JSSEベースSSL実装の使用

38 JSSEベースSSL実装の使用

JSSEベースSSL実装の使用方法を学習し、サポートされる暗号スイートおよびJSSEのCerticomベースの実装との違いと、Oracle WebLogic Serverに用意されているRSA JSSEの使用方法について理解します。

ノート:

次の点に注意してください。

WebLogic Serverバージョン12.1.1以降では、サポートされるSSL実装はJSSEのみになります。CerticomベースのSSL実装はなくなり、WebLogic Serverでサポートされなくなりました。
SHA-2署名証明書は、WebLogic Serverで提供されているJSSE SSL実装でサポートされます。
JSSEはそのSSL実装でServer Name Indication(SNI)をサポートしますが、WebLogic ServerはSNIをサポートしません。

この章の内容は次のとおりです。

JSSEベース実装とCerticom SSL実装とのシステム・プロパティの相違

JSSE SSL実装とCerticom SSL実装によるWebLogicセキュリティ・システム・プロパティの処理方法の違いを学習します。

表38-1 システム・プロパティの相違

システム・プロパティ	JSSEの適用性	説明
`weblogic.security.SSL.ignoreHostnameVerification`	このプロパティは引き続き機能し、JSSE統合による影響はありません。	証明書のホスト名に対してURLのホスト名を検証しません。
`weblogic.ReverseDNSAllowed`	このプロパティは引き続き機能し、JSSE統合による影響はありません。	trueに設定すると、逆引きDNSルックアップを使用して、`urlhostname`がループバック・アドレス(localhostまたは127.0.0.1、あるいはIPV6の等価物)であるかどうかを判断します。
`weblogic.security.SSL.trustedCAKeyStore`	このプロパティは引き続き機能し、JSSE統合による影響はありません。	キーストアから信頼できるCA証明書をロードします。
`weblogic.security.SSL.verbose`	このプロパティを`javax.net.debug=all`と組み合せて使用し、詳細デバッグ出力をSSL呼出しコードおよびJSSEベース実装から取得します。^脚注 1	`-Dssl.debug=true`が使用される場合の追加のSSLデバッグ用。
`ssl.debug=true`	このプロパティを`javax.net.debug=ssl`と組み合せて使用し、デバッグ出力をSSL呼出しコードおよびJSSEベース実装から取得します。^脚注1	SSLデバッグ情報をコンソールまたはログに表示します。このプロパティは、呼出し側のWebLogicコード用です。JSSEベースSSL実装には、`javax.net.debug`プロパティによってアクティブ化される独自のロギング・システムが含まれます。ノート: JSSEロギング(`javax.net.debug`)をWebLogic SSLロギング(`ssl.debug`)と別個に設定できます。
`weblogic.security.SSL.disableJsseCipherSuiteAliases=true\|false`	デフォルトは`false`です。	必要に応じて、Certicom暗号スイート名の`SunJSSE`暗号スイート名への変換を無効化します。デフォルトでは、Certicom暗号スイート名は、JSSEがSSLに使用されているとき、JSSE暗号スイート名に変換されます。 Certicom暗号スイート名とそれらの`SunJSSE`の等価物のリストは、表38-2を参照してください。
`weblogic.security.SSL.ignoreHostnameVerify`	このプロパティは引き続き機能し、JSSE統合による影響はありません。	`weblogic.security.SSL.ignoreHostnameVerification`を参照してください。
`weblogic.security.SSL.HostnameVerifier=classname`	このプロパティは引き続き機能し、JSSE統合による影響はありません。	カスタム・ホスト名検証クラスのクラス名を指定します。
`weblogic.security.SSL.protocolVersion=protocol`	このプロパティは引き続き機能し、JSSE統合による影響はありません。サポートされるプロトコルの値は、JSSEでサポートされる同等のプロトコルにマップされます。	「SSL/TLSプロトコル・バージョンの指定」を参照してください。
次のうちいずれか。 `weblogic.security.SSL.allowUnencryptedNullCipher` `SSLMBean. SetAllowUnencryptedNullCipher(boolean)` `weblogic.security.disableNullCipher`	`SunJSSE`は次の2つのNull暗号をサポートしますが、デフォルトでは有効ではありません。 `SSL_RSA_WITH_NULL_MD5` `SSL_RSA_WITH_NULL_SHA` この設定が有効な場合、この2つのNull暗号は暗号リストに追加されます。	デフォルトでは、この制御は設定されず、Null暗号の使用はサーバーで許可されません。このような構成では、SSLクライアントでNull暗号スイートを使用する場合(唯一のサポート対象暗号スイートとして`SSL_RSA_WITH_NULL_MD5`を指定)、SSLハンドシェイクは失敗します。この制御を設定した場合、Null暗号スイート(`SSL_RSA_WITH_NULL_MD5`など)が、サポートされる暗号スイートのリストにサーバーによって追加されます。SSL接続では、クライアントが求めた場合にNull暗号スイートが使用する場合があります。Null暗号スイートが使用される合、メッセージは暗号化されません。注意: 設定の意味とその結果を把握しないかぎり、本番環境ではこの制御を設定しないでください。
`weblogic.security.SSL.enforceConstraints=option`	`Off`はサポートされていませんが、他のオプションはサポートされています。	CA証明書の基本制約拡張が確実にCAとして定義されることを確認します。「証明書検証のレベルの制御」を参照してください。
`weblogic.security.SSL.allowedcertificatepolicyids`	サポートされていません。	WebLogic Serverでは、X.509証明書の証明書ポリシー拡張機能に対するサポートが制限されます。「証明書の証明書ポリシーの許可」を参照してください。
`weblogic.security.SSL.nojce`	サポートされていません。	「SSLの設定: 主なステップ」を参照してください。

^脚注1

このWebLogicシステム・プロパティは、CerticomとJSSEベースSSL実装の両方に適用できます。ただし、JSSEの場合、このプロパティはSSL呼出しコードにのみ影響を及ぼし、JSSEベース実装には影響を及ぼしません。javax.net.debugシステム・プロパティおよびJSSEベースSSL実装のデバッグの詳細は、Java Secure Socket Extension (JSSE)リファレンス・ガイドのデバッグ・ユーティリティに関する項(http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#Debug)を参照してください。

SSLのパフォーマンスに関する考慮事項

WebLogic ServerがJDK 8で構成されている場合、デフォルトのSSLのパフォーマンスが以前のリリースのWebLogic Serverより低い場合があります。このパフォーマンスの変化は、JDK 8がWebLogic ServerでJSSEベースのSSLプロバイダとともに使用される場合にデフォルトで使用される、より強力な暗号とMACアルゴリズムが原因で起こります。SSL接続にデフォルトで使用されるより強力な暗号を無効にできます。

具体的には、AESが暗号化に、SHA-2がハッシュに使用されます。(ここではこの暗号の組合せが、通常AES + SHA-2、つまり暗号+MACアルゴリズムとして指定されます。)

以前のバージョンのWebLogic Serverは、SSL接続のために、RC4とMD5の暗号の組合せ(RC4 + MD5)を使用していました。AES + SHA-2のパフォーマンスはRC4 + MD5より低下します。AES + SHA-2をお薦めしますが、より強力な暗号を制限し、SSLでそのかわりにRC4 + MD5が使用されるようにWebLogic Serverを構成できます。RC4 + MD5はAES + SHA-2より安全性が低下しますが、特定のWebLogic Server環境のセキュリティ要件によっては使用できる場合があります。

ノート:

SSL接続には、AES + SHA-2で提供されるより強力なセキュリティの使用を強くお薦めします。

RC4 + MD5を使用するようにWebLogic Serverを構成するには、次のプロパティをファイルJAVA_HOME/jre/lib/security/java.securityに追加します。

jdk.tls.disabledAlgorithms=AES, DESede, DES, SHA1, SHA

前述のプロパティによって、SSL接続のためにデフォルトで使用されるより強力な暗号化が無効になり、RC4 + MD5の使用が許可されます。

暗号スイート

WebLogic Serverでサポートされている暗号スイート、匿名暗号の使用およびWLSTを使用した暗号スイートの設定について学習します。

このトピックには次のセクションが含まれます:

サポートされる暗号スイートのリスト

JDKデフォルトJSSEプロバイダSunJSSEによってサポートされる暗号化スイート・セットは、次のURLからダウンロードできます。

http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSEProvider

サポートされる暗号スイートの後方互換性

後方互換性のために、JSSEベースのSSL実装はSunJSSEと互換性のある暗号スイートのCerticom暗号スイート名を受け入れます。Certicom暗号スイート名は、SunJSSEの対応する名前に変換され、表38-2に示すように、通常は接頭辞「TLS_」が「SSL_」で置き換えられます。

Certicom暗号スイートとの後方互換性を考慮する上で、次のことを念頭においてください。

JSSEでは、デフォルトで選択されている暗号スイートはCerticom SSLと比較して強力ですが、パフォーマンスが低くなります。通常は、使用している環境のセキュリティ・ポリシーで、使用する必要のある暗号スイートの要件を設定します。ただし、非常にセキュアな環境の場合、許容できるパフォーマンスを提供する使用可能な最強の暗号を使用することをお薦めします。
有効な暗号スイートまたはサポートされる暗号スイートが返される操作では、暗号スイートのCerticom名とSunJSSE名がどちらも返されます。(表38-1で説明されるように、weblogic.security.SSL.disableJsseCipherSuiteAliases=trueプロパティはこの動作を無効にします。)
有効化された暗号スイートを指定する操作の場合、等価なCerticom暗号スイート名またはSunJSSE名のいずれかを使用できます。Certicom暗号スイートとそれらのSunJSSEの等価物は、表38-2にリストされています。(この先、Certicom暗号スイート名は使用しないことをお薦めします。)
_DSS_暗号スイートの場合、NIST FIPS Pub 186で定義されるDSS (Digital Signature Standard)で署名された証明書が必要です。DSAは、FIPS 186で説明されているキー生成スキームです。
_anon_暗号スイートはデフォルトで無効であり、WebLogic Server管理コンソールで管理できません。「WLSTを使用した暗号スイートの設定: 一例」で説明されているように、かわりにWLSTを使用する必要があります。
Kerberos暗号スイートTLS_KRB5_***を使用するには、KDCアカウントを設定する必要があります。Kerberos要件の詳細は、Java Secure Socket Extension (JSSE)リファレンス・ガイド(http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#KRB)を参照してください。
TLS DES暗号スイートは、デフォルトでJSSEプロバイダ・レベルで無効になっています。https://java.com/en/jre-jdk-cryptoroadmap.htmlにあるOracle JREおよびJDK暗号ロードマップを参照してください。

匿名暗号の使用

次の匿名暗号は、WebLogic ServerのJSSEベースのWebLogic SSL実装でデフォルトでサポートされていません。

TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_DES_CBC_SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA

ただし前述の匿名暗号を有効にする場合は、次の引数を、WebLogic Serverを開始するJavaコマンドに追加します。

-Dweblogic.security.SSL.AllowAnonymousCipher=true

ほとんどの場合、WebLogic Serverまたはデプロイされたアプリケーションが、匿名暗号のみを使用するように構成されたSSLサーバー(LDAPサーバー、RDBMSシステムなど)へのアウトバウンド接続を行うSSLクライアントとして機能するときは、匿名暗号の有効化が必要です。一般的なユース・ケースは、非認証モードで構成されたOracle Internet Directoryインスタンスへの接続です。

ノート:

本番環境で匿名暗号を使用することはお薦めしません。

暗号スイート名の等価物

デフォルトでは、WebLogic ServerがJSSEベースのSSL実装を使用するように構成されるとき、Certicom暗号スイート名はSunJSSE暗号スイート名に変換されます。表38-2は、(削除された) WebLogic Server Certicom SSL実装とそのSunJSSEの等価物でサポートされる各暗号スイートをリストで表示します。TLS_名はCerticom暗号スイート名で、SSL_名は、等価なSunJSSEプロバイダの暗号スイート名です。

表38-2 暗号スイート名の等価物

Certicom暗号スイート	SunJSSEの等価な暗号スイート
`TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA`	`SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA`
`TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA`	`SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA`
`TLS_DHE_DSS_WITH_DES_CBC_SHA`	`SSL_DHE_DSS_WITH_DES_CBC_SHA`
`TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA`	`SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA`
`TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA`	`SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA`
`TLS_DHE_RSA_WITH_DES_CBC_SHA`	`SSL_DHE_RSA_WITH_DES_CBC_SHA`
`TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA`	`SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA`
`TLS_DH_anon_EXPORT_WITH_RC4_40_MD5`	`SSL_DH_anon_EXPORT_WITH_RC4_40_MD5`
`TLS_DH_anon_WITH_3DES_EDE_CBC_SHA`	`SSL_DH_anon_WITH_3DES_EDE_CBC_SHA`
`TLS_DH_anon_WITH_DES_CBC_SHA`	`SSL_DH_anon_WITH_DES_CBC_SHA`
`TLS_DH_anon_WITH_RC4_128_MD5`	`SSL_DH_anon_WITH_RC4_128_MD5`
`TLS_RSA_EXPORT_WITH_DES40_CBC_SHA`	`SSL_RSA_EXPORT_WITH_DES40_CBC_SHA`
`TLS_RSA_EXPORT_WITH_RC4_40_MD5`	`SSL_RSA_EXPORT_WITH_RC4_40_MD5`
`TLS_RSA_WITH_3DES_EDE_CBC_SHA`	`SSL_RSA_WITH_3DES_EDE_CBC_SHA`
`TLS_RSA_WITH_DES_CBC_SHA`	`SSL_RSA_WITH_DES_CBC_SHA`
`TLS_RSA_WITH_RC4_128_MD5`	`SSL_RSA_WITH_RC4_128_MD5`
`TLS_RSA_WITH_RC4_128_SHA`	`SSL_RSA_WITH_RC4_128_SHA`

WLSTを使用した暗号スイートの設定: サンプル

次の例は、暗号スイートSSL_RSA_WITH_RC4_128_MD5、SSL_RSA_WITH_RC4_128_SHAおよびSSL_RSA_WITH_3DES_EDE_CBC_SHAを設定するWLSTスクリプトを示しています。このスクリプトを実行すると、暗号スイートがドメイン構成(config.xmlファイル)に設定され、SSLリスナーがこの新しい暗号スイート設定で再起動されます。

ノート:

明確にするために、このWLSTサンプル・スクリプトでは、ユーザー名およびパスワードをクリア・テキストで表示しています。通常はWLSTコマンドにクリア・テキストのパスワードを入力しないでください。特に、クリア・テキストのパスワードが含まれるWLSTスクリプトをディスクに保存することは避けてください。このような状況では、暗号化されたパスワードを渡すメカニズムをかわりに使用する必要があります。WebLogic Scripting Toolの理解のWLSTのセキュリティに関する項を参照してください。

url="t3://localhost:7001"
adminUsername="weblogic"
adminPassword="password"
connect(adminUsername, adminPassword, url)
edit()
server=cmo.lookupServer('myserver')
cd('Servers')
cd('myserver')
startEdit()
cd('SSL')
cd('myserver')
ssl = server.getSSL()
ciphers = ['SSL_RSA_WITH_RC4_128_MD5', 'SSL_RSA_WITH_RC4_128_SHA', 'SSL_RSA_WITH_3DES_EDE_CBC_SHA']
ssl.setCiphersuites(ciphers)
save()
activate()
disconnect()
exit()

SSLでのNull暗号の使用に関する重要なノート

暗号スイートとは、キー交換アルゴリズム、対称暗号化アルゴリズム、およびセキュア・ハッシュ・アルゴリズムを含むSSL暗号方式の一種です。通信の整合性を保護するために使用します。たとえば、RSA_WITH_RC4_128_MD5という暗号スイートは、キー交換用にRSA、バルク暗号化用に128ビット・キーを使うRC4、およびメッセージ・ダイジェスト用にMD5を使用します。

SSLクライアントは、サーバーに接続して、SSLハンドシェイクを開始します。接続の一環として、クライアントは、サポートする暗号スイートのリストをサーバーに送信します。次に、サーバーは、クライアントが提供したリストから、クライアントおよびサーバーの双方がサポートしている暗号スイートを選択し、このセッションで使用します。

ただし、不適切に構成されたクライアントが、null暗号しか含まれない一連の暗号スイートを指定する可能性があります。null暗号では、データがクリア・テキストでネットワークに渡されます。(null暗号を含む暗号スイートの例は、SSL_RSA_WITH_NULL_MD5です。)null暗号を使用した場合、ネットワーク・パケットを傍受して、SSLメッセージを見ることができます。実質的に、SSLは使用されますが、セキュリティは実現されません。

サーバーは、クライアントとサーバーが共通して持っている暗号スイートがnull暗号のみの場合に限り、null暗号を選択します。サーバーがクライアントの暗号スイート・リストからnull暗号を選択した場合、ログには、「Null暗号を使用するセッションがSSLで確立されました。」というメッセージが含まれます。

このメッセージは、サーバーがクライアントのリストからnull暗号を選択した場合にのみ出力されます。

ノート:

SSLクライアントが、null暗号を使用してサーバーに不適切に接続している可能性が少しでもある場合は、ログ・ファイルを調べて、このメッセージがあるかどうかを確認してください。新しいクライアントの構成の際は、null暗号の使用に関して十分な注意を払い、必ず、適切に構成することをお薦めします。

以前にnull暗号を使用していなければ、既存のクライアントの構成で、突然null暗号の使用が開始されることはほぼありえません。ただし、無意識のうちに誤って構成された既存のクライアントの構成で、null暗号が使用されている場合があります。

null暗号とは関連のない、その他のSSLエラーも生じる可能性があります。どちらの場合も、対応するエラー・メッセージがログに表示されます。

「SSLの構成」を参照してください。ログ・ファイルの表示の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのログの表示と構成を参照してください。

Null暗号の使用を防ぐためのWebLogic Serverのコントロール

WebLogic Server 10g リリース3 (10.3)では、サーバーによるnull暗号の使用を防ぐためのコントロールがWebLogic Server管理コンソールに導入されました。

WebLogic Server管理コンソールで「サーバー」→「ServerName」→「構成」→「SSL」→「詳細」を選択すると表示される「非暗号化Null暗号の許可」コントロールは、null暗号化を許可できるかどうかを決定します。デフォルトでは、この制御は設定されず、Null暗号の使用はサーバーで許可されません。このような構成では、SSLクライアントでNull暗号スイートを使用する場合(唯一のサポート対象暗号スイートとしてSSL_RSA_WITH_NULL_MD5を指定)、SSLハンドシェイクは失敗します。

この制御を設定した場合、Null暗号スイート(SSL_RSA_WITH_NULL_MD5など)が、サポートされる暗号スイートのリストにサーバーによって追加されます。SSL接続では、クライアントが求めた場合にNull暗号スイートが使用する場合があります。Null暗号スイートが使用される合、メッセージは暗号化されません。

注意:

設定の意味とその結果を認識しない限り、本番環境ではこのコントロールを設定しないでください。

このコントロールはシステムの実行時パラメータweblogic.security.SSL.allowUnencryptedNullCipher、およびSSLMBeanのAllowUnencryptedNullCipher属性としても公開されます。

ノート:

TLS匿名およびNULL暗号スイートは、JDKではデフォルトで無効です。

JSSE SSLでのデバッグの使用

JSSE SSLデバッグでは、SSLハンドシェイクおよび他の操作時に発生したSSLイベントに関する詳細情報が提供されます。「SSLデバッグ」を参照してください。

JSSEベースSSL実装が有効化されているときにSSLをデバッグする場合、表38-1に示されているデバッグ・ロギング・プロパティを使用できます。ただし、一部のプロパティは、SSL呼出しコードにのみ影響を及ぼし、JSSE実装には影響しません。JSSEベースSSL実装には、javax.net.debugプロパティによってアクティブ化される独自のロギング・システムが含まれます。javax.net.debugプロパティは、出力量を超える複数の制御レベルを提供し、WebLogic SSLロギング(ssl.debug)とは別個に使用できます。

javax.net.debugプロパティの詳細は、次のURLから入手可能なJava Secure Socket Extension (JSSE)リファレンス・ガイドのデバッグ・ユーティリティに関する項を参照してください。

http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#Debug

WebLogic ServerでのRSA JSSEプロバイダの使用

RSA JSSEは、JVMを使用する場合、これに静的に登録できるサード・パーティのJSSEプロバイダです。非FIPSモードでRSA JSSEプロバイダをインストールして構成する方法を学習します。

ノート:

この項では、非FIPSモードでのRSA JSSEプロバイダの使用について説明します。RSA JSSEプロバイダは、FIPSモードの有効化で説明するようにFIPSモードで使用することもできます。

RSA JSSEプロバイダをインストールおよび構成するには、次のステップを完了させます。

次のURLより、使用しているJDKのバージョンに対応するJava Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルをダウンロードおよびインストールします。これらのJavaポリシーJARファイルは、サイズが128ビットを超える暗号キーに影響します。
```
https://www.oracle.com/java/technologies/javase-jce-all-downloads.html
```
.ZIPディストリビューションを開き、JAVA_HOME/jre/lib/セキュリティのlocal_policy.jarとUS_export_policy.jarを更新します。詳細およびインストール方法は、.ZIPディストリビューション内のREADME.txtファイルを参照してください。
ノート: JDK 8u161以降でWebLogic Serverを実行している場合は、このステップをスキップできます。JDK 8u161以降では、より強力な暗号化アルゴリズムがデフォルトで使用可能です。

テキスト・エディタを使用して、ファイルJAVA_HOME/jre/lib/security/java.securityを変更し、RSA JSSEプロバイダcom.rsa.jsse.JsseProviderをリスト内で最初のプロバイダにします。

たとえば、この更新の前に、プロバイダのリストが次のように表示されていたとします。

#
# List of providers and their preference orders (see above):
#
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=sun.security.mscapi.SunMSCAPI

RSA JSSEプロバイダを追加すると、リストは次のようになります。

#
# List of providers and their preference orders (see above):
#
security.provider.1=com.rsa.jsse.JsseProvider
security.provider.2=sun.security.provider.Sun
security.provider.3=sun.security.rsa.SunRsaSign
security.provider.4=com.sun.net.ssl.internal.ssl.Provider
security.provider.5=com.sun.crypto.provider.SunJCE
security.provider.6=sun.security.jgss.SunProvider
security.provider.7=com.sun.security.sasl.Provider
security.provider.8=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.9=sun.security.smartcardio.SunPCSC
security.provider.10=sun.security.mscapi.SunMSCAPI

つまり、後続の各プロバイダのシーケンス番号を更新する必要があるということです。たとえば、security.provider.1=sun.security.provider.Sunは、security.provider.2=sun.security.provider.Sunに変更されます(変更部分は太字で表示)。

クラスパスの先頭にSSL-J jar WL_HOME/server/lib/sslj.jarを追加します。これには、PRE_CLASSPATH環境変数を使用します。
たとえば、sslj.jarをPRE_CLASSPATH変数に設定してから、サーバー起動スクリプト(通常はstartWebLogic.cmd/sh)を呼び出すことができます。
```
set PRE_CLASSPATH=%ORACLE_HOME%\wlserver\server\lib\sslj.jar
```
RSA JSEEプロバイダへの変更を有効にするには、WebLogic Serverを再起動します。