7.9 SSL暗号化でのカスタムCA証明書の使用

7.9.1 キーストアの作成
7.9.2 キーストアのインポート

デフォルトでは、Oracle Private Cloud ApplianceおよびOracle VM Managerは認証に自己署名されたSSL証明書を使用します。 すべてのHTTPトラフィックにSSL暗号化を提供する機能がありますが、既知で認識されている認証局(CA)から独自のカスタムの信頼できる証明書を取得してインストールすることをお薦めします。

Oracle Private Cloud ApplianceダッシュボードとOracle VM Manager webインタフェースの両方は、Oracle WebLogic Serverで稼働します。 デジタル証明書とキーストアを更新する機能は、JDKのJava KeytoolとともにOracle VM Key Toolによって提供されます。 ツールは、Oracle Private Cloud Appliance管理ノードにインストールされます。

7.9.1 キーストアの作成

サード・パーティのCA証明書がまだない場合は、新しいキーストアを作成できます。 作成するキーストアには、秘密キーのエントリが1つ含まれます。 キーストアを作成した後、その秘密キーの証明書署名リクエスト(CSR)を生成し、CSRをサードパーティのCAに送信します。 その後、CAはCSRに署名し、署名済のSSL証明書とCA証明書のコピーを返し、この証明書をキーストアにインポートします。

カスタムCA証明書を使用するキーストアの作成

  1. SSHおよびスーパーユーザー権限のあるアカウントを使用して、管理ノードにログインします。

    注意

    この手順で使用するデータ・センターのIPアドレスは例です。 

    # ssh root@10.100.1.101
root@10.100.1.101's password:
[root@ovcamn05r1 ~]#

  2. Oracle VM Manager WebLogicドメインのセキュリティ・ディレクトリに移動します。 

    # cd /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security

  3. 新規キーストアを作成します。 所有権をユーザー・グループdbaのユーザーoracleに移動します。 

    # /u01/app/oracle/java/bin/keytool -genkeypair -alias ca -keyalg RSA -keysize 2048 \
-keypass Welcome1 -storetype jks -keystore mykeystore.jks -storepass Welcome1
# chown oracle.dba mykeystore.jks

  4. 証明書署名リクエスト(CSR)を生成します。 所有権をユーザー・グループdbaのユーザーoracleに移動します。 

    # /u01/app/oracle/java/bin/keytool -certreq -alias ca -file pcakey.csr \
-keypass Welcome1 -storetype jks -keystore mykeystore.jks -storepass Welcome1
# chown oracle.dba pcakey.csr

  5. CSRファイルを、署名のために関連するサード・パーティCAに送信します。

  6. CAから返された署名済ファイルの場合、ユーザー・グループdbaのユーザーoracleに所有権を移します。 

    # chown oracle.dba ca_cert_file
# chown oracle.dba ssl_cert_file

  7. 署名付きCA証明書をキーストアにインポートします。 

    # /u01/app/oracle/java/bin/keytool -importcert -trustcacerts -noprompt -alias ca \
-file ca_cert_file -storetype jks -keystore mykeystore.jks -storepass Welcome1

  8. 署名付きSSL証明書をキーストアにインポートします。 

    # /u01/app/oracle/java/bin/keytool -importcert -trustcacerts -noprompt -alias ca \
-file ssl_cert_file -keypass Welcome1 -storetype jks -keystore mykeystore.jks \
-storepass Welcome1

  9. setsslkeyコマンドを使用して、新しいキーストアを使用するようにシステムを構成します。 

    # /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh setsslkey
Path for SSL keystore: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/mykeystore.jks
Keystore password: 
Alias of key to use as SSL key: ca
Key password: 
Updating keystore information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session5820685079094897641.log

  10. クライアント証明書のログインを構成します。 

    # /u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh \
/u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/pcakey.crt

  11. Oracle Private Cloud Appliance Dashboardにログインして、新しいSSL構成をテストします。 そこから、OVMマネージャへのログイン・ボタンを使用してOracle VM Managerに進みます。 ブラウザに、接続がセキュアであることが示されます。

7.9.2 キーストアのインポート

CA証明書とSSL証明書がすでにある場合は、SSL証明書を使用してキーストアを作成します。 その後、そのキーストアをOracle Private Cloud Applianceにインポートし、SSLキーストアとして構成できます。

注意

以前のバージョンのOracle Private Cloud Applianceソフトウェアでovmkeytool.shを使用してカスタム・キーを生成した場合、コントローラ・ソフトウェアを更新する前にキーを再生成する必要があります。 手順は、「ドキュメントID 2597439.1」のサポート・ノートを参照してください。

既存のCAおよびSSL証明書を含むキーストアのインポート

  1. SSHおよびスーパーユーザー権限のあるアカウントを使用して、管理ノードにログインします。

    注意

    この手順で使用するデータ・センターのIPアドレスは例です。 

    # ssh root@10.100.1.101
root@10.100.1.101's password:
[root@ovcamn05r1 ~]#

  2. キーストアをインポートします。 

    # /u01/app/oracle/java/bin/keytool -importkeystore -noprompt \
-srckeystore existing_keystore.jks -srcstoretype source_format -srcstorepass Welcome1
-destkeystore mykeystore.jks -deststoretype jks -deststorepass Welcome1

  3. setsslkeyコマンドを使用して、新しいキーストアを使用するようにシステムを構成します。 

    # /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh setsslkey
Path for SSL keystore: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/mykeystore.jks
Keystore password: 
Alias of key to use as SSL key: ca
Key password: 
Updating keystore information in WebLogic
Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] 
WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] 
Oracle WebLogic Server name: [AdminServer] 
WebLogic username: [weblogic] 
WebLogic password: [********] 
WLST session logged at: /tmp/wlst-session5820685079094897641.log

  4. クライアント証明書のログインを構成します。 

    # /u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh /path/to/cacert

    /path/to/cacert は、CA証明書への絶対パスです。

  5. Oracle Private Cloud Appliance Dashboardにログインして、新しいSSL構成をテストします。 そこから、OVMマネージャへのログイン・ボタンを使用してOracle VM Managerに進みます。 ブラウザに、接続がセキュアであることが示されます。

Copyright © 2013, 2020, Oracle and/or its affiliates. All rights reserved. 法律上の注意点