BEA ホーム | 製品 | デベロッパ・センタ | support | askBEA |
![]() |
![]() |
|
![]() |
e-docs > WebLogic Integration > B2B トピック > B2B Integration セキュリティの実装 > キーストアのコンフィグレーション |
B2B Integration セキュリティの実装
|
キーストアのコンフィグレーション
ここでは、以下の内容を取り上げます。
WebLogic Integration B2B のコンフィグレーションについての一般情報は、『B2B Integration 管理ガイド』の「基本的なコンフィグレーション タスク」を参照してください。
キーストアとは
キーストアは、キーおよび証明書を保管する保護されたデータベースです。キーおよび証明書を持っており、メッセージ暗号化、デジタル署名、または SSL を使用している場合、そういったキーおよび証明書の保管にキーストアを使用し、B2B アプリケーションのような、認証または署名にキーストアが必要になる可能性のあるアプリケーションに対してこのキーストアを使用可能にしておくことをお勧めします。キーストアを作成し、使用可能にするには、キーストア プロバイダが必要です。これは、WebLogic Server 7.0 セキュリティ アーキテクチャで導入されています。
WebLogic キーストア プロバイダは、Sun Microsystems 社が Java Development Kit に提供されている参照キーストア実装を使用したコンポーネントです。この WebLogic キーストア プロバイダには、次の機能があります。
作成するキーストア
B2B コラボレーションに対して WebLogic Integration ドメインを設定するときに、次のキーストアを作成するように WebLogic キーストア プロバイダをコンフィグレーションします。
B2B コラボレーションで通常必要とされるクライアント証明書、サーバ証明書、署名証明書、および暗号化証明書などに使用する、トレーディング パートナの証明書およびプライベート キーを格納します。B2B エンジンでは、このキーストアからプライベート キーおよび証明書を取り出し、SSL、メッセージ暗号化、およびデジタル署名に使用します。JavaSoft JDK keytool ユーティリティまたは WebLogic Server ImportPrivateKey ユーティリティを使用すれば、このキーストアを作成し、作成したキーストアにプライベート キーおよび関連証明書を追加できます。
すべての信頼性のある CA (Certificate Authority : 認証局) の証明書を格納します。WebLogic Keystore キーストア プロバイダは、信頼性のある CA のキーストアを作成し、WebLogic Server では、このキーストアを、クライアント、サーバ、署名、および暗号化証明書の検証に SSL が使用する、信頼性のある CA を検索するデフォルトの場所として使用します。
キーストアの作成およびコンフィグレーション手順
B2B コラボレーションに必要なキーストアを作成およびコンフィグレーションするには、以下の手順を実行します。
この項目には、マルチノード クラスタにおけるキーストア ファイルの使い方に関する説明も含まれます。
キーストア、証明書、およびキーに関する基本情報については、以下を参照してください。
ドメインの作成
セキュリティをコンフィグレーションする WebLogic Integration B2B ドメインの作成には、BEA コンフィグレーション ウィザードを使用することをお勧めします。WebLogic Integration ドメインを作成するには、以下の手順を実行します。
http://edocs.beasys.co.jp/e-docs/platform/docs70/confgwiz/index.html
DOMAIN_HOME/config.xml
<Application Deployed="false" Name="WLIApplication" Path="<%WLI_HOME%¥lib>" TwoPhase="true">
キーストアの作成とサーバ証明書の追加
この節では、SSL を使用するときに必要なサーバ証明書およびキーを格納するためのプライベート キーストアの作成、さらに CA 証明書用の関連 CA キーストアを作成する方法について説明します。トレーディング パートナの証明書をプライベート キーストアに追加する方法については、トレーディング パートナの証明書のキーストアへの追加を参照してください。
トレーディング パートナの認証には、SSL を使用することを強くお勧めします。ただし、SSL を使用する場合、B2B ドメインの各マシンにも SSL をコンフィグレーションする必要があります。SSL をコンフィグレーションする場合、WebLogic Server のローカル インスタンスに対して証明書とプライベート キーを提供する必要があります。この証明書は、サーバ証明書と呼ばれています。ローカル サーバに対するこのサーバ証明書とプライベート キーは、キーストアに格納するようにしてください。この節では、サーバ証明書とプライベート キーをキーストアに追加する方法を説明します。
トレーディング パートナの認証および認可プロセスにおいて、当該 WebLogic Server インスタンスの SSL レイヤでは、キーストアを使用して、以下の対象を入手します。
SSL を使用する WebLogic Server のコンフィグレーションの手順については、SSL プロトコルと相互認証のコンフィグレーションを参照してください。
WebLogic Integration のセキュリティ サービスは WebLogic Server 上に構築されるため、WebLogic Integration については、現在、使用できることが保証されているのは、JKS プロバイダ ベースのキーストアに限られます。B2B コラボレーションに必要なキーストアを作成する場合、次のユーティリティのうちいずれかを使用できます。
このユーティリティについては、Sun Microsystems 社から次の URL で公開されている『keytool - Key and Certificate Management Tool』を参照してください。
http://java.sun.com/products/jdk/1.2
このユーティリティについては、次のURLにある『WebLogic Server 管理者ガイド』の「WebLogic Java ユーティリティの使い方」を参照してください。
http://edocs.beasys.co.jp/e-docs/wls/docs70/adminguide/utils.html
WebLogic Integration B2B ドメインに必要なキーストアを作成するには、以下の手順を実行します。
c:¥> cd bea¥user_projects¥b2bdomain
サーバ証明書およびプライベート キーは、SSL による認証と認可に必要です。サーバ証明書、プライベート キーは、CertGen ユーティリティを使用すれば作成できます。ただし、CertGen で作成された証明書およびキーは、テスト目的に限って使用するようにしてください。CertGen による証明書、キーは、プロダクション環境での使用は想定されていません。CertGen ユーティリティの詳細については、次のURLにある『WebLogic Server 管理者ガイド』の「WebLogic Java ユーティリティの使い方」を参照してください。
http://edocs.beasys.co.jp/e-docs/wls/docs70/adminguide/utils.html
プライベート キーストアを作成する場合の ImportPrivateKey コマンドの構文は、次のとおりです。
java utils.ImportPrivateKey keystoreName keystorepass alias keypass certfile keyfile
次の表は、ImportPrivateKey ユーティリティで使用可能な引数を示しています。
プライベート キーストアに追加するサーバ証明書およびキーごとに、ImportPrivateKey または keytool コマンドを実行します。
ルート CA キーストアを作成するには、keytool コマンドを以下の引数をつけて実行します。
keytool -import -keystore keystoreName -trustcacerts -alias aliasName -file cert_file -storepass keystorepw -noprompt
次の表は、keytool ユーティリティで使用可能な引数を示しています。
WebLogic キーストア プロバイダのコンフィグレーション
キーストアの作成とサーバ証明書の追加で作成したキーストアについて WebLogic キーストア プロバイダをコンフィグレーションするには、以下の手順を実行します。
図3-1 ナビゲーション ペインでのキーストアの選択
トレーディング パートナの証明書のキーストアへの追加
キーストアにトレーディング パートナの証明書を取り込むには、この節に示されている手順を実行します。各トレーディング パートナの証明書の詳細については、トレーディング パートナの証明書のコンフィグレーションを参照してください。
注意: キーストアに必要な証明書およびプライベート キーがすでに取り込まれている場合でも、以下のタスクを実行して WebLogic Integration リポジトリに必要な情報を取り込む必要があります。
WebLogic Integration では、トレーディング パートナの証明書をキーストアにロードするときに、信頼性のある認証局に照らしてその証明書を検証することはありません。
<Application Deployed="true" Name="WLI" Path="<%WLI_HOME%¥lib>" TwoPhase="true">
この節では、B2B コラボレーションのプライベート キーストアにデータを取り込む手順を、以下に従って示します。
ローカル トレーディング パートナの証明書およびプライベート キーの追加
ローカル トレーディング パートナは、次の証明書およびプライベート キーを必要とします。
プライベート キーストアにこれらの証明書およびプライベート キーを追加するには、この節で示される手順を実行します。
注意: ローカル トレーディング パートナに対しては、サーバ証明書はコンフィグレーションしません。暗号化証明書および署名証明書は任意ですが、クライアント証明書は相互認証の SSL を使用する場合必須です。ローカル トレーディング パートナの証明書の詳細については、トレーディング パートナの証明書のコンフィグレーションを参照してください。クライアント証明書を必要としないサーバ側、ないし一方向認証の使い方については、サーバ側認証のコンフィグレーションを参照してください。
図3-4 ローカル トレーディング パートナの [一般] コンフィグレーション ページ
図3-5 ローカル トレーディング パートナの [証明書] コンフィグレーション ページ
図3-6 ローカル トレーディング パートナに対する証明書エントリの作成
リモート トレーディング パートナの証明書の追加
リモート トレーディング パートナは、次の証明書を持っています。
注意: リモート トレーディング パートナの証明書には、プライベート キーは指定しません。暗号化証明書および署名証明書は任意ですが、クライアント証明書およびサーバ証明書は相互認証の SSL を使用する場合必須です。リモート トレーディング パートナの証明書の詳細については、トレーディング パートナの証明書のコンフィグレーションを参照してください。クライアント証明書を必要としないサーバ側、ないし一方向認証の使い方については、サーバ側認証のコンフィグレーションを参照してください。
これらの証明書をプライベート キーストアに追加するには、以下の手順を実行します。
図3-7 リモート トレーディング パートナに対する証明書エントリの作成
証明書のキーストアへのバルク ロードおよびインポート
Bulk Loader ユーティリティ(B2B Console またはコマンド ラインから利用)を使用して証明書を WebLogic Integration リポジトリにコンフィグレーションすると、トレーディング パートナの証明書は、キーストアにはインポートされません。ただし、リポジトリにはその証明書のコンフィグレーション情報が格納されていますので、B2B エンジンの起動時に証明書をキーストアにインポートできます。
B2B エンジンでキーストアにトレーディング パートナの証明書をインポートするためには、事前に startWeblogic スクリプトで自動移行を有効化する必要があります。自動移行を有効にするには、以下の手順を実行します。
%JAVA_HOME%¥bin¥java %DB_JVMARGS% -Xmx256m -classpath %WLISERVERCP% -Dbea.home=%BEA_HOME% -Dwli.bpm.server.evaluator.supportsNull=false -Dweblogic.Domain=mydomain -Dweblogic.Name=myserver -Dweblogic.management.username= -Dweblogic.management.password= -Dweblogic.ProductionModeEnabled=true -Dweblogic.management.discover=false -Djava.security.policy==%WL_HOME%¥lib¥weblogic.policy weblogic.Server -Dwli.keystore.automigrate=true
WebLogic Server がドメインで再起動されると、証明書とキーがインポートされます。
証明書およびプライベート キーのキーストアからの削除
B2B Console を使って、証明書、および該当する場合はプライベート キーを削除すると、その証明書およびプライベート キーに対する参照が WebLogic Integration リポジトリから削除されます。証明書と関連するキーのプライベート キーストアからの削除も同時に行なうことができます。
証明書を削除するには、以下の手順を実行します。
図3-8 キーストアからの証明書の削除
キーストアを使用するためのドメインのコンフィグレーション
作成したキーストアを使用するように B2B ドメインをコンフィグレーションするには、ドメインのルート ディレクトリにある startWeblogic スクリプトを修正する必要があります。このスクリプトを修正するには、以下の手順を実行します。
%JAVA_HOME%¥bin¥java %DB_JVMARGS% -Xmx256m -classpath %WLISERVERCP%
-Dbea.home=%BEA_HOME% -Dwli.bpm.server.evaluator.supportsNull=false
-Dweblogic.Domain=mydomain -Dweblogic.Name=myserver
-Dweblogic.management.username= -Dweblogic.management.password=
-Dweblogic.ProductionModeEnabled=true -Dweblogic.management.discover=false
-Djava.security.policy==%WL_HOME%¥lib¥weblogic.policy weblogic.Server
-DKey.certificate-name.password=key_password *
-Dwli.privateKeystore.password=keystore_pass
-Dwli.caKeystore.password=caKeystore_pass
注意: パスワードは、startWeblogic などのスクリプトにハードコーディングせずに、環境変数に設定することをお勧めします。環境変数に設定された場合、スクリプトでは、そのスクリプトが実行される環境からパスワードの値を取得します。
マルチノード クラスタにおけるキーストアの使用
B2B ドメインをマルチノード クラスタにデプロイする場合、以下の作業を実行する必要があります。
ドメイン内の各管理対象サーバの起動時に、管理サーバの補助により、WebLogic キーストア プロバイダのコンフィグレーションが自動的にサーバに伝播されます。
マルチノード クラスタで B2B セキュリティを管理する方法の詳細については、『WebLogic Integration ソリューションのデプロイメント』を参照してください。
![]() |
![]() |
![]() |
![]() |
||
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |