30 Oracle OPSSキーストア・サービスの構成
キーストアの構成では、WebLogic Serverのアイデンティティおよび信頼をデフォルトのJKSキーストア・タイプで構成する方法について説明します。
『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項で説明するように、OPSSキーストア・サービスでは、メッセージ・セキュリティのためにキーと証明書を管理するための代替メカニズムが提供されています。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成および保持できます。
OPSSキーストア・サービスの構成を続行する前に、キーストア・サービスを使用したキーと証明書の管理に関する項に示されているOPSSキーストア・サービスの基本的な概要をよく理解していることを前提とします。
この章の内容は次のとおりです。
OPSSキーストア・サービスの説明の記載箇所
OPSSキーストア・サービスの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスでのキーと証明書の管理に関する項を参照してください。キーストア・サービスでのキーと証明書の管理に関する項では具体的に、KSSキーストアの作成方法、管理方法、および利用可能なツールとコマンドについて説明しています。
この項では、OPSSキーストア・サービスの構成ステップを簡単に説明しますが、最も正確な情報は『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスでのキーと証明書の管理に関する項にあります。
デモIDおよびデモ信頼に対するOPSSキーストア・サービスの構成: 主なステップ
OPSSキーストア・サービスの操作は、Fusion Middleware Controlまたはキーストア・サービス・コマンドのいずれかとWLSTを使用して実行できます。デモ・アイデンティティとデモ信頼用にOPSSキーストア・サービスを構成するには、デモ・アイデンティティとデモ信頼を使用するようにWebLogic Serverインスタンスを構成する他、そのWebLogic Serverインスタンス用にSSLを構成する必要があります。
この項では、Fusion Middleware Controlのステップを説明しますが、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーと証明書の管理に関する項では両方のオプションについて説明しています。
KSSのデモIDキーストアとデモ信頼キーストアは、ドメインの作成時にすでに構成されています。これらのキーストアをさらに構成する必要はありません。
デモIDおよびデモ信頼に対してOPSSキーストア・サービスを構成するには、次のステップを実行します。
カスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主なステップ
WebLogic Serverでカスタム・アイデンティティおよび信頼にOPSSキーストア・サービスを使用するには、その前にこのサービスを構成する必要があります。Fusion Middleware Controlまたはキーストア・サービス・コマンドのいずれかとWLSTを使用して、OPSSキーストア・サービス操作を実行できます。
この項では、Fusion Middleware Controlのステップを説明しますが、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーと証明書の管理に関する項では両方のオプションについて説明しています。
カスタムIDとカスタム信頼に対してOPSSキーストア・サービスを構成するには、次のステップを実行します。
-
Fusion Middleware Controlを起動します。
-
「WebLogicドメイン」メニューから、「セキュリティ」→「キーストア」を選択します。
-
systemストライプにキーストアを作成します。-
systemストライプを選択し、「キーストアの作成」をクリックします。「キーストアの作成」ページで次のようにします。
-
このキーストアに名前を付けます。
-
保護タイプを「パスワード」に設定します。
-
パスワードを設定します。
-
「権限の付与」チェック・ボックスの選択を解除します。
-
コード・ベースURLは指定しないでください。
-
-
作成したキーストアを選択し、「管理」をクリックします。
パスワードを入力します。
-
「証明書の管理」ページで、「キー・ペアの生成」をクリックし、公開キーと秘密キーのペアを生成します。
「キー・ペアの生成」ページで次のようにします。
-
キー・ペアの別名を指定します。
-
必要に応じて、サイト固有の情報を指定します。
-
環境に適合する場合、デフォルトのRSAキー・サイズを受け入れます。RSAキーの最小サイズは2048ビットです。
-
パスワードを指定します。
-
「OK」をクリックします。
-
-
このKSSデモCA署名のキー・ペアをそのまま使用することも、Entrust、Verisignなどの信頼できるベンダーから署名証明書を取得することもできます。
信頼できるベンダーから署名証明書を取得するには、キー・ペアの別名を選択し、「CSRの生成」をクリックします。CSRの作成後、それをCAに送信します。CAは証明書リクエストを認証し、リクエストに基づいてデジタル証明書を作成します。
CA署名証明書のインポート方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した証明書または信頼できる証明書のインポートに関する項を参照してください。
-
事前構成されたOPSSキーストア・サービスの信頼ストア
kss://system/trustを使用しない場合は、独自の信頼ストアを作成する必要があります。ノート:
事前構成されたOPSSキーストア・サービスの信頼ストアを使用することをお薦めします。
独自の信頼ストアを作成するには、別のOPSSキーストア・サービスのキーストアを作成し、信頼できる証明書をインポートします。信頼できる証明書のインポート方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した証明書または信頼できる証明書のインポートに関する項を参照してください。
-
キーストアの構成に関する項で説明しているように、カスタムIDおよびカスタム信頼に対してKSSを使用するようにWebLogic Serverインスタンスを構成します。キーストアへの完全修飾パスとして、
kss://system/keystore-name形式のURIを指定します。キーストア・タイプはKSSです。 -
SSLの設定に関する項で説明しているように、WebLogic Serverインスタンスに対してSSLを構成します。
-
syncKeyStoresWLSTコマンドを実行します。『Oracle Platform Security Servicesによるアプリケーションの保護』のローカル・キーストアとセキュリティ・ストアの同期に関する項を参照してください
サーバーのSSL属性はすべて動的です。コンソールから属性を変更すると、対応するSSLサーバーまたはチャネルSSLサーバーが再起動され、新しい接続に対して新しい設定が使用されます。古い接続は引き続き古い構成で実行されます。すべてのSSL接続が、指定された構成に従って動作するようにするには、WebLogic Serverを再起動する必要があります。