セキュアな通信の構成

この項では、次の項目について説明します。

• セキュアな通信について

• Oracle Management Serviceのセキュリティの有効化

• Oracle Management Agentの保護

• エージェント登録パスワードの管理

• 管理サービスへのHTTPアクセスの制限

• セキュアな管理リポジトリおよびターゲット・データベースに接続するための管理サービスおよびエージェントの構成

• カスタム構成

• セキュアな通信設定ツール

• サード・パーティの証明書の構成

セキュアな通信について

Enterprise Manager Framework Securityによって、Enterprise Managerコンポーネント間の安全な通信チャネルが実現します。たとえば、Framework SecurityではOracle Management Serviceとその管理エージェントの間の接続が保護されます。またセキュアな通信では、盗聴などのネットワークの脅威から保護し、公開キー暗号などの技術を使用して機密保護および整合性を確保します。

Enterprise Manager Framework Securityは、次のようなEnterprise Managerコンポーネント間のセキュアな接続を実装します。

• 管理サービスと管理エージェントの間の通信のための、署名されたデジタル証明書も含む、HTTPSおよび公開キー・インフラストラクチャ(PKI)コンポーネント。

• 管理サービスと管理リポジトリの間の通信のためのOracle Advanced Security。

Oracle Management Serviceのセキュリティの有効化

管理サービスに対してEnterprise Manager Framework Securityを有効にするには、管理サービスのホーム・ディレクトリの次のサブディレクトリにあるemctl secure omsユーティリティを使用します。

<OMS_ORACLE_HOME>/bin

emctl secure omsユーティリティでは次の処理が実行されます。

• 管理リポジトリ内にルート・キーを生成します。ルート・キーは、管理サービスおよび管理エージェントに対する一意のデジタル証明書を含むOracle Walletの配布時に使用されます。Oracle Walletは、Oracle Clientおよびサーバーへのセキュリティ資格証明の保存に使用されます。Oracle Walletの詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

• WebTier内にある既存のHTTPS構成とは別に、管理サービスと管理エージェントの間のHTTPSチャネルが有効になるようにWebTierを変更します。

• Enterprise Manager Framework Securityを使用した管理エージェントからのリクエストを管理サービスが受諾できるようにします。

emctl secure omsユーティリティを実行するには、エージェント登録パスワードを最初に選択する必要があります。エージェント登録パスワードは、Oracle Management Agentの今後のインストールでデータをEnterprise Managerインストールにロードする権限があることを検証するために使用されます。

Oracle Management Serviceに対してEnterprise Manager Framework Securityを有効にするには、次のようにします。

1. 次のコマンドを使用して管理サービス、WebTierを停止します。

   <OMS_ORACLE_HOME>/bin/emctl stop oms
   

2. 次のコマンドを入力します。

   <OMS_ORACLE_HOME>/bin/emctl secure oms
   

3. Enterprise Managerのルート・パスワードを入力するよう求められます。SYSMANのパスワードを入力します。
4. エージェント登録パスワードを指定するよう求められます。このパスワードは、管理サービスを使用してセキュアな通信を確立しようとする管理エージェントに必要なパスワードです。管理サービスのエージェント登録パスワードを指定します。
5. OMSを再起動します。
6. 管理サービスが再起動した後、HTTPSプロトコルを使用して次のセキュアなURLを参照し、管理サービスへの保護された接続をテストします。

   https://hostname.domain:https_console_port/em
   

   ノート: Enterprise ManagerコンソールURLは、"emctl status oms -details"コマンドを実行して確認できます。

   たとえば:

   $ emctl status oms -details
   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
   Enter Enterprise Manager Root (SYSMAN) Password :
   ...
   Console URL: https://omshost.example.com:5416/em
   

   管理サービスのセキュリティが正常に有効化された場合、ブラウザにEnterprise Managerのログイン・ページが表示されます。

例2-3 emctl secure omsコマンドの出力例

$ emctl secure oms
Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
Securing OMS... Started.
Enter Enterprise Manager Root (SYSMAN) Password :
Enter Agent Registration Password :
Securing OMS... Successful
Restart OMS

サーバー・ロード・バランサを使用するOMSの構成

サーバー・ロード・バランサ(SLB)の裏で使用可能な管理サービスをデプロイする場合は、その管理サービスが使用可能なDNSホスト名に対して特別の注意が必要です。管理サービスは、test01.example.comなどの特定のローカル・ホストで稼働している場合もありますが、管理エージェントは、サーバー・ロード・バランサに割り当てられているホスト名を使用して管理サービスにアクセスします。たとえば、oracleoms.example.comです。

このため、管理サービスに対してEnterprise Manager Framework Securityを有効化する場合は、サーバー・ロード・バランサのホスト名が、SSL通信のために管理サービスによって使用される証明書に埋め込まれていることを確認してください。これは、emctl secure omsを使用し、次のように、追加の-hostパラメータを使用してホスト名を指定することにより行うことができます。

ノート:

コマンドを実行する前に、まずSLBのホスト名、ポートを指定し、SLBが構成されていることを確認する必要があります。

• 次のコマンドを入力して管理サービス上でセキュリティを有効化します。

  emctl secure oms -host <slb_hostname> [-slb_console_port <slb UI port>] [-slb_port <slb upload port>] [other params]

  各OMSでこのコマンドを実行します。'emctl secure oms'コマンドの実行後、各OMSを再起動する必要があります。

• サーバー・ロード・バランサ上に仮想サーバーとプールを作成します。

• 次のURLを使用してコンソールにアクセスできることを検証します。

  https://slb_hostname:slb_console_port/em

• 次のコマンドを使用して、サーバー・ロード・バランサでエージェントを再度保護します。

  emctl secure agent -emdWalletSrcUrl <SLB Upload or UI URL>

  たとえば:

  $ <AGENT_HOME>/bin/emctl secure agent -emdWalletSrcUrl https://slb_hostname:slb_upload_port/em

1つのロード・バランサをアップロード操作用に、もう1つをコンソール操作用に指定して、Oracle Enterprise Managerを構成できます。それには、両方のSLBのプールをそれぞれのポートで構成し、次のコマンドを使用して、コンソール操作とアップロード操作に対して個別にOMSを保護する必要があります。

$emctl secure oms -host <slb_hostname>[-slb_port <slb upload port>] [other params] $emctl secure console -host <slb_hostname> other params

サーバー・ロード・バランサの構成の削除

以前、emctl secure oms -hostを使用してSLBを含めてOMSを構成したが、その後にSLB構成を削除する場合、次のコマンドを実行します。

emctl secure oms -no_slb

SLBホスト名を使用したセキュアなエージェントがある場合、OMSホスト名を使用して、それらのエージェントを再保護する必要があります。エージェントを再保護するには、次のコマンドを実行します。

emctl secure agent -emdWalletSrcUrl <Upload URL>

新しい認証局の作成

現在の認証局(CA)の有効期限が切れる場合や、キーの強度や署名アルゴリズムを変更する場合は、新しいCAを作成する必要があります。各CAに一意の識別子が割り当てられます。たとえば、インストール時に作成されたCAの識別子はID 1となり、以降のCAの識別子はID 2、ID 3といった具合になります。最後に作成されたCAが常にアクティブであり、OMSとエージェントの証明書を発行します。

1. OMSマシンのいずれかでemctl secure createcaコマンドを実行します。
2. 使用している環境に複数のOMSがある場合、emctl secure createcaが実行されたマシンから<EM_Instance_Home>/sysman/config/b64LocalCertificate.txtを他のすべてのOMSマシンの同じ場所(つまり、<EM_Instance_Home>/sysman/config/b64LocalCertificate.txt)にコピーします。
3. すべてのOMSを再起動します。

例2-4 新しい認証局の作成

emctl secure createca [-host <hostname>] [-key_strength <strength>] [-cert_validity <validity>] [-root_dc <root_dc>] [-root_country <root_country>] [-root_email <root_email>] [-root_state <root_state>] [-root_loc <root_loc>] [-root_org <root_org>] [-root_unit <root_unit>] [-sign_alg <md5|sha1|sha256|sha384|sha512>] [-cert_validity <validity>]
Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
Creating CA... Started.
Successfully created CA with ID 2

例2-5 認証局に関する情報の表示

emcli get_ca_info -ca_id="1;2" -details
Info about CA with ID: 1
CA is not configured
DN: CN=myhost.example.com, C=US
Serial# : 3423643907115516586
Valid From: Tue Mar 16 11:06:20 PDT 2011
Valid Till: Sat Mar 14 11:06:20 PDT 2020
Number of Agents registered with CA ID 1 is 1
myhost.example.com:3872

Info about CA with ID: 2
CA is configured
DN: CN=myhost.example.com, C=US, ST=CA
Serial# : 1182646629511862286
Valid From: Fri Mar 19 05:17:15 PDT 2011
Valid Till: Tue Mar 17 05:17:15 PDT 2020
There are no Agents registered with CA ID 2

管理資格証明ウォレット

WebLogic管理者とノード・マネージャのパスワードは、管理資格証明ウォレットに保存されます。これは、<MW_HOME>/sysman/config/adminCredsWalletディレクトリにあります。管理資格証明ウォレットを再作成するには、管理サービスが実行している各マシンで次のコマンドを実行します。

emctl secure create_admin_creds_wallet [-admin_pwd <pwd>] [-nodemgr_pwd <pwd>]

セキュリティ・ステータスとOMSポート情報の表示

セキュリティ・ステータスとOMSポート情報を表示するには、次のコマンドを使用します。

例2-6 emctl status oms -details

Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
Console Server Host : test01.example.com
HTTP Console Port : 7802
HTTPS Console Port : 5416
HTTP Upload Port : 7654
HTTPS Upload Port : 4473
EM Instance Home : <MW_HOME>/oracle/work/em/EMGC_OMS1
OMS Log Directory Location : <MW_HOME>/oracle/work/em/EMGC_OMS1/sysman/log
OMS is not configured with SLB or virtual hostname
Agent Upload is locked.
OMS Console is unlocked.
Active CA ID: 2
Console URL: https://test01.example.com:5416/em
Upload URL: https://test01.example.com:4473/empbs/upload
 
WLS Domain Information
Domain Name : EMGC_DOMAIN
Admin Server Host : test01.example.com
Admin Server HTTPS Port: 7022
Admin Server is RUNNING
 
Managed Server Information
Managed Server Instance Name: EMGC_OMS1
Managed Server Instance Host: test01.example.com
WebTier is Up
Oracle Management Server is Up

Transport Layer Securityの構成

Oracle Management ServiceはTLSv1.2モードで構成できます。デフォルトでは、3つのモードすべてが有効になっています。1つまたは2つのモードのみを使用するようにOMSを構成するには、次を実行します。

1. 次のコマンドを入力してOMSを停止します。

   <OMS_ORACLE_HOME>/bin/emctl stop oms
   

2. 次のいずれかに類似するコマンドを入力します。

   OMSを1つの特定モードに制限するには、次を入力します。

   emctl secure -protocol "TLSv1"
   

   複数のモードを有効にするには、スペース区切りリストを使用します。たとえば:

   emctl secure oms -protocol "TLSv1.2"
   

3. 次のコマンドでOMSを再起動します。

   <OMS_ORACLE_HOME>/bin/emctl start oms
   

Oracle Management Agentの保護

ホストに管理エージェントをインストールする際は、管理エージェントによって使用される管理サービスを指定する必要があります。管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、管理エージェントのホーム・ディレクトリの次のディレクトリにあるemctl secure agentユーティリティを使用します。

<AGENT_INSTANCE_HOME>/bin (UNIX)
<AGENT_INSTANCE_HOME>\bin (Windows)

emctl secure agentユーティリティでは次の処理が実行されます。

• 管理エージェントに対する一意のデジタル証明書を含むOracle Walletを管理サービスから取得します。この証明書は、管理エージェントがセキュアな管理サービスとSSL通信を行うために必要です。

• 管理サービスで登録されている管理エージェントのエージェント・キーを取得します。

• ネットワーク上でHTTPS経由で使用可能となるように管理エージェントを構成し、それによって管理サービスとのすべての通信で管理サービスのHTTPSアップロードURLを使用するように構成します。

管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、次のようにします。

1. 管理サービスと管理リポジトリを稼働状態にします。
2. 管理エージェントを停止します。

   emctl stop agent
   

3. 次のコマンドを入力します。

   emctl secure agent
   

   emctl secure agent ユーティリティはエージェント登録パスワードを要求し、そのパスワードを管理サービスに対して認証して、Enterprise Manager Framework Securityを使用するように管理エージェントを再構成します。

   例2-7は、emctl secure agentユーティリティの出力例を示します。

4. 管理エージェントを再起動します。

   emctl start agent
   

5. 管理エージェントのホームページをチェックして、管理エージェントが保護されていることを確認します。

   ノート:

   また、emctl status agent -secureコマンドを実行するか、emctl status agentコマンドの出力に含まれるエージェントおよびリポジトリのHTTPS URLをチェックすることによっても、管理エージェントが保護されているかどうかを確認できます。

   管理エージェントのホームページの「セキュア・アップロード」フィールドに、Enterprise Manager Framework Securityが管理エージェントに対して有効になっているかどうかが示されます。

例2-7 emctl secure agentユーティリティの出力例

emctl secure agent
Oracle Enterprise Manager 24ai Release 1.
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
Securing agent...   Started
Securing agent...   Successful.

例2-8 emctl status agent secureコマンドの出力例

$ emctl status agent -secure
Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
Checking the security status of the Agent at location set in <MW_HOME>/oracle/work/agentStateDir/sysman/config/emd.properties... Done.
Agent is secure at HTTPS Port 1838.
Checking the security status of the OMS at http://test01.example.com:7654/empbs/upload/... Done.
OMS is secure on HTTPS Port 4473

エージェント登録パスワードの管理

Enterprise Managerでは、Oracle Management AgentのインストールがデータをOracle Management Serviceにロードする権限を持つことを検証するために、エージェント登録パスワードを使用します。

エージェント登録パスワードは、Oracle Management Serviceに対してセキュリティが有効な場合、インストール時に作成されます。Enterprise Managerコンソールから登録パスワードを直接追加、編集、削除できます。

ノート:

新しいエージェントがOMSに登録されないようにするには、すべての登録パスワードを削除してください。

Enterprise Managerコンソールを使用したエージェント登録パスワードの管理

Enterprise Managerコンソールを使用して既存の登録パスワードの管理、または追加の登録パスワードの作成ができます。

1. 「設定」メニューから、「セキュリティ」、「登録パスワード」の順に選択します。
2. 登録パスワード・ページが表示されます。インストール中に指定された登録パスワードは、「登録パスワード」表に<I初期エージェント登録パスワード>の記載とともに表示されます。
3. 「登録パスワード」ページを使用して登録パスワードの変更、追加の登録パスワードの作成、または現在の管理リポジトリに関連付けられている登録パスワードの削除を行います。

「登録パスワード」ページで管理エージェント登録パスワードを作成または編集するとき、パスワードを永続的にして複数の管理エージェントで使用するのか、1回のみまたは事前定義した期間のみ使用するのかを選択できます。

たとえば、管理者が特定のホストに管理エージェントをインストールすることを要求した場合、管理者が1つの管理エージェントをインストールおよび構成するために使用する、1回のみのパスワードを作成できます。

このケースとは逆に、期限切れになり管理者が新規パスワードを求めることが必要になるまで、次の2週間ずっと管理者が使用できる永続的なパスワードを作成することもできます。

emctlを使用した新しいエージェント登録パスワードの追加

新しいエージェント登録パスワードを追加するには、管理サービスがインストールされているマシン上で次のemctlコマンドを使用します。

emctl secure setpwd [sysman pwd] [new registration pwd]

emctl secure setpwdコマンドを使用するには、エージェント登録パスワードの追加を認証するため、Enterprise Managerのスーパー管理者ユーザーであるsysmanのパスワードが必要になります。

他のセキュリティ・パスワードと同様に、定期的かつ頻繁にエージェント登録パスワードを変更し、パスワードが広く知られることのないようにしてください。

管理サービスへのHTTPアクセスの制限

管理サービスHTTPSチャネルを使用するセキュアな管理エージェント・インストールのみがデータを管理リポジトリにアップロードでき、Enterprise ManagerコンソールがHTTPSを介してのみアクセス可能であることが重要です。

管理エージェントがHTTPS経由でのみ管理サービスにデータをアップロードできるようにアクセスを制限するには、次のようにします。

1. 次のコマンドを使用して管理サービス、WebTierを停止します。

   cd <OMS_ORACLE_HOME>/bin
   emctl stop oms
   

2. 次のコマンドを入力して、管理エージェントがHTTP経由で管理サービスにデータをアップロードできないようにします。

   emctl secure lock -upload

   コンソールをロックしてコンソールへのHTTPアクセスを防ぐには、次のコマンドを入力します。

   emctl secure lock -console
   

   両方ともロックするには次のコマンドのいずれかを入力します。

   emctl secure lock or 
   emctl secure lock -upload -console
   

   管理サービス上でセキュリティを有効化する一方で、コンソール・アクセスとエージェントからのアップロードの両方をロックするには、次のコマンドを入力します。

   emctl secure oms -lock [other options]
   

3. 管理サービス、WebTier、およびその他のアプリケーション・サーバー・コンポーネントを再起動します。

   emctl start oms
   

4. HTTPプロトコルを使用してOMSアップロードURLにアクセスできないことを確認します。

   たとえば、次のURLにナビゲートします。

   http://hostname.domain:4889/empbs/upload
   

   次のメッセージと同様のエラー・メッセージが返されます。

   Forbidden
   You are not authorised to access this resource on the server.
   

   ノート: HTTPアップロード・ポート番号はemctl status oms -detailsコマンドを使用して確認できます。「HTTPアップロード・ポート」の検索

5. HTTPSプロトコルを使用してOMSアップロードURLにアクセスできることを確認します。

   たとえば、次のURLにナビゲートします。

   https://hostname.domain:4888/empbs/upload
   

   次のメッセージが返されますが、これは管理エージェントを保護するためにセキュアなアップロード・ポートが使用可能であることを示すものです。

   Http XML File receiver
   Http Recceiver Servlet active!
   

例2-9 emctl secure lockコマンドの出力例

emctl secure lock
Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
OMS Console is locked. Access the console over HTTPS ports.
Agent Upload is locked. Agents must be secure and upload over HTTPS port.
Restart OMS

例2-10 emctl secure unlockコマンドの出力例

emctl secure unlock
Oracle Enterprise Manager 24ai Release 1
Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
OMS Console is unlocked. HTTP ports too can be used to access console.
Agent Upload is unlocked. Unsecure Agents may upload over HTTP.
Restart OMS

管理サービスがセキュアではない管理エージェントからのアップロードを受け取れるようにするには、次のコマンドを使用します。

emctl secure unlock -upload

ノート:

• 'secure unlock'を実行する前にOMSを停止し、その後再起動する必要があります。

• コンソールをロック解除してコンソールへのHTTPアクセスを許可するには、次のコマンドを入力します。

  emctl secure unlock -console
  

• 両方ともロック解除するには次のコマンドのいずれかを入力します。

  emctl secure unlock
  emctl secure unlock -console -upload

ノート:

Oracle Management Serviceは、デフォルトで(コンソールとアップロードの両方が)ロックされます。

セキュアな管理リポジトリおよびターゲット・データベースに接続するための管理サービスおよびエージェントの構成

トピック:

• 管理リポジトリに対するOracle Advanced Securityの有効化
• OMSが管理リポジトリに接続するためのOracle Advanced Securityの有効化
• 管理エージェントがターゲット・データベースに接続するためのOracle Advanced Securityの有効化
• OMSがターゲット・データベースに接続するためのOracle Advanced Securityの有効化

管理リポジトリに対するOracle Advanced Securityの有効化

データベースが保護され、暗号化されたデータのみがデータベース・サーバーとその他のソースの間で転送されることを確実にするために、使用しているデータベース・バージョンで使用可能なセキュリティに関するドキュメントを確認します。Oracle Databaseドキュメントに移動し、ドロップダウンからデータベース・バージョンを選択し、「セキュリティ」セクションをクリックしてデータベース・セキュリティ・ガイドを見つけます。ネットワーク経由で送信されるデータを暗号化するようにリポジトリ・データベースを構成します。

次の手順では、管理リポジトリ・データベースを管理サービスとの通信用に構成する方法の例を示します。

1. データベースのOracle Homeディレクトリ<ORACLE_HOME>/network/adminでsqlnet.ora構成ファイルを見つけます。
2. sqlnet.oraファイルの次のエントリを確認します。

   sqlnet.encryption_server
   sqlnet.encryption_types_server
   sqlnet.crypto_checksum_server
   sqlnet.crypto_checksum_types_server

   たとえば、sqlnet.oraファイルのエントリは次のようになります。

   sqlnet.encryption_server=ACCEPTED
   sqlnet.encryption_types_server=(AES256)
   sqlnet.crypto_checksum_server=REQUESTED
   sqlnet.crypto_checksum_types_server=(SHA256)

   これらのパラメータは、ネットワーク・データが暗号化できることを示し、使用されるデータ暗号化とデータ整合性パラメータを示します。

   sqlnet.encryption_serverおよびsqlnet.crypto_checksum_serverに指定可能な値は、REJECTED, ACCEPTED, REQUESTEDまたはREQUIREDであることに注意してください。

   REJECTEDは、暗号化を有効にしないことを示します。

   ACCEPTEDは、クライアントからリクエストされた場合に暗号化が可能であることを示します。

   REQUESTEDは、クライアントが受け入れる場合に暗号化が可能であることを示します。

   REQUIREDは、暗号化を有効にする必要があることを示します。

   いずれかの値がREJECTEDに設定されている場合、データの暗号化はできません。その他の値は、クライアントの設定にも依存します。

   これらの値をメモしておきます。この情報は、OMSの構成時に使用します。

   リポジトリ・データベースを管理対象ターゲットにするには、OMSがターゲット・データベースに接続するためのOracle Advanced Securityの有効化のステップを完了する必要があることに注意してください。

OMSが管理リポジトリに接続するためのOracle Advanced Securityの有効化

管理リポジトリ・データベースのネットワーク経由で送信されるデータの暗号化を有効にした場合は、次の手順を使用して、Oracle Management Service (OMS)でもこれを有効にします。

1. 複数OMSシステムの場合、プライマリOMSおよびその他のOMSインスタンスを停止します。

   <OMS_ORACLE_HOME>/bin/emctl stop oms -all -force

2. リポジトリ側に設定された値に基づいて、すべての<GC_INST>/em/EMGC_OMS<n>/emgc.propertiesファイルに次の値を追加します。ここで、<n>は、マルチノードOMS設定の場合のOMSインスタンス番号(EMGC_OMS2など)を示します。

   oracle.sysman.core.conn.enableEncryption=true
   oracle.net.encryption_client=<see table below>
   oracle.net.encryption_types_client=<see table below> 
   oracle.net.crypto_checksum_client=<see table below>
   oracle.net.crypto_checksum_types_client=<see table below>

   OMSに設定できるプロパティを次の表に示します。

   プロパティ	指定できる値	デフォルトOMS値	説明
   oracle.net.encryption_client	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED。	REQUESTED	クライアント/OMS暗号化を定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED, REQUESTED or REQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 sqlnet.encryption_serverパラメータが次の場合: ACCEPTED、oracle.net.encryption_clientをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、oracle.net.encryption_clientをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
   oracle.net.encryption_types_client	(AES128)、(AES192)、(AES256)、(3DES168)、(3DES112)、(DES56C)、(DES40C)、(RC4_256)、(RC4_128)および(RC4_40, RC4_56 )の1つ以上の値の組合せ	(AES256, AES192, AES128, 3DES168, 3DES112, DES56C, DES40C, RC4_256, RC4_128, RC4_40, RC4_56)	クライアント/OMSがサポートする様々なタイプの暗号化アルゴリズムを定義します。 このパラメータを、リポジトリ・データベースsqlnet.oraでsqlnet.encryption_types_serverパラメータが設定されているのと同じタイプに設定します。
   oracle.net.crypto_checksum_client	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED	REQUESTED	クライアント/OMSチェックサムを定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED、REQUESTEDまたはREQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 oracle.net.crypto_checksum_serverが次の場合: ACCEPTED、oracle.net.crypto_checksum_clientをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、oracle.net.crypto_checksum_clientをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
   oracle.net.crypto_checksum_types_client	(SHA1)、(SHA256)、(MD5)、(SHA384)および(SHA512)の1つ以上の値の組合せ	(MD5, SHA1, SHA256)	このプロパティはクライアント/OMSでサポートされる様々なタイプのチェックサム・アルゴリズムを定義します。このパラメータは、リポジトリ・データベースsqlnet.oraでsqlnet.crypto_checksum_types_serverが設定されているのと同じタイプに設定されます。

3. OMSを再起動します。

   <OMS_HOME>/bin/emctl start oms

リポジトリ・データベースを管理対象ターゲットにするには、OMSがターゲット・データベースに接続するためのOracle Advanced Securityの有効化のステップを完了する必要があることに注意してください。

管理エージェントがターゲット・データベースに接続するためのOracle Advanced Securityの有効化

管理リポジトリ・データベースまたは任意のターゲット・データベースのデータのネットワーク暗号化を有効にした場合は、これらのデータベースを監視する管理エージェントに対してもこれを有効にする必要があります。

管理エージェントが特定のタイプの暗号化および整合性アルゴリズムに対して特に構成されていない場合、JDBCのデフォルト値が適用されます。これらのデフォルト値については、次の表を参照してください。

異なるタイプの暗号化および整合性アルゴリズムの値を設定するには、次の手順に従います。

1. 次のコマンドを使用して、エージェントでプロパティを設定します。

   <AGENT_HOME>/bin/emctl setproperty agent -name <Property Name> -value "<Value>"

   プロパティの名前と値を次に一覧表示します。

   プロパティ	指定できる値	デフォルト・エージェント値	説明
   connectionEncryptionLevel	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED。	ACCEPTED	クライアント/エージェントの暗号化を定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED、REQUESTEDまたはREQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 sqlnet.encryption_serverパラメータが次の場合: ACCEPTED、connectionEncryptionLevelをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、connectionEncryptionLevelをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
   connectionEncryptionType	(AES128)、(AES192)および(AES256)	NULL クライアントとサーバーが交渉します。	クライアント/エージェントがサポートする様々なタイプの暗号化アルゴリズムを定義します。 このパラメータを、リポジトリ・データベースsqlnet.oraでsqlnet.encryption_types_serverパラメータが設定されているのと同じタイプに設定します。 たとえば、<AGENT_HOME>/bin/emctl setproperty agent -name connectionEncryptionType -value "AES128,AES192,AES256"です。
   connectionChecksumLevel	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED。	ACCEPTED	クライアント/エージェント・チェックサムを定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED、REQUESTEDまたはREQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 oracle.net.crypto_checksum_serverパラメータが次の場合: ACCEPTED、connectionChecksumLevelをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、connectionChecksumLevelをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
   connectionChecksumType	(SHA256)、 (SHA384)および(SHA512)	NULL クライアントとサーバーが交渉します。	このプロパティはクライアント/エージェントでサポートされる様々なタイプのチェックサム・アルゴリズムを定義します。 このパラメータを、リポジトリ・データベースsqlnet.oraでsqlnet.crypto_checksum_types_serverが設定されているのと同じタイプに設定します。 たとえば、<AGENT_HOME>/bin/emctl setproperty agent -name connectionChecksumType -value "SHA256,SHA384,SHA512"です。

2. 管理エージェントを再起動します。

   <AGENT_HOME>/bin/emctl stop agent

   <AGENT_HOME>/bin/emctl start agent

OMSがターゲット・データベースに接続するためのOracle Advanced Securityの有効化

ターゲット・データベースとOMS間のネットワーク・データ暗号化を有効にするには、次のステップを実行します。

1. ターゲット・データベースのネットワーク・データ暗号化を有効にします。管理リポジトリに対するOracle Advanced Securityの有効化を参照してください。
2. OMSの暗号化を有効にします。
   1. リポジトリ側の値セットに基づいて、クライアントがサポートする様々なタイプのチェックサム・アルゴリズムを次のコマンドを使用して設定します。

      <OMS_HOME>/bin/emctl set property -name oracle.sysman.core.conn.crypto_checksum_types_client -value "<repository checksum type>"

      例:

      sqlnet.oraパラメータsqlnet.crypto_checksum_types_server=(SHA256)の場合は、OMS値を設定します。

      <OMS_HOME>/bin/emctl set property -name oracle.sysman.core.conn.crypto_checksum_types_client -value "SHA256"

      sqlnet.oraパラメータがsqlnet.crypto_checksum_types_server=(SHA256,SHA384,SHA512)などの複数の値に設定されている場合は、OMS値を設定します。

      <OMS_HOME>/bin/emctl set property -name oracle.sysman.core.conn.crypto_checksum_types_client -value "SHA256,SHA384,SHA512"

   2. 複数OMSシステムの場合、OMSおよび他のOMSインスタンスを再起動します。

      <OMS_ORACLE_HOME>/bin/emctl stop oms -all -force

      <OMS_HOME>/bin/emctl start oms

   3. デフォルト値が必要な設定でない場合は、次のコマンドを使用して、これらの追加のOMSプロパティを設定します。

      emctl set property -name <property> -value "<value>"

      OMSに設定する必要がある追加のセキュリティ・プロパティを次の表に示します。

      プロパティ	指定できる値	デフォルトOMS値	説明
      oracle.net.encryption_client	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED。	REQUESTED	クライアント/OMS暗号化を定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED, REQUESTED or REQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 sqlnet.encryption_serverパラメータが次の場合: ACCEPTED、oracle.net.encryption_clientをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、oracle.net.encryption_clientをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
      oracle.sysman.core.conn.encryption_types_client	(AES128)、(AES192)、(AES256)、(3DES168)、(3DES112)、(DES56C)、(DES40C)、(RC4_256)、(RC4_128)および(RC4_40, RC4_56 )の1つ以上の値の組合せ	(AES256, AES192, AES128, 3DES168, 3DES112, DES56C, DES40C, RC4_256, RC4_128, RC4_40, RC4_56)	クライアント/OMSがサポートする様々なタイプの暗号化アルゴリズムを定義します。 このパラメータを、リポジトリ・データベースsqlnet.oraでsqlnet.encryption_types_serverパラメータが設定されているのと同じタイプに設定します。
      oracle.net.crypto_checksum_client	REJECTED、ACCEPTED、REQUESTEDおよびREQUIRED	REQUESTED	クライアント/OMSチェックサムを定義します。 セキュアな接続を使用するには、このパラメータをACCEPTED、REQUESTEDまたはREQUIREDに設定する必要があります。REJECTEDに設定すると、データ暗号化はできません。 oracle.net.crypto_checksum_serverが次の場合: ACCEPTED、oracle.net.crypto_checksum_clientをREQUESTEDまたはREQUIREDに設定します。 REQUESTEDまたはREQUIREDの場合、oracle.net.crypto_checksum_clientをACCEPTED、REQUESTEDまたはREQUIREDに設定します。
      oracle.sysman.core.conn.crypto_checksum_types_client	(SHA1)、(SHA256)、(MD5)、(SHA384)および(SHA512)の1つ以上の値の組合せ	(MD5, SHA1, SHA256)	このプロパティはクライアント/OMSでサポートされる様々なタイプのチェックサム・アルゴリズムを定義します。このパラメータは、リポジトリ・データベースsqlnet.oraでsqlnet.crypto_checksum_types_serverが設定されているのと同じタイプに設定されます。

カスタム構成

WebLogic Server用のカスタム証明書の構成

Enterprise Managerの一部としてインストールされたWebLogic Server (管理サーバーおよび管理対象サーバー)は、デフォルトのアイデンティティ・キーストア(DemoIdentity.jks)とデフォルトのトラスト・キーストア(DemoTrust.jks)で構成されます。また、WebLogic Serverは、JDKのcacertsファイルのCA証明書を信頼します。このデフォルトのキーストア構成は、テストや開発を目的とする場合に適しています。ただし、これらのキーストアは本番環境では使用しないでください。

WLS用に構成されたデフォルトのデモ証明書は、512ビットのキー長です。最小の証明書キー長用のMicrosoftのセキュリティ更新(KB2661254)がブラウザ・マシンに適用された場合、WebLogic管理コンソールはInternet Explorerでアクセスできません。Internet Explorerを使用してWebLogic管理コンソールにアクセスするには、WLS用にカスタム証明書を構成してください。

次の項では、カスタムWeblogic Server証明書の構成を順を追って説明します。

1. 各OMS用Javaキーストアまたはウォレットの作成
2. カスタムCA証明書の、エージェントのモニタリング・トラスト・ストアへのインポート
3. 各WLS用カスタム証明書の構成

各OMS用Javaキーストアまたはウォレットの作成

1. 環境内の各OMS用のJavaキーストア(JKS)を作成します。

   OMSがサーバーのロード・バランサを使用して構成されているかどうかにかかわらず、証明書署名リクエスト(CSR)の生成時には、CNに対するOMSマシン名を指定します(例: CN=myoms.example.com)。OMSマシン名は、<EM_INSTANCE_HOME>/emgc.propertiesのEM_INSTANCE_HOSTプロパティの値からわかります。

   各キーストアの、キーストア・パスワード、秘密キーのエントリの別名、秘密キーのパスワードをノートにとってください。

   ノート: WLSでサポートされている署名アルゴリズムのみを使用してください。

2. キーストアを対応するOMSマシンにコピーするか、またはOMSマシンからアクセスできる場所に配置します。

   キーストアの例: /scratch/oms1.jks、/scratch/oms2.jks、/scratch/oms3.jks

3. 個別のファイルにCA証明書を作成します(ファイルごとに1つのCA証明書)。これらの証明書ファイルをOMSマシンにコピーするか、またはOMSマシンからアクセスできる場所に配置します。

   ファイル名の例: /scratch/ca1cert.cer、/scratch/ca2cert.cer、/scratch/ca3cert.cer

カスタムCA証明書の、エージェントのモニタリング・トラスト・ストアへのインポート

OMSとともにインストールされたOMSマシン上で実行中の管理エージェントで次のステップを実行します。

ノート:

OMSとともにインストールされたエージェント上のみで必要で、他のエージェントでは必要ありません。

1. エージェントの停止

   <Agent_Instance_Home>/bin/emctl stop agent

2. カスタムCA証明書をエージェントにインポートします。

   <Agent_Instance_Home>/bin/emctl secure add_trust_cert_to_jks 
   -trust_certs_loc <ca_cert_file>
   -alias <certalias> [-password <montrust_jks_pwd>]
   

   例:

   <Agent_Instance_Home>/bin/emctl secure add_trust_cert_to_jks -trust_certs_loc /scratch/ca1cert.cer
   -alias ca1certalias [-password welcome]
   

   カスタム証明書の発行に関連する各CAに対してこのステップを繰り返します。

   毎回、異なる別名を指定します。

3. エージェントを起動します。

   <Agent_Instance_Home>/bin/emctl

各WLS用カスタム証明書の構成

各OMSで次のステップを実行します。

1. OMSを停止します。

   <OMS_Home>/bin/emctl stop oms

2. 次のコマンドを実行します。

   emctl secure wls
   (-jks_loc <loc> -jks_pvtkey_alias <alias> [-jks_pwd <pwd>] [-jks_pvtkey_pwd <pwd>] | -wallet <loc>)
   Specify jks_loc,jks_pvtkey_alias or wallet 
   

   例:

   <OMS_OH>/bin/emctl secure wls 
   -jks_loc /scratch/oms1.jks -jks_pvtkey_alias pvtkey1alias
   
   <OMS_OH>/bin/emctl secure wls -wallet /scratch/omswallet
   

3. OMSを停止します。

   <OMS_Home>/bin/emctl stop oms -all

4. OMSを起動します。

   ノート:

   前述のステップをすべての管理サービスで繰り返す必要があります。

   <OMS_Home>/bin/emctl start oms

WebLogic Serverからデモ証明書へのロールバック

デフォルトのWebLogicデモ証明書を使用するように切り替える必要がある場合、各OMSで次のステップを実行します。

1. OMSを停止します。

   <OMS_Home>/bin/emctl stop oms

2. 次のコマンドを実行します。

   <OMS_Home>/bin/emctl secure wls -use_demo_cert
   

3. OMSを停止します。

   <OMS_Home>/bin/emctl stop oms -all

4. OMSを起動します。

   <OMS_Home>/bin/emctl start oms

すべての管理サービスで前述のステップを繰り返します。

OMSコンソール・アクセス用のカスタム証明書の構成

HTTPS WebTier仮想ホスト用のサード・パーティの証明書を構成するには:

1. クラウド内のOMSごとにウォレットを作成します。OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
2. 各OMSで次のコマンドを実行し、そのOMSを再起動します。

   emctl secure console -wallet <location of custom wallets> -self_signed [-host]

   引数-walletまたは-self_signedのいずれかは必須です。

   サポートされるのはシングル・サインオン(SSO)のウォレットのみです。

OMSアップロード・アクセス用のカスタム証明書の構成

次の2種類の方法で、HTTPSアップロード仮想ホスト用のサード・パーティの証明書を構成できます。

方法1

1. クラウド内のOMSごとにウォレットを作成します。

2. ウォレットを作成する際に、OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。

3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。

4. OMSと通信する各エージェントを実行中のホスト・マシンにtrusted_certs.txtファイルをダウンロードまたはコピーします。

5. 次のコマンドを実行して、カスタムCA証明書をエージェント用のトラスト証明書としてインポートします。

   emctl secure add_trust_cert -trust_certs_loc <location of the trusted_certs.txt file>
   

6. エージェントを再起動します。

7. OMSを保護して再起動します。

   emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
   

方法2

1. クラウド内のOMSごとにウォレットを作成します。
2. OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。
4. OMSを保護します。

   emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
   

5. OMSを再起動します。
6. emctl secure agentコマンドを実行(すべてのエージェントで実行)してエージェントを再度保護するか、emctl secureコマンドを実行してトラスト・ポイントをインポートします。

   ノート:

   信頼できるcertsファイル(trusted_certs.txt)には、base64形式の証明書のみが含まれ、特殊文字やコメントは含められません。

セキュアな通信設定ツール

次のemctlコマンドは、Enterprise Managerインフラストラクチャの様々なコンポーネントの保護に使用されます。

emctl secure oms

emctl secure oms [-reg_pwd <registration password>]
        [-host <hostname>] [-ms_hostname <Managed Server hostname>]
        [-slb_port <SLB HTTPS upload port>] [-slb_console_port <ty6 HTTPS console port>] [-no_slb]
        [-secure_port <API gateway Port>] [-upload_http_port <API Gateway port>]
        [-reset] [-console] [-force_newca]
        [-lock_upload] [-lock_console] [-unlock_upload] [-unlock_console]
        [-wallet <wallet_loc> -trust_certs_loc <certs_loc>]
        [-key_strength <strength>] [-sign_alg <md5|sha1|sha256|sha384|sha512>]
        [-cert_validity <validity>] [-protocol <protocol>]
        [-root_dc <root_dc>] [-root_country <root_country>] [-root_email <root_email>]
        [-root_state <root_state>] [-root_loc <root_loc>] [-root_org <root_org>] [-root_unit <root_unit>]

パラメータ	説明
reg_pwd	管理エージェントの登録パスワードです。
host	Oracle Management Serviceで使用される証明書で使用されるホスト名です。管理サービスの前にSLBがある場合は、SLBホスト名を使用する必要がある場合があります。
reset	新しい認証局が作成されます。すべてのエージェントとOracle Management Serviceを再保護する必要があります。
secure_port	WebTierのHTTPSアップロード・ポートを変更する場合、これを指定します。
upload_http_port	WebTierのHTTPアップロード・ポートを変更する場合、これを指定します。
slb_port	サーバー・ロード・バランサを使用する場合、このパラメータは必須です。サーバー・ロード・バランサに構成されているセキュアなアップロード・ポートを指定します。
slb_console_port	サーバー・ロード・バランサを使用する場合、このパラメータは必須です。サーバー・ロード・バランサに構成されているセキュアなコンソール・ポートを指定します。
no_slb	SLB構成を削除します。
root_dc	ルート証明書で使用されるドメイン・コンポーネントです。デフォルト値はcomです。
root_country	ルート証明書で使用される国です。デフォルト値はUSです。
root_state	ルート証明書で使用される州です。デフォルト値はCAです。
root_loc	ルート証明書で使用される場所です。デフォルト値は、EnterpriseManager on <hostname>です。
root_org	ルート証明書で使用される組織名です。デフォルト値は、EnterpriseManager on <hostname>です。
root_unit	ルート証明書で使用される組織単位です。デフォルト値は、EnterpriseManager on <hostname>です。
root_email	ルート証明書で使用される電子メール・アドレスです。デフォルト値は、EnterpriseManager@<hostname>です。
wallet	サード・パーティの証明書を含むウォレットの場所です。このパラメータは、サード・パーティの証明書を構成する際に指定する必要があります。
trust_certs_loc	trusted_certs.txtの場所です(サード・パーティの証明書を使用する場合に必要)。
key_strength	使用されるキーの強度です。有効な値は、512、1024、2048、および4096です。 ノート: IBM AIXプラットフォームの場合、key_strengthに使用できるのは最大で2048ビットです。
cert_validity	自己署名付き証明書の有効日数です。有効な範囲は、1から3650です。
protocol	TLSv1専用またはSSLv3専用、あるいは混合モード(デフォルト)でOracle Management Serviceを構成する場合に使用されます。有効な値は、ApacheのSSLProtocolディレクティブにより許可された値になります。 ノート: key_strengthおよびcert_validityパラメータは、-walletオプションが使用されない場合にのみ適用可能です。
force_newca	これを指定すると、従前どおり古い認証局を使用するよう構成されているエージェントは無視されます。
ms_hostname	管理対象サーバーのホスト名です。
sign_alg	署名アルゴリズムです。
lock	アップロードをロックします
lock_console	コンソールをロックします
console	これを指定すると、HTTPSコンソールのポート用の証明書も再作成されます。

emctl secure agent

OMSに対してエージェントを保護します。登録パスワード(またはパスワード・ファイル)を指定する必要があります。

emctl secure agent <registration password> [-passwd_file <absolute path to file>]

emctl secure wls

emctl secure wls (-jks_loc <loc> -jks_pvtkey_alias <alias> | -wallet <loc> | -use_demo_cert)
Specify jks_loc,jks_pvtkey_alias or wallet or use_demo_cert
        [-jks_pwd <pwd>] [-jks_pvtkey_pwd <pwd>]
        -jks_loc : Location of JKS containing the custom cert for Admin & Managed Servers
        -jks_pvtkey_alias : JKS's private key alias
        -jks_pwd : JKS's keystore password
        -jks_pvtkey_pwd : JKS's private key password
        -wallet : Location of wallet containing the custom cert for Admin & Managed Servers
        -use_demo_cert: Configure the demo cert for Admin & Managed Servers

emctl status oms -details

emctl status oms -details

サード・パーティの証明書の構成

次に対してサード・パーティの証明書を構成できます。

• HTTPSコンソール・ユーザー

• HTTPSアップロード仮想ホスト

ノート:

サポートされるのはシングル・サインオンのウォレットのみです。

HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成

HTTPS WebTier仮想ホスト用のサード・パーティの証明書を構成するには:

1. OMSごとにウォレットを作成します。OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
2. 各OMSで次のコマンドを実行し、そのOMSを再起動します。

   emctl secure console -wallet <location of custom wallets> -self_signed [-host]

   ノート:

   引数-walletまたは-self_signedのいずれかは必須です。

   ノート:

   サポートされるのはシングル・サインオンのウォレットのみです。

HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成

次の2種類の方法で、HTTPSアップロード仮想ホスト用のサード・パーティの証明書を構成できます。

方法1

1. OMSごとにウォレットを作成します。

2. ウォレットを作成する際に、OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。

3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。

4. OMSと通信する各エージェントを実行中のホスト・マシンにtrusted_certs.txtファイルをダウンロードまたはコピーします。

5. 各エージェントでadd_trust_certコマンドを実行し、エージェントを再起動します。

   emctl secure add_trust_cert -trust_certs_loc <location of the trusted_certs.txt file>
   

6. OMSを保護して再起動します。

   emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
   

方法2

1. クラウド内のOMSごとにウォレットを作成します。
2. OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。
4. OMSを保護した後、再起動します。

   emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
   

5. emctl secure agentコマンドを実行(すべてのエージェントで実行)してエージェントを再度保護するか、emctl secure add_trust_cert -trust_certs_loc <trusted_certs.txtファイルの場所>コマンドを実行してトラスト・ポイントをインポートします。-trust_certs_locパラメータには、trusted_certs.txtファイルのパスとファイル名を含める必要があります。

   ノート:

   このファイルには、Base64形式の証明書のみが含まれ、特殊文字や空の行は含まれません。

   詳細は、Secure Socket Layer (SSL)証明書を使用してEnterprise Manager Management Service (OMS)を構成する方法を参照してください。