8 セキュリティ対応クライアントの開発

セキュリティ対応クライアントを作成するためにJAAS (Java Authentication and Authorization Service)およびSecure Sockets Layer (SSL)を使用するWebLogicクライアントの開発方法を学習します。

この章の内容は次のとおりです。

• JAASを使用するクライアントの開発

• JNDI認証を使用するクライアントの開発

• SSLを使用するクライアントの開発

• JAASおよびSSLに関するシン・クライアントの制限

• SSLに関するインストール・クライアントの制限

• セキュリティのサンプル・コード

JAASを使用するクライアントの開発

JAASでは、ユーザーIDに基づくアクセス制御機能が提供されます。ほとんどのWebLogic Serverクライアントの認証方法として推奨される手法です。一般には、ファイルの読取りや書込みの認証方法として使用します。

JAAS認証を実装する方法の詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJavaクライアントでのJAAS認証の使用に関する項を参照してください。

ノート:

WLS-IIOPクライアントはJAASをサポートしていません。「JNDI認証を使用するクライアントの開発」を参照してください。

JNDI認証を使用するクライアントの開発

JNDI認証を使用した証明書認証(双方向SSL認証とも呼ばれる)の開発方法を学習します。

『WebLogicセキュリティ・サービスによるアプリケーションの開発』のJNDI認証の使い方に関する項を参照してください。

SSLを使用するクライアントの開発

WebLogic Serverは、WebLogic Serverクライアントとサーバー、Javaクライアント、Webブラウザ、および他のサーバーの間で転送されるデータを暗号化するためにSecure Sockets Layer (SSL)をサポートしています。すべてのSSLクライアントに、信頼を指定する必要があります。信頼とは、どの信頼性のある認証局がクライアントから信頼されるのかを指定するCA証明書の集合です。

SSL接続を確立するためには、RMIクライアントでサーバーのデジタル証明書を発行した認証局を信頼する必要があります。サーバーの信頼性のあるCA証明書の場所は、RMIクライアントを起動する際に指定します。

ノート:

WebLogic ServerのJava Secure Socket Extension (JSSE)との統合では、デフォルトのjavax.net.ssl.SSLContextインスタンスも、キーストア設定を定義する次のJVMシステム・プロパティのいずれも使用しません。

• javax.net.ssl.keyStore

• javax.net.ssl.keyStorePassword

• javax.net.ssl.keyStoreType

• javax.net.ssl.trustStore

• javax.net.ssl.trustStorePassword

• javax.net.ssl.trustStoreType

デフォルトでは、JDK(...\jre\lib\security\cacerts)から利用できるすべての信頼性のある認証局がRMIクライアントから信頼されます。ただし、サーバーの信頼性のあるCA証明書が、次のいずれかの信頼キーストアに格納されている場合は、そのキーストアを使用するために特定のコマンド・ライン引数を指定する必要があります。

• デモ信頼 - デモ用信頼キーストア(DemoTrust.jks)の信頼性のあるCA証明書は、WL_HOME\server\libディレクトリに格納されます。JDK cacertsキーストアの信頼性のあるCAも信頼されます。デモ信頼を使用するには、次のコマンド・ライン引数を指定します。

  -Dweblogic.security.TrustKeyStore=DemoTrust
  

  必要に応じて、次のコマンド・ライン引数を使用するとJDK cacerts信頼キーストアのパスワードを指定できます。

  -Dweblogic.security.JavaStandardTrustKeyStorePassPhrase=password 
  

  passwordは、Java標準信頼キーストアのパスワードです。このパスワードは、キーストアを作成するときに定義します。

• カスタム信頼 - 独自に作成した信頼キーストア。カスタム信頼を使用するには、次のコマンド・ライン引数を指定します。

  信頼キーストアへの完全修飾パスを指定します。

  -Dweblogic.security.CustomTrustKeyStoreFileName=filename 
  

  キーストアのタイプを指定します。

  -Dweblogic.security.CustomTrustKeyStoreType=jks 
  

  必要に応じて、キーストアの作成時に定義されたパスワードを指定します。

  -Dweblogic.security.CustomTrustKeyStorePassPhrase=password 
  

• Oracleのkeytoolユーティリティ。このユーティリティを使用すると、秘密キー、WebLogic Server用の自己署名デジタル証明書、およびCSR (証明書署名リクエスト)を取得できます。Oracleのkeytoolユーティリティの詳細は、http://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.htmlのkeytool-Keyおよび証明書管理ツールに関する項を参照してください。

  keytoolを使用したクライアント証明書の作成方法を示すチュートリアルは、『The Java EE Tutorial』の相互認証のためのクライアント証明書の作成に関する項(https://javaee.github.io/tutorial/security-advanced002.html#BNBYI)を参照してください。

ノート:

keytoolユーティリティを使用する場合、デフォルトのキー・ペア生成アルゴリズムはDSAです。WebLogic Serverでは、DSA (Digital Signature Algorithm)の使用はサポートされていません。WebLogic Serverを使用する場合には、別のキー・ペア生成および署名アルゴリズムを指定します。

SSLの実装方法の詳細は、『Oracle WebLogic Serverセキュリティの管理』のSSLの構成に関する項およびキーストアの構成に関する項を参照してください。

ノート:

JSSEは、そのSSL実装においてServer Name Indication (SNI)をサポートしますが、WebLogic ServerはSNIをサポートしません。

JAASおよびSSLに関するシン・クライアントの制限

WebLogicシン・クライアントでは、双方向SSLのみがサポートされます。双方向SSLには、SECURITY_CREDENTIALSプロパティに指定されているSSLContextが必要です。

WebLogicシン・クライアント・アプリケーションでは、次のメソッドを介したJAAS認証のみがサポートされています:

• weblogic.security.auth.login.UsernamePasswordLoginModule.login

• weblogic.security.Security.runAs

シン・クライアントでSSLContextを使用して双方向SSLがサポートされる方法を理解するために、次のサンプル・クライアント・コードを参照してください:

例8-1 SSLContextを使用したクライアント・コード

.
.
.
System.out.println("Getting initial context");
Hashtable props = new Hashtable();
props.put(Context.INITIAL_CONTEXT_FACTORY,"weblogic.jndi.WLInitialContextFactory");
props.put(Context.PROVIDER_URL,"t3s:/" + host + ":" + port);
 
props.put(Context.SECURITY_PRINCIPAL,"weblogic");
props.put(Context.SECURITY_CREDENTIALS, "password");
 
//Set the ssl properties through system property
//set the path to the keystore file (one key inside the store)
System.setProperty("javax.net.ssl.keyStore", YOUR-KEY_STORE_FILE_PATH);
//set the keystore pass phrase
System.setProperty("javax.net.ssl.keyStorePassword",YOUR_KEY_STORE_PASS_PHRASE);
 
//Set the trust store
//set the path to the trust store file
System.setProperty("javax.net.ssl.trustStore",YOUR-TRUST_STORE_FILE_PATH);
//set the trust store pass phrase
System.setProperty("javax.net.ssl.trustStorePassword",YOUR_TRUST_STORE_PASS_PHRASE);
 
Context ctx = new InitialContext(props);
.
.
.

SSLに関するインストール・クライアントの制限

サーバーの信頼性のあるCA証明書がカスタム信頼に格納されている場合、WebLogicインストール・クライアントは双方向SSLをサポートしません。クライアントは、コマンド・ラインでweblogic.security.CustomIdentityKeyStoreFileNameプロパティを使用してアイデンティティ・キーストアをロードできません。

このクライアントで双方向SSLを使用するには、次のいずれかを実行する必要があります: JDKから使用可能な信頼性のある認証局を指定するか、デモ用信頼キーストアを使用するか、Oracleのkeytoolユーティリティを使用して、秘密キー、WebLogic Server用の自己署名デジタル証明書および証明書署名リクエスト(CSR)を生成します。

セキュリティのサンプル・コード

WebLogic Server製品には、オプションで、セキュリティのサンプルが用意されています。各サンプルの説明と、サンプルをビルド、構成、実行する方法については、package-summary.htmlファイルを参照してください。

これらのサンプルは、ORACLE_HOME\wlserver\samples\server\examples\src\examples\securityディレクトリにあります。これらのサンプル・コードは、変更して再利用できます。『Oracle WebLogic Serverの理解』のサンプル・アプリケーションとコード例に関する項を参照してください。