5 SSL設定WLSTコマンド
SSL設定コマンドの概要
WLSTコマンドは、Oracle Fusion Middlewareコンポーネントに対するSSLの設定および管理に使用できます。
このタスクには、表5-1に示すコマンドを使用します。
関連項目:
WLSTシェルを起動してSSL関連コマンドを実行する方法に関する重要な説明は、『Oracle Fusion Middlewareの管理』のキーストアおよびウォレットのコマンドライン・インタフェースに関する項を参照してください。WLSTインタフェースは、他のどの場所からも起動しないでください。
ノート:
SSL設定に関するWLSTコマンドはすべて、オンライン・モードで実行する必要があります。
次のコマンドを発行すると、各コマンドのヘルプを取得できます。
help('command_name')
特定のコマンドには、インスタンス名、iasコンポーネントおよびプロセス・タイプなどのパラメータが必要です。この情報は、次のコマンドを使用すると取得できます。
state('serverName') [in WebLogic domain] nmServerStatus(serverName='name', serverType='type') [in Standalone domain]
表5-1 SSL設定のWLSTコマンド
使用するコマンド... | 目的... | 使用するWLST... |
---|---|---|
コンポーネント・リスナーのSSL属性を設定します。 |
オンライン |
|
コンポーネント・リスナーのSSL属性を表示します。 |
オンライン |
親トピック: SSL設定WLSTコマンド
SSLのプロパティ・ファイル
SSL設定では、WLST configureSSL
コマンドで使用するために、特定のプロパティ・ファイルを使用します。
このファイルには、認証タイプ、暗号値、SSLバージョンなどの目的のSSL構成を指定するためのパラメータが含まれます。
各種コンポーネントのプロパティ・ファイルを複数管理する必要がある場合は、説明的な名前を使用できます。たとえば、ohs-ssl-properties.prop
やovd-ssl-properties.prop
という名前のプロパティ・ファイルを保持できます。
プロパティ・ファイルの構造
SSLプロパティ・ファイルはすべて同じ構造です。
表5-2に、キー/値構造およびこれらのファイルの使用方法について詳細を示します。
表5-2 プロパティ・ファイルのパラメータ
キー | 必須 | Oracle HTTP Serverに使用できる値 | 使用方法 |
---|---|---|---|
SSLEnabled |
任意 |
true false |
いずれかの値 |
Ciphers |
任意 |
SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA SSL_DH_anon_WITH_RC4_128_MD5 SSL_DH_anon_WITH_DES_CBC_SHA SSL_DH_anon_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
カンマで区切られた1つ以上の値 |
SSLVersions |
任意 |
nzos_Version_3_0 nzos_Version_3_0_With_2_0_Hello nzos_Version_1_0 |
カンマで区切られた1つ以上の値 |
CertValidation |
任意 |
none crl |
いずれかの値 |
CertValidationのパス |
任意 |
file:// dir:// |
CRLファイルのパス、またはCRLファイルがあるディレクトリのパス |
KeyStore |
任意 |
有効なウォレット名 |
|
TrustStore |
任意 |
N/A |
|
AuthenticationType |
任意 |
None Server Optional Mutual |
いずれかの値 |
表5-3に、デフォルト値を示します。
表5-3 パラメータのデフォルト値
キー | Oracle HTTP Serverに対するデフォルト値 |
---|---|
SSLEnabled |
true |
Ciphers |
null |
SSLVersions |
null |
CertValidation |
none |
CertValidationのパス |
null |
KeyStore |
default |
TrustStore |
- |
認証タイプ |
Server |
ノート:
-
SSL認証なしモードでは、
DH_anon
暗号を少なくとも1つ使用する必要があります。その他すべてのモードでは、RSA
暗号を少なくとも1つ使用する必要があります。 -
KeyStore
パラメータの値は、サーバー認証、相互認証またはオプションのクライアント認証でSSLを設定している場合、指定する必要があります。 -
AES
暗号のみを指定した場合、SSLVersions
パラメータにはTLSv1
またはnzos_Version_1_0
を指定する必要があります。 -
CRLベースの検証を実行している場合、
CertValidation
パラメータの値はcrl
にする必要があり、CertValidationPath
パラメータの値はCRLファイル/ディレクトリを指す必要があります。
親トピック: SSLのプロパティ・ファイル
プロパティ・ファイルの例
次に、プロパティ・ファイルの使用を示す例をいくつか示します。
例1: 基本的なプロパティ・ファイル
SSLEnabled=true AuthenticationType=None CertValidation=none
このプロパティ・ファイルでは認証モードを指定しておらず、SSL設定時に暗号およびSSLバージョンに対してデフォルト値が使用されます。認証タイプがNone
であるため、KeystoreプロパティとTruststoreプロパティは指定されていません。他の認証タイプでは、Keystoreを指定する必要があります。
例2: 基本的なプロパティ・ファイル
SSLEnabled= AuthenticationType=None CertValidation=none
このプロパティ・ファイルは、何も値を指定せずにSSLEnabled
を明示的に指定していることを除いて、前のファイルとまったく同じです。これは、キーをまったく指定しないのと同じです。どちらの場合も、デフォルト値が使用されます。
したがって、次の3つの設定はすべて同じ意味になります。
-
設定:
SSLEnabled=true
ここでは値
true
を明示的に指定しています。 -
設定:
SSLEnabled=
ここでは値を記述していないため、
SSLEnabled
のデフォルト値(true
)が使用されます。 -
キー
SSLEnabled
がプロパティ・ファイルに存在しません。キーが存在しないため、デフォルト値(
true
)が使用されます。
例3: バージョンを指定したOracle HTTP Server用のプロパティ・ファイル
SSLEnabled=true AuthenticationType=Mutual SSLVersion=nzos_Version_3_0 CertValidation=crl CertValidationPath=file:///tmp/file.crl KeyStore=ohs1
このプロパティ・ファイルの内容は次のとおりです。
-
暗号に対してはデフォルト値
-
キーストア
-
SSLバージョン3
-
CRL検証を設定
-
相互認証モード
親トピック: SSLのプロパティ・ファイル
configureSSL
SSLの属性を設定するオンライン・コマンドを示します。
説明
このコマンドは、コンポーネント・リスナーのSSL属性を設定します。属性は、プロパティ・ファイル・フォーマット(name=value)で指定されています。プロパティ・ファイルを指定しない場合またはプロパティ・ファイルにSSLの属性が含まれていない場合、デフォルトの属性値が使用されます。
プロパティ・ファイルの形式の詳細は、「SSLのプロパティ・ファイル」を参照してください。
構文
configureSSL('instName', 'compName', 'compType', 'listener', 'filePath')
引数 | 定義 |
---|---|
instName |
アプリケーション・サーバー・インスタンスの名前を指定します。 |
compName |
コンポーネント・インスタンスの名前を指定します。 |
compType |
コンポーネントのタイプを指定します。有効な値はohsです。 |
listener |
SSLに対して設定するコンポーネント・リスナーの名前を示します。 |
filePath |
設定するSSL属性を含むプロパティ・ファイルの絶対パスを指定します。 |
例
configureSSLコマンドの使用例を示します。
次のコマンドは、リスナーlistener1
に対してアプリケーション・サーバー・インスタンスinst1
内のOracle仮想ディレクトリ・インスタンスovd1
のプロパティ・ファイル/tmp/ssl.properties
に指定したSSLの属性を設定します。
wls:/mydomain/serverConfig> configureSSL('inst1', 'ovd1', 'ovd', 'listener1','/tmp/ssl.properties')
次のコマンドは、プロパティ・ファイルを指定せずにSSLの属性を設定します。ファイルは何も指定していないので、SSL属性のデフォルト値が使用されます。
wls:/mydomain/serverConfig> configureSSL('inst1', 'ovd1', 'ovd', 'listener2')
親トピック: SSL設定WLSTコマンド
getSSL
設定済SSL属性を表示するオンライン・コマンドを示します。
説明
このコマンドは、指定したコンポーネント・リスナーの設定済のSSL属性を表示します。
構文
getSSL('instName', 'compName', 'compType', 'listener')
引数 | 定義 |
---|---|
instName |
アプリケーション・サーバー・インスタンスの名前を指定します。 |
compName |
コンポーネント・インスタンスの名前を指定します。 |
compType |
コンポーネントのタイプを指定します。有効な値はohsです。 |
listener |
コンポーネント・リスナーの名前を指定します。 |
例
次のコマンドは、リスナーsslport1
について、アプリケーション・サーバー・インスタンスinst1
内のOracle HTTP Serverインスタンスohs1
に対して設定されているSSL属性を表示します。
wls:/mydomain/serverConfig> getSSL('inst1', 'ohs1', 'ohs', 'sslport1')
親トピック: SSL設定WLSTコマンド