch-jars/ucm_keystore/client_keystore', keystorePassword='idcidc', privateKeyAlias='SecureClient', privateKeyPassword='idcidc') setContentServerProperties(appName='webcenter', portalServerIdentifier='/WCP01', securityGroup='WCP01', adminUserName='weblogic')
ノート:
serverPort
はSSLポートである必要があります。キーストア構成の詳細は、「ソケットSSLのためのコンテンツ・サーバーSSLの構成」を参照してください。WLSTコマンドを使用してコンテンツ・サーバー接続を作成するときに、前のステップでメモした値(キーストアや別名など)を使用します。createContentServerConnectionの詳細は、『WebCenter WLSTコマンド・リファレンス』のWebCenter PortalカスタムWLSTコマンドに関する項および「Oracle WebCenter Content Serverへの接続の管理」を参照してください。
- ポータル・サーバーを再起動します。
- ここで、WebCenter Content RUIにアクセスし、文書化されたユースケースをテストします。
JAX-WS SSL接続の作成
- Firefoxブラウザでコンテンツ・サーバーのURL:
https://host:port/cs
を入力します。URLにアクセスするときに、証明書が生成され、ブラウザに保存されます。 - 証明書をダウンロードし、.PEMまたは.CRT形式で保存します。
- 次のコマンドを使用して、
JDK_HOME
内のcacertsに証明書をインポートします。keytool -importcert -alias collab_cert –file /filepath/sslcertificate/contentcert.crt –keystore..../oracle_common/jdk/jre/lib/security/cacerts
- パスワードを求められたら
changeit
を入力し、YES
を入力します。
WebCenter Portalでのコンテンツ・サーバー接続の作成
- コンテンツ・サーバー接続を作成するには、次のことを実行します:
createContentServerConnection(appName='webcenter', name='dev-ucm', socketType='jaxws', url='https://<ucm_host>:<sslPort>/idcnativews', clientSecurityPolicy='oracle/wss10_saml_token_client_policy', adminUsername='weblogic',isPrimary='true') setContentServerProperties(appName='webcenter', portalServerIdentifier='/WCP01', securityGroup='WCP01', adminUserName='weblogic')
ノート:
URLは、WebCenter Contentのhttps URLである必要があります。 - ポータル・サーバーを再起動します。
- ここで、WebCenter Content RUIにアクセスし、文書化されたユースケースをテストします。