デフォルトでは、Oracle Private Cloud ApplianceおよびOracle VM Managerは認証に自己署名されたSSL証明書を使用します。 すべてのHTTPトラフィックにSSL暗号化を提供する機能がありますが、既知で認識されている認証局(CA)から独自のカスタムの信頼できる証明書を取得してインストールすることをお薦めします。
Oracle Private Cloud ApplianceダッシュボードとOracle VM Manager webインタフェースの両方は、Oracle WebLogic Serverで稼働します。 デジタル証明書とキーストアを更新する機能は、JDKのJava KeytoolとともにOracle VM Key Toolによって提供されます。 ツールは、Oracle Private Cloud Appliance管理ノードにインストールされます。
サード・パーティのCA証明書がまだない場合は、新しいキーストアを作成できます。 作成するキーストアには、秘密キーのエントリが1つ含まれます。 キーストアを作成した後、その秘密キーの証明書署名リクエスト(CSR)を生成し、CSRをサードパーティのCAに送信します。 その後、CAはCSRに署名し、署名済のSSL証明書とCA証明書のコピーを返し、この証明書をキーストアにインポートします。
カスタムCA証明書を使用するキーストアの作成
SSHおよびスーパーユーザー権限のあるアカウントを使用して、管理ノードにログインします。
注意この手順で使用するデータ・センターのIPアドレスは例です。
# ssh root@10.100.1.101 root@10.100.1.101's password: [root@ovcamn05r1 ~]#
Oracle VM Manager WebLogicドメインのセキュリティ・ディレクトリに移動します。
# cd /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security
新規キーストアを作成します。 所有権をユーザー・グループdbaのユーザーoracleに移動します。
# /u01/app/oracle/java/bin/keytool -genkeypair -alias
ca
-keyalgRSA
-keysize2048
\ -keypassWelcome1
-storetype jks -keystoremykeystore.jks
-storepassWelcome1
# chown oracle.dbamykeystore.jks
証明書署名リクエスト(CSR)を生成します。 所有権をユーザー・グループdbaのユーザーoracleに移動します。
# /u01/app/oracle/java/bin/keytool -certreq -alias
ca
-filepcakey.csr
\ -keypassWelcome1
-storetype jks -keystoremykeystore.jks
-storepassWelcome1
# chown oracle.dbapcakey.csr
CSRファイルを、署名のために関連するサード・パーティCAに送信します。
CAから返された署名済ファイルの場合、ユーザー・グループdbaのユーザーoracleに所有権を移します。
# chown oracle.dba
ca_cert_file
# chown oracle.dbassl_cert_file
署名付きCA証明書をキーストアにインポートします。
# /u01/app/oracle/java/bin/keytool -importcert -trustcacerts -noprompt -alias
ca
\ -fileca_cert_file
-storetype jks -keystoremykeystore.jks
-storepassWelcome1
署名付きSSL証明書をキーストアにインポートします。
# /u01/app/oracle/java/bin/keytool -importcert -trustcacerts -noprompt -alias
ca
\ -filessl_cert_file
-keypassWelcome1
-storetype jks -keystoremykeystore.jks
\ -storepassWelcome1
setsslkeyコマンドを使用して、新しいキーストアを使用するようにシステムを構成します。
# /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh setsslkey Path for SSL keystore: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/
mykeystore.jks
Keystore password: Alias of key to use as SSL key:ca
Key password: Updating keystore information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session5820685079094897641.log
クライアント証明書のログインを構成します。
# /u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh \ /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/
pcakey.crt
Oracle Private Cloud Appliance Dashboardにログインして、新しいSSL構成をテストします。 そこから、OVMマネージャへのログイン・ボタンを使用してOracle VM Managerに進みます。 ブラウザに、接続がセキュアであることが示されます。
CA証明書とSSL証明書がすでにある場合は、SSL証明書を使用してキーストアを作成します。 その後、そのキーストアをOracle Private Cloud Applianceにインポートし、SSLキーストアとして構成できます。
以前のバージョンのOracle Private Cloud Applianceソフトウェアでovmkeytool.sh
を使用してカスタム・キーを生成した場合、コントローラ・ソフトウェアを更新する前にキーを再生成する必要があります。 手順は、「ドキュメントID 2597439.1」のサポート・ノートを参照してください。
既存のCAおよびSSL証明書を含むキーストアのインポート
SSHおよびスーパーユーザー権限のあるアカウントを使用して、管理ノードにログインします。
注意この手順で使用するデータ・センターのIPアドレスは例です。
# ssh root@10.100.1.101 root@10.100.1.101's password: [root@ovcamn05r1 ~]#
キーストアをインポートします。
# /u01/app/oracle/java/bin/keytool -importkeystore -noprompt \ -srckeystore
existing_keystore.jks
-srcstoretypesource_format
-srcstorepassWelcome1
-destkeystoremykeystore.jks
-deststoretype jks -deststorepassWelcome1
setsslkeyコマンドを使用して、新しいキーストアを使用するようにシステムを構成します。
# /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh setsslkey Path for SSL keystore: /u01/app/oracle/ovm-manager-3/domains/ovm_domain/security/
mykeystore.jks
Keystore password: Alias of key to use as SSL key:ca
Key password: Updating keystore information in WebLogic Oracle MiddleWare Home (MW_HOME): [/u01/app/oracle/Middleware] WebLogic domain directory: [/u01/app/oracle/ovm-manager-3/domains/ovm_domain] Oracle WebLogic Server name: [AdminServer] WebLogic username: [weblogic] WebLogic password: [********] WLST session logged at:/tmp/wlst-session5820685079094897641.log
クライアント証明書のログインを構成します。
# /u01/app/oracle/ovm-manager-3/bin/configure_client_cert_login.sh
/path/to/cacert
は、CA証明書への絶対パスです。/path/to/cacert
Oracle Private Cloud Appliance Dashboardにログインして、新しいSSL構成をテストします。 そこから、OVMマネージャへのログイン・ボタンを使用してOracle VM Managerに進みます。 ブラウザに、接続がセキュアであることが示されます。