クライアント用のSSLの構成

これらのトピックを使用して、クライアント用のSSLを構成します。

Oracle Analytics Serverの証明書を使用するには、Oracle Analytics Serverコンポーネントにアクセスするクライアントを構成する必要があります。次のコマンドを実行して証明書をエクスポートする必要があります。

<DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>

内容は次のとおりです。

• クライアント証明書のエクスポート

• BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用

• Oracle BI Job Managerの構成

• Oracleプレゼンテーション・サービスへのオンライン・カタログ・マネージャの接続

• SSL経由で通信するための管理ツールの構成

• リモート・クライアント・アクセス用のODBC DSNの構成

• SSL経由で通信するためのOracle Analytics Publisherの構成

• 複数認証プロバイダ使用時のSSLの構成

クライアント証明書のエクスポート

これらのステップを使用して、クライアント証明書のエクスポート時に使用するパスフレーズを作成します。

パスフレーズを使用して、エクスポート証明書を保護します。各クライアントを構成する場合に使用するこのパスフレーズを忘れないようにしてください。

コマンドは、Javaクライアントが使用するJavaキーストアおよび非Javaクライアントが使用する個々の証明書ファイルをエクスポートします。証明書をリモート・マシンにより簡単に移動するため、エクスポートによってすべてのファイルが単一のzipファイルにパッケージ化されます。

1. 次のコマンドを実行します。

   <DomainHome>/bitools/bin/ssl.sh exportclientcerts <exportDir>

2. プロンプトで新しいパスワードを入力します。

BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用

BIスケジューラでSSL通信が有効化されている場合は、SASchInvokeコマンドライン・ユーティリティを使用してBIスケジューラを起動できます。

SASchInvokeツールはコマンドラインのジョブ起動ツールで、これを使用して既存のOracle BIスケジューラ・ジョブを実行できます。

1. ./ssl.sh exportclientcertsコマンドを実行する際に使用したパスフレーズが単一の行に含まれる新しいテキスト・ファイルを作成します。

   このファイルに保護するための正しく制限されたファイル権限があることを確認します。通常、所有者によってのみ読取り可能です。「クライアント証明書のエクスポート」を参照してください。

2. SASchInvokeツール(<Domain_Home>/bitools/bin/saschinvoke.cmd)を探します。
3. SASchInvokeコマンドを実行するには、次の構文を使用します。

   SASchInvoke -u <Admin Name>  (-j <job id> | -i <iBot path>)  
   	([-m <machine name>[:<port>]] | -p <primaryCCS>[:<port>] -s <secondaryCCS>[:<port>])  
   	([(-r <replace parameter filename> | -a <append parameter filename>)]  | [-x <re-run instance id>]) 
   	[-l [-c <SSL certificate filename> -k <SSL certificate private key filename>] [ -w <SSL passphrase>  | -q <passphrase file>  | -y ] 
   	[-h <SSL cipher list>] 
   	[-v [-e <SSL verification depth>] -d <CA certificate directory> | -f <CA certificate file> [-t <SSL trusted peer DNs>] ] ]
   
   where:
   -a  File containing additional parameters.
   -c  File containing SSL certificate. SSL certificate filename = clientcert.pem
   -d  Certificate authority directory.
   -e  SSL certificate verification depth.
   -f  Certificate authority file.
   -h  SSL cipher list
   -i  Agent path
   -j  Job id
   -k  SSL certificate private key filename. SSL certificate private key filename = clientkey.pem
   -l  Use SSL
   -m  Machine name:port of scheduler.  Provides direct access to scheduler.
   -p  Primary cluster controller name:port.  Provides access to clustered scheduler.
   -q  Location of the passphrase file created in step 1 containing the SSL passphrase protecting SSL private key (see -k).
   -r  File containing replacement parameters.
   -s  Secondary cluster controller name:port.  Provides access to clustered scheduler.
   -t  Distinguished names of trusted peers.
   -u  Username
   -v  Verify peer
   -w  SSL passphrase protecting SSL private key (see -k).
   -x  Rerun instance id.
   -y  Interactively prompt for SSL passphrase protecting SSL private key (see -k).
   

4. このコマンドでは、管理者パスワードの入力を求められます。入力すると、SASchInvokeツールによって、BIスケジューラが、指定されたジョブを実行するようになります。

Oracle BI Job Managerの構成

SSLが有効化されているBIスケジューラに適切に接続するには、SSLを使用して通信を行うようにOracle BIジョブ・マネージャを構成する必要があります。

Oracle BIジョブ・マネージャはJavaベースのコンポーネントであり、これによって使用されるキーおよび証明書は、Javaキーストア・データベースに格納しておく必要があります。

1. 「ファイル」メニューからOracle BIジョブ・マネージャを選択し、「スケジューラ接続を開く」を選択します。

2. 「Secure Socket Layer」セクションで、「SSL」チェック・ボックスを選択します。

3. サーバー設定のクライアント証明書の検証がfalse (一方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」は空白のままにできます。これはデフォルトの設定です。

4. サーバー設定のクライアント証明書の検証がtrue (双方向SSL)である場合、「キー・ストア」および「キー・ストア・パスワード」を次のように設定する必要があります。

   • キー・ストア=<exportclientcerts_directory>\identity.jks

   • キー・ストア・パスワード =パスフレーズ。

5. セキュアなリンクを指定するには、サーバー証明書の検証を選択する必要があります。検証がなくても接続は有効ですが、サーバーを偽装する中間者攻撃を検出できません。

   1. 「サーバー証明書の確認」チェック・ボックスを選択します。この項目を選択する場合は、トラスト・ストア・ファイルを指定する必要があります。このトラスト・ストアには、スケジューラ・サーバーの証明書を検証するCAが含まれます。

   2. 「トラスト・ストア」テキスト・ボックスで、次にトラスト・ストアを設定します。

      <exportclientcerts_directory>\internaltrust.jks

   3. 「トラスト・ストア・パスワード」を「パスフレーズ」に設定します。

Oracleプレゼンテーション・サービスへのオンライン・カタログ・マネージャの接続

オンライン・カタログ・マネージャからOracleプレゼンテーション・サービスに接続するには、SSLサーバー証明書またはCA証明書のインポートが必要な場合があります。

Oracle Analytics ServerのHTTP WebサーバーがSSLで有効になっている場合は、オンライン・カタログ・マネージャがOracle Analytics Serverへの接続に失敗する可能性があります。Webサーバーから、システム変数JAVA_HOMEで指定されたJVMのJavaキーストアに、SSLサーバー証明書またはCA証明書をインポートする必要があります。

Javaトラスト・ストアのデフォルトのパスワードはchangeitです。

1. ORACLE_HOME/JAVA_HOME/jre/lib/securityにある、cacertsという名前のJavaのデフォルト・トラスト・ストアに移動します。
2. Javaのデフォルト・トラスト・ストアと同じ場所に、Webサーバーからエクスポートした証明書をコピーします。
3. 次のコマンドを実行して、デフォルト・トラスト・ストアに証明書をインポートします。

   keytool -importcert -trustcacerts -alias bicert -file $WebServerCertFilename -keystore cacerts -storetype JKS

   Webサーバー証明書ファイル$WebserverCertFilenameが、Javaのデフォルト・トラスト・ストアにbicertという別名でインポートされます。

   たとえば、Oracle WebLogic Serverのデフォルトのデモ証明書を使用する場合は、証明書へのフルパスであるORACLE_HOME/wlserver/server/lib/CertGenCA.derを使用します。

4. セキュアなHTTPS URLを使用して、カタログ・マネージャを再起動します。

SSL経由で通信するための管理ツールの構成

SSLを使用するように構成されているBIサーバーに適切に接続するには、管理ツールもSSL経由で通信するように構成する必要があります。

BIサーバーのデータ・ソースのデータ・ソース名(DSN)が必要です。

1. プレゼンテーション・サービスの管理ページに管理ユーザーとしてログインし、使用されているBIサーバーのデータ・ソースのDSNを確認します。
2. BIサーバーの「データ・ソース」フィールドを探します。

   DSNがcoreapplication_OH<DSNnumber>という形式でリストされます。

3. 管理ツールで、「ファイル」→「開く」→「オンライン」の順に選択します。
4. リストからDSNを選択します。
5. リポジトリのユーザー名およびパスワードを入力します。

   これで、管理ツールがSSLを使用してBIサーバーに接続されます。

リモート・クライアント・アクセス用のODBC DSNの構成

BIサーバーでリモート・クライアント・アクセスを有効化するためのODBC DSNを作成できます。

SSL経由で通信するためのOracle Analytics Publisherの構成

SSLを使用してインターネット経由で安全に通信できるようにOracle Analytics Publisherを構成できます。