11 エンタープライズ・デプロイメント用のOracle HTTP Serverの構成

エンタープライズ・デプロイメントでは、Oracle HTTP Serverを各Web層ホストにインストールし、各ホストでOracle HTTPスタンドアロン・ドメインとして構成する必要があります。

このエンタープライズ・デプロイメントでは、LBRは、よりセキュアな構成のためにOHS over SSLプロトコルと通信します。また、OHSインスタンスは、アプリケーション層の特定の管理対象サーバーとSSLプロトコルを介して通信します。SSLは、LBRからバックエンドWLSサーバーまでのすべてで構成されます。

Oracle HTTP Serverを構成する前に、「Web層の理解」を確認してください。

ノート:

Fusion Middleware 14.1.2.0.0では、Oracle Traffic Directorは非推奨になりました。エンタープライズ・デプロイメントでは、Oracle HTTP Serverを使用してください。

• Oracle HTTP Serverドメインについて
  エンタープライズ・デプロイメントでは、各Oracle HTTP Serverインスタンスは別個のホストおよび独自のスタンドアロン・ドメイン内に構成されます。これにより、実行および管理に必要な構成およびリソースを最小限に抑えた簡素な管理が可能になります。アプリケーション層とは異なり、Web層のノード・マネージャはローカルでのみアクセスされるため、プレーン・ソケットでリスニングします(localhostでのみリスニングします)。
• Oracle HTTP Serverの構成時に使用される変数
  この章のタスクを実行する際には、この項にリストされているディレクトリ変数を参照します。
• WEBHOST1へのOracle HTTP Serverのインストール
  Web層にOracle HTTP Serverソフトウェアをインストールする手順を理解することが重要です。
• WEBHOST1でのOracle HTTP Serverドメインの作成
  次の項では、最初のWeb層ホストで新しいOracle HTTP Serverスタンドアロン・ドメインを作成する方法について説明します。
• WEBHOST2でのOracle HTTP Serverドメインのインストールおよび構成
  WEBHOST1でOracle HTTP Serverをインストールしてドメインを構成したら、同じタスクをWEBHOST2でも実行する必要があります。
• WEBHOST1およびWEBHOST2でのノード・マネージャおよびOracle HTTP Serverインスタンスの起動
  WEBHOST1およびWEBHOST2でOracle HTTP Serverインスタンスを起動する方法を理解することが重要です。
• OHS SSLリスナーに必要な証明書の生成
  OHSリスナーではSSLが使用されるため、適切な証明書を作成し、使用するサーバー名に関連するSANも追加する必要があります。WEBHOSTアドレスごとに証明書を用意し、それらで使用される異なるサーバー名をSANとして追加する必要があります。
• リクエストをアプリケーション層にルーティングするOracle HTTP Serverの構成
  Webサーバー・インスタンスがリクエストをドメインのサーバーにルーティングするようにOracle HTTP Server構成ファイルを更新する方法を理解することが重要です。

Oracle HTTP Serverドメインについて

エンタープライズ・デプロイメントでは、各Oracle HTTP Serverインスタンスは個別のホストの専用スタンドアロン・ドメインに構成されます。これにより、実行および管理に必要な構成およびリソースを最小限に抑えた簡素な管理が可能になります。アプリケーション層とは異なり、Web層のノード・マネージャはローカルでのみアクセスされるため、プレーン・ソケットでリスニングします(localhostでのみリスニングします)。

Web層のOracle HTTP Serverインスタンスのロールと構成の詳細は、「Web層の理解」を参照してください。

Oracle HTTP Serverの構成時に使用される変数

この章のタスクを実行する際には、この項にリストされているディレクトリ変数を参照します。

いくつかのディレクトリ変数の値は、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されています。

• WEB_ORACLE_HOME

• WEB_DOMAIN_HOME

• WEB_KEYSTORE_HOME

• JAVA _HOME

さらに、次の仮想IP (VIP)アドレスとホスト名を参照します。

• ADMINVHN

• WEBHOST1

• WEBHOST2

• SOAHOST1

• SOAHOST2

WEBHOST1へのOracle HTTP Serverのインストール

Oracle HTTP ServerソフトウェアをWeb層にインストールする手順を理解することは重要です。

• サポートされているJDKのインストール
  
• WEBHOST1でのインストーラの起動
  
• Oracle HTTP Serverのインストール画面のナビゲート
  
• Oracle HTTP Serverインストールの確認
  

サポートされているJDKのインストール

Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。

• JDKソフトウェアの検索とダウンロード
  
• JDKソフトウェアのインストール
  

JDKソフトウェアの検索とダウンロード

動作保証されているJDKを調べるには、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証ドキュメントを参照してください。

現在のOracle Fusion MiddlewareリリースのOracle JDKを特定したら、Oracle Technology Networkの次の場所からOracle JDKをダウンロードできます。

https://www.oracle.com/java/technologies/downloads/

Java SE JDKのダウンロードに必ず移動してください。

JDKソフトウェアのインストール

Oracle HTTP Serverでは、動作保証されたJava Development Kit (JDK)をシステムにインストールする必要があります。

Web層の各ホスト・コンピュータのローカル記憶域デバイスに、JDKをインストールする必要があります。DMZに配置されるWeb層ホスト・コンピュータは、アプリケーション層の共有記憶域に必ずしもアクセスできるとはかぎりません。

JDKソフトウェアの推奨場所の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。

次の例では、JDK 17.0.10の最新バージョンをインストールする方法について説明します。

1. ディレクトリを、JDKアーカイブ・ファイルをダウンロードした場所に変更します。

   cd download_dir

2. JDKホーム・ディレクトリにアーカイブを解凍してから、次のコマンドを実行します。

   tar -xzvf jdk-17.0.10+11_linux-x64_bin.tar.gz

   ここに記載されたJDKバージョンは、このドキュメントの発行時点のものです。サポートされている最新のJDKについては、Oracle Fusion Middlewareのシステム要件と仕様で現在のOracle Fusion Middlewareリリースを参照してください。
3. JDKディレクトリを、ディレクトリ構造内の推奨される場所に移動します。
   たとえば:

   mv ./jdk-17.0.10 /u02/oracle/products/jdk

   「このガイドで使用するファイル・システムとディレクトリ変数」を参照してください。
4. ホスト・コンピュータでJavaを実行するためのJAVA_HOMEおよびPATH環境変数を定義します。
   たとえば:

   export JAVA_HOME=/u02/oracle/products/jdk
   export PATH=$JAVA_HOME/bin:$PATH

5. 次のコマンドを実行して、適切なjava実行可能ファイルがそのパスにあり、環境変数が適切に設定されていることを確認します。

   java -version

   出力のJavaバージョンは、17.0.10と表示されます。
6. Web層ホストごとにステップ1から5を繰り返してください。たとえば、WEBHOST1およびWEBHOST2です。

WEBHOST1でのインストーラの起動

インストール・プログラムを起動するには、次のステップを実行します。

1. WEBHOST1にログインします。
2. インストール・プログラムをダウンロードしたディレクトリに移動します。
3. 次のコマンドを入力してインストール・プログラムを起動します。

   ./fmw_14.1.2.0.0_ohs_linux64.bin

   インストール・プログラムが表示されると、インストールを開始する準備ができています。

Oracle HTTP Serverのインストール画面のナビゲート

次の表では、インストール・プログラムによって表示される順序で画面を示します。

インストール画面に関して詳細な情報が必要な場合は、画面名をクリックしてください。

表11-1 Oracle HTTP Serverのインストール画面

画面	説明
インストール・インベントリの設定	UNIXオペレーティング・システムでは、このホストにOracle製品を初めてインストールする場合に、この画面が表示されます。中央インベントリを作成する場所を指定します。この画面で選択したオペレーティング・システム・グループ名には、中央インベントリの場所への書込み権限があることを確認してください。 『Oracle Universal Installerによるソフトウェアのインストール』のOracleセントラル・インベントリに関する項を参照してください。 ノート: 製品ディレクトリ内で中央インベントリの場所を構成することをお薦めします。例: /u02/oracle/products/oraInventory また、インストーラが完了したら、createCentralinventory.shスクリプトもrootとしてoraInventoryフォルダから実行する必要があります。
ようこそ	製品のインストーラの紹介画面です。
自動更新	この画面を使用して、使用可能なパッチを「My Oracle Support」で自動的に検索するか、ユーザーの組織のためにすでにダウンロードされているパッチをローカル・ディレクトリで自動的に検索します。
インストールの場所	この画面を使用してOracleホーム・ディレクトリの位置を指定します。 エンタープライズ・デプロイメントのためには、表7-3に示すWEB_ORACLE_HOME変数の値を入力します。
インストール・タイプ	「スタンドアロンHTTPサーバー(WebLogic Serverとは切り離して管理)」を選択します。 このインストール・タイプでは、他の既存のOracle WebLogic Serverドメインとは別にOracle HTTP Serverインスタンスを構成できます。
JDKの選択	JDKホームには、JDKソフトウェアのインストール時に設定したJAVA_HOMEの値を入力します。
前提条件のチェック	この画面では、ご使用のシステムが最小要件を満たしていることを検証します。 警告またはエラー・メッセージが表示された場合、ホスト・コンピュータおよび必須ソフトウェアが「ホスト・コンピュータのハードウェア要件」および「エンタープライズ・デプロイメント・トポロジのオペレーティング・システム要件」に示すシステム要件および動作保証情報を満たしていることを確認してください。
インストール・サマリー	この画面を使用して、選択したインストール・オプションを検証できます。これらのオプションをレスポンス・ファイルに保存する場合は、「レスポンス・ファイルの保存」をクリックし、レスポンス・ファイルの場所と名前を指定します。レスポンス・ファイルは、今後、サイレント・インストールを実行する場合に使用できます。 『Oracle Universal Installerによるソフトウェアのインストール』で、サイレント・モードにおけるOracle Universal Installerの使用方法に関する項を参照してください。
インストールの進行状況	この画面では、インストールの進行状況を参照できます。
インストール完了	インストールが完了すると、この画面が表示されます。この画面の情報を確認してから、「終了」をクリックしてインストーラを閉じます。

Oracle HTTP Serverインストールの確認

WEB_ORACLE_HOMEフォルダのコンテンツを検証することにより、Oracle HTTP Serverのインストールが正常に完了したことを確認します。

次のコマンドを実行して、インストール後のフォルダ構造を次のリストと比較します。

ls --format=single-column $WEB_ORACLE_HOME

次のファイルおよびディレクトリが、 Oracle HTTP Server Oracleホームにリストされています。

assistants
bin
cfgtoollogs
clone
crs
crypto
css
cv
deinstall
drdaas
env.ora
has
hs
install
instantclient
inventory
javavm
jdbc
jlib
jpub
ldap
lib
network
nls
odbc
ohs
olap
OPatch
opmn
oracle_common
oracore
oraInst.loc
ord
oss
oui
perl
plsql
plugins
precomp
QOpatch
racg
rdbms
root.sh
schagent.conf
sdk
slax
sqlcl
sqlj
sqlplus
srvm
suptools
ucp
unixODBC
usm
utl
webgate
wlserver
xdk

WEBHOST1でのOracle HTTP Serverドメインの作成

次の項では、最初のWeb層ホストで新しいOracle HTTP Serverスタンドアロン・ドメインを作成する方法について説明します。

• WEBHOST1での構成ウィザードの起動
  
• Oracle HTTP Serverドメインの構成ウィザード画面のナビゲート
  

WEBHOST1での構成ウィザードの起動

構成ウィザードを開始するには、次のディレクトリに移動して、次のようにWebLogic Server構成ウィザードを起動します。

cd $WEB_ORACLE_HOME/oracle_common/common/bin
./config.sh

Oracle HTTP Serverドメインの構成ウィザード画面のナビゲート

各Web層ホストにOracle HTTP Serverインスタンス用のスタンドアロン・ドメインを作成することをお薦めします。

次の項では、新しいスタンドアロンOracle HTTP Serverドメインを作成する方法を説明します。

• タスク1「ドメイン・タイプとドメイン・ホームの場所の選択」

• タスク2「構成テンプレートの選択」

• タスク3「Web層ドメインのJDKの選択」

• タスク4「システム・コンポーネントの構成」

• タスク5「OHSサーバーの構成」

• タスク7「構成仕様の確認およびドメインの構成」

• タスク8「ドメイン・ホームのメモ」

タスク1   ドメイン・タイプとドメイン・ホームの場所の選択

「構成タイプ」画面で、「新規ドメインの作成」を選択します。

「ドメインの場所」フィールドに、WEB_DOMAIN_HOME変数に割り当てる値を入力します。

次の点に注意してください。

• ここに指定した新しいディレクトリが構成ウィザードによって作成されます。

• WebサーバーがDMZ外部の記憶域デバイスに対して依存関係を持たないように、このディレクトリをローカル記憶域に作成してください。

ヒント:

• ドメイン・ホーム・ディレクトリの詳細は、『Oracle Fusion Middlewareのインストールのプランニング』のドメイン・ホーム・ディレクトリに関する項を参照してください。

• この画面に示されるその他のオプションの詳細は、Oracle Fusion Middleware構成ウィザードによるWebLogicドメインの作成の「構成タイプ」に関する項を参照してください。

• Web層とDMZの詳細は、「標準的なエンタープライズ・デプロイメントのファイアウォールとゾーンの理解」を参照してください。

• WEB_DOMAIN_HOMEディレクトリ変数の詳細は、「このガイドで使用するファイル・システムとディレクトリ変数」を参照してください。

タスク2   構成テンプレートの選択

「テンプレート」画面で、Oracle HTTP Server (スタンドアロン) - [ohs]を選択します。

ヒント:

この画面に示されるオプションの詳細は、Oracle Fusion Middleware構成ウィザードによるWebLogicドメインの作成のテンプレートに関する項を参照してください。

タスク3   Web層ドメインのJDKの選択。

Oracle HTTP Serverのインストールの前に/u02/oracle/products/jdkディレクトリにインストールされたOracle HotSpot JDKを選択します。

タスク4   システム・コンポーネントの構成

「システム・コンポーネント」画面で、1つのOracle HTTP Serverインスタンスを構成します。この画面では、デフォルトで1つのインスタンスが定義されています。作成する必要のあるインスタンスは、これ1つのみです。

1. 「システム・コンポーネント」フィールドのデフォルトのインスタンス名はohs1です。WEBHOST1の構成時にこのデフォルト名を使用します。

2. 「コンポーネント・タイプ」フィールドでOHSが選択されていることを確認します。

3. 「再起動間隔秒数」フィールドを使用して、アプリケーションが応答しない場合に、再起動を試行する前に待機する秒数を指定します。

4. 「再起動遅延秒数」フィールドを使用して、再起動を再度試行する前に待機する秒数を指定します。

タスク5   OHSサーバーの構成

「OHSサーバー」画面を使用して、ドメイン内のOHSサーバーを構成します。

1. 「システム・コンポーネント」ドロップダウン・メニューから、ohs1を選択します。

2. 「リスニング・アドレス」フィールドにWEBHOST1の値を入力します。

   残りのフィールドはすべて事前に移入されていますが、組織での必要に応じて値を変更できます。非SSLリスナーは、このガイドの後半で手動で無効化されます。『Oracle Fusion Middleware構成ウィザードによるWebLogicドメインの作成』で、OHSサーバーに関する項を参照してください。

3. 「サーバー名」フィールドで、リスニング・アドレスとリスニング・ポートの値を確認します。

   正しくは次のようになります。

   http://WEBHOST1:7777

タスク6   ノード・マネージャの構成

ノード・マネージャのタイプとして「ドメインごとのデフォルトの場所」を選択し、ノード・マネージャのユーザー名とパスワードを指定します。

ノート:

この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のノード・マネージャに関する項を参照してください。

ノード・マネージャの構成については、『Oracle WebLogic Serverノード・マネージャの管理』の複数マシンでのノード・マネージャの構成に関する項を参照してください。

タスク7   構成の仕様の確認とドメインの構成

「構成サマリー」画面には、これから作成するドメインの構成情報の詳細が表示されます。この画面に示された各項目の詳細を調べて、情報に間違いがないことを確認します。

変更が必要な場合は、「戻る」ボタンを使用するか、ナビゲーション・ペインで画面を選択することで、任意の画面に戻れます。

ドメイン作成は、「作成」をクリックするまでは開始されません。

終了したら、「構成の進行状況」画面で「次へ」をクリックします。

ヒント:

この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成サマリーに関する項を参照してください。

タスク8   ドメイン・ホームのメモ

「構成に成功しました」画面に、ドメイン・ホームの場所が表示されます。

ここに表示される情報は、サーバーの起動時や管理サーバーへのアクセス時に必要になるため、ノートにとっておいてください。

「終了」をクリックして、構成ウィザードを閉じます。

WEBHOST2でのOracle HTTP Serverドメインのインストールおよび構成

WEBHOST1でOracle HTTP Serverをインストールしてドメインを構成したら、同じタスクをWEBHOST2でも実行する必要があります。

1. 「WEBHOST1へのOracle HTTP Serverのインストール」の手順を使用して、WEBHOST2にログインし、Oracle HTTP Serverをインストールします。

2. 「WEBHOST1でのWeb層ドメインの作成」の手順を使用して、WEBHOST2上に新しいスタンドアロン・ドメインを構成します。

   WEBHOST2上のインスタンスにohs2という名前を使用して、各例におけるWEBHOST1の出現箇所をすべてWEBHOST2に置き換え、ohs1の出現箇所をすべてohs2に置き換えるようにしてください。

WEBHOST1およびWEBHOST2でのノード・マネージャおよびOracle HTTP Serverインスタンスの起動

WEBHOST1およびWEBHOST2でOracle HTTP Serverインスタンスを起動する方法を理解することが重要です。

• WEBHOST1およびWEBHOST2でのノード・マネージャの起動
  
• Oracle HTTP Serverインスタンスの起動
  
• WSM_PMクラスタおよび管理サーバーのフロントエンド・アドレスとWebLogicプラグインの設定
  

WEBHOST1およびWEBHOST2でのノード・マネージャの起動

Oracle HTTP Serverインスタンスを起動する前に、WEBHOST1およびWEBHOST2でノード・マネージャを起動する必要があります。

1. WEBHOST1にログインし、次のディレクトリに移動します。

   cd $WEB_DOMAIN_HOME/nodemanager

2. セキュア・リスナーを使用しないようにnodemanager.propertiesを変更します。リスニング・アドレスとしてlocalhostのみを使用していることを確認します。$WEB_DOMAIN_HOME/nodemanager/nodemanager.propertiesは次のようになります:

   
   #Mon Feb 26 18:12:34 GMT 2024
   #Node manager properties
   #Mon Feb 26 18:03:35 GMT 2024
   LogAppend=true
   DomainsFile=/u02/oracle/config/domains/soaedgohs/nodemanager/nodemanager.domains
   LogLevel=INFO
   PropertiesVersion=14.1.2.0.0
   ListenBacklog=50
   QuitEnabled=false
   LogCount=1
   LogLimit=0
   NodeManagerHome=/u02/oracle/config/domains/soaedgohs/nodemanager
   LogToStderr=true
   NativeVersionEnabled=true
   AuthenticationEnabled=true
   CrashRecoveryEnabled=false
   weblogic.StopScriptEnabled=false
   DomainsFileEnabled=true
   weblogic.StartScriptEnabled=true
   LogFile=/u02/oracle/config/domains/soaedgohs/nodemanager/nodemanager.log
   LogFormatter=weblogic.nodemanager.server.LogFormatter
   ListenAddress=localhost
   JavaHome=/u02/oracle/products/jdk
   weblogic.StartScriptName=startWebLogic.sh
   ListenPort=5556
   SecureListener=false
   StateCheckInterval=500

3. nohupおよびサンプル出力ファイルのnodemanager.outを使用して、次の各項に示すようにノード・マネージャを起動します。

   nohup $WEB_DOMAIN_HOME/bin/startNodeManager.sh > $WEB_DOMAIN_HOME/nodemanager/nodemanager.out 2>&1 &

4. WEBHOST2にログインし、ステップ1および2を実行します。

Oracle WebLogic Serverノード・マネージャの管理のノード・マネージャの高度な構成を参照。

Oracle HTTP Serverインスタンスの起動

Oracle HTTP Serverインスタンスを起動するには:

1. WEBHOST1でohs1インスタンスを起動するには、次のコマンドを入力します:

   
   $WEB_ORACLE_HOME/oracle_common/common/bin/wlst.sh 
   
   wls:/offline> nmConnect('ohsdomain_admin_user','ohsdomain_admin_password','localhost','5556','ohsdomain_name','WEB_DOMAIN_HOME','PLAIN')
   
   wls:/nm/soaedgohs> nmStart(serverName='ohs1',serverType='OHS')
   

2. ステップ1を繰り返して、WEBHOST2でohs2インスタンスを起動します。『Oracle HTTP Serverの管理』の、Oracle HTTP Serverの管理に関する項を参照してください。
3. $WEB_DOMAIN_HOME/servers/ohs1/logs/ohs1.logで各ノードのログを確認します。
   これにより、非SSLリスナーでのOHSの適切な起動を検証できます。次のステップでは、OHSにSSLリスナーを使用し、SSLを介してWLSにルーティングするプロセスについて順を追って説明します。

WSM_PMクラスタおよび管理サーバーのフロントエンド・アドレスとWebLogicプラグインの設定

セキュリティのベスト・プラクティスとして、Oracleでは管理サーバーおよびWSM-PMクラスタのフロントエンド・アドレスを設定することをお薦めします。初期ドメインの作成ステップでは、OHSおよびフロントエンド・ロード・バランサがまだ構成されていない可能性があるため、個々のサーバー・アドレスを使用して検証できるように、フロントエンド設定は回避されます。ただし、この時点で、OHS (およびまだ構成されていない場合はフロントエンド・ロード・バランサ)を構成する前に、関連するアドレスを追加する必要があります。

1. 管理サーバーのフロントエンドおよびWebLogicプラグインを設定するには、次のようにWebLogicリモート・コンソールを使用します:
   1. 「ツリーの編集」をクリックします。
   2. 「環境」→「サーバー」→「AdminServer」をクリックします。
   3. 「プロトコル」タブを選択してから、「HTTP」タブを選択します。
   4. 「フロントエンド・ホスト」で、Enterprise Managementおよびリモート・コンソールへのアクセスに使用するフロントエンドLBRアドレスを入力します(このガイドで使用される例では、admin.example.comです)。
   5. 「フロントエンドHTTPポート」は0に設定したままにします。
   6. 「フロントエンドHTTPSポート」では、LBRの管理リスナー・ポート(445)を入力します。
   7. 「保存」をクリックします。
   8. 右上の「カート」アイコンをクリックし、変更をコミットします。
2. WSM-PMクラスタのフロントエンドを設定するには、次のようにリモート・コンソールを使用します:
   1. 「ツリーの編集」をクリックします。
   2. 「環境」→「クラスタ」→「WSM-PM_Cluster」をクリックします。
   3. 「HTTP」タブを選択します。
   4. 「フロントエンド・ホスト」で、エンタープライズ・デプロイメント・システムへの内部的なアクセスに使用するフロントエンドLBRアドレスを入力します(このガイドで使用される例では、WSMPMやinternal.example.comなどのサービスです)。
   5. 「フロントエンドHTTPポート」は0に設定したままにします。
   6. 「フロントエンドHTTPSポート」(444)にはLBRの内部リスナーを入力します(LBRで異なるリスナーの同じポートを使用できない場合、これは管理サーバー・アクセスに使用される管理ポートとは異なるポートである必要があります)。
   7. 「保存」をクリックします。
   8. 右上の「カート」アイコンをクリックし、変更をコミットします。

      これらの変更では、AdminServerおよびWSM-PM_Clusterの再起動を有効にする必要があります(必要な再起動に関する通知がWebLogicリモート・コンソールに表示されます)。

3. 次のようにWebLogicリモート・コンソールを使用して、ドメインのプロキシ・プラグインを有効にします:
   1. 「ツリーの編集」をクリックします。
   2. 「環境」→「ドメイン」をクリックします。
   3. 「Webアプリケーション」タブを選択します。
   4. 「WebLogicプラグインの有効化」ボタンをクリックします。
   5. 「保存」をクリックします。
   6. 右上の「カート」アイコンをクリックし、変更をコミットします。

OHS SSLリスナーに必要な証明書の生成

OHSリスナーではSSLが使用されるため、適切な証明書を作成し、使用するサーバー名に関連するSANも追加する必要があります。WEBHOSTアドレスごとに証明書を用意し、それらで使用される異なるサーバー名をSANとして追加する必要があります。

このエンタープライズ・デプロイメントでは、フロントエンド・アドレスとしてsoainternal.example.com、soa.example.com、osb.example.comおよびadmin.example.comを使用します。これらのアドレスは、異なるクラスタおよびサーバーのフロントエンド・アドレスとしてWLSドメイン構成で使用されます。

Oracleでは、アプリケーション層で使用されるすべてのCAおよび証明書に同じアイデンティティ・ストアおよびトラスト・ストア・ファイルを使用することをお薦めします。OHSノードは共有記憶域を使用しないため、ストアをアプリケーション層からプライベート・フォルダにコピーする必要があります。本番システムの証明書は、正式な認証局から取得する必要があります。

Oracle FMW 14.1.2.0では、Oracle WebLogicでドメインごとの認証局(CA)を使用できます。ドメインごとのCAを使用して、WebLogic ServerのOHS SSLリスナーのアイデンティティ・ストアとトラスト・ストアを更新するには、次のステップを実行します。次のステップを任意のWLSノードで実行し(OHSノードではCerGenおよびkeytoolユーティリティがインストールされないため)、ストアをOHSノードに転送します:

1. generate_perdomainCACERTS-ohs.shスクリプトをmaa githubリポジトリhttps://github.com/oracle-samples/maa/blob/main/1412EDG/generate_perdomainCACERTS-ohs.shからSOAHOST1にダウンロードします。
2. 次の引数を使用してスクリプトを実行します:
   • WLS_DOMAIN_DIRECTORY: 管理サーバーが使用するWebLogicドメインをホストするディレクトリ(このガイドではASERVER変数)。
   • WL_HOME: Oracle WebLogic Serverソフトウェア・バイナリを格納するOracleホーム内のディレクトリ。通常は/u01/oracle/products/fmw/wlserverです。
   • KEYSTORE_HOME: appIdentityおよびappTrustストアが作成されるディレクトリ。
   • KEYPASS: WebLogic管理ユーザーに使用されるパスワード(証明書およびストアで再利用されます)。
   • LIST_OF_OHS_SSL_VIRTUAL_HOSTS: 一重引用符で囲まれたOHS仮想ホスト・アドレスのスペース区切りのリスト。

   たとえば:

   ./generate_perdomainCACERTS-ohs.sh /u01/oracle/config/domains/soaedg_domain /u01/oracle/products/fmw/wlserver /u01/oracle/config/keystores "password" 'ohshost1.example.com ohshost2.example.com'

   このスクリプトは次のアクションを実行します:

   1. ドメイン構成をトラバースし、ドメインで使用されるフロントエンド・アドレスを抽出します。

   2. ドメインごとのCAを使用して、スクリプトへの入力として提供されるOHSアドレスの証明書を生成します。ドメイン構成から収集されたフロントエンド・アドレスは、SANサブジェクト代替名(SAN)としてこれらの証明書に追加されます。

   3. ドメイン構成で検出されたフロントエンド・アドレスに接続し、公開証明書をダウンロードします。これらの証明書をWebLogicの信頼キーストアに追加して、WebLogic Serverが(コールバック、アイデンティティ・アクセスおよびその他のリダイレクトに使用される)様々なフロントエンド・アドレスとのSSLハンドシェイクを確立できるようにします。

      ノート:

      generate_perdomainCACERTS-ohs.shスクリプトが実行されるノードは、ドメインのconfig.xmlに含まれる様々なフロントエンド・アドレスに接続して、証明書をダウンロードする必要があります。

   4. orapkiを使用して、アプリケーション層のアイデンティティ・ストアとトラスト・ストアを、様々なOHS仮想ホストで使用される必須のPKCSウォレットに変換します。

   5. 対応するウォレットが含まれるtarを作成します(SSL構成を完了するには、これをOHSノードに転送する必要があります)。

3. スクリプトによって生成されたtarをOHSノードに転送します。
   1. scpまたは任意のsftpツールを使用して、tarファイルをOHSノードにコピーします。アプリケーション層との一貫性を維持するため、$WEB_KEYSTORE_HOMEの下に配置します。
   2. 次のように、そのフォルダ内のファイルの内容を解凍します:

      1. cd $WEB_KEYSTORE_HOME

      2. tar -xzvf orapki-ohs.tgz

      これにより、WLSアクセス用のウォレットと、パラメータとして指定された各仮想ホストのディレクトリ・ウォレットが作成されます。

リクエストをアプリケーション層にルーティングするOracle HTTP Serverの構成

Webサーバー・インスタンスがリクエストをドメイン内のサーバーにルーティングするようにOracle HTTP Server構成ファイルを更新する方法を理解することは重要です。

• エンタープライズ・デプロイメント用のOracle HTTP Server構成について
  
• 仮想ホスト構成ファイルを追加するためのhttpd.confファイルの変更
  
• 仮想ホスト構成ファイルの作成
  
• ロード・バランサでの仮想サーバー構成の検証
  
• 管理コンソールおよび管理サーバーへのアクセスの検証
  
• フロントエンドLBRを介してドメイン構成にアクセスするためのWebLocicリモート・コンソールでの新規プロバイダの構成
  

エンタープライズ・デプロイメント用のOracle HTTP Server構成について

次の各項では、エンタープライズ・デプロイメントのOracle HTTP Server構成ファイルに必要な変更に関する概要情報を提供します。

• Oracle HTTP Server仮想ホストの目的
  
• <VirtualHost>ディレクティブのWebLogicClusterパラメータについて
  
• Oracle HTTP Server構成ファイルの推奨構造
  

Oracle HTTP Server仮想ホストの目的

このガイドの参照用トポロジでは、ハードウェア・ロード・バランサで一連の仮想サーバーを定義することが必要になります。その後、Oracle HTTP Serverインスタンスの構成ファイルに<VirtualHost>ディレクティブを追加して、(ロード・バランサ仮想サーバーにマップされた)個別の仮想ホストへのリクエストを認識するようにOracle HTTP Serverを構成できます。

各Oracle HTTP Server仮想ホストについては、後で、ロード・バランサからOracle HTTP Serverインスタンスを経由してOracle WebLogic Serverドメイン内の該当する管理サーバーまたは管理対象サーバーにリクエストをルーティングする特定のURL (またはコンテキスト文字列)のセットを定義します。

<VirtualHost>ディレクティブのWebLogicClusterパラメータについて

Oracle HTTP Serverの<VirtualHost>ディレクティブのキー・パラメータは、Oracle HTTP ServerのWebLogicプロキシ・プラグインの一部であるWebLogicClusterパラメータです。エンタープライズ・デプロイメント用にOracle HTTP Serverを構成する場合は、Oracle HTTP Server構成ファイルにこのパラメータを追加するときに次の情報を考慮してください。

WebLogicClusterパラメータで指定したサーバーは、起動時のプラグインに対してのみ重要な役割を持ちます。このノードのリストには、実行しているクラスタ・メンバーを1つ以上記述しておく必要があります。記述しておかないと、このプラグインで他のクラスタ・メンバーを検出できません。Oracle HTTP Serverを起動するときには、リストされたクラスタ・メンバーが実行されている必要があります。Oracle WebLogic Serverとこのプラグインの連携により、クラスタに発生した新規のクラスタ・メンバー、失敗したクラスタ・メンバーおよびリカバリしたクラスタ・メンバーを反映してサーバーのリストが自動的に更新されます。

例としていくつかのシナリオを示します。

• 例1: 2つのノードで構成したクラスタに3番目のメンバーを追加する場合、そのメンバーを追加するために構成を更新する必要はありません。3番目のメンバーは、実行時に自動的に検出されます。

• 例2: クラスタは3つのノードで構成されていても、構成に記述されているノードはそのうちの2つのみであるとします。Oracle HTTP Serverを起動するときにこの2つのノードが両方とも停止していると、プラグインはクラスタを検出できません。Oracle HTTP Serverを起動するときは、リストに記述したノードを1つ以上実行している必要があります。

  クラスタのメンバーをすべてリストに記述した場合は、Oracle HTTP Serverの起動時にそのうちの1つ以上を実行しておくことで、クラスタに確実に到達できます。

Oracle HTTP Server構成ファイルの推奨構造

httpd.confファイルに複数の仮想ホスト定義を追加するのではなく、デプロイする製品に必要な各仮想サーバーに対してより小さくより具体的な別個の構成ファイルを作成することをお薦めします。そうすることで、すでに大きなhttpd.confファイルに追加のコンテンツを移入するのを回避できます。また、構成の問題のトラブルシューティングが容易になることがあります。

たとえば、通常のOracle Fusion Middleware Infrastructureドメインでは、admin_vh.confという名前の特定の構成ファイルを追加できます。この構成ファイルには、管理サーバー仮想ホスト(ADMINVHN)の仮想ホスト定義が含まれています。

このEDGのすべての仮想ホストではSSLが使用されるため、そのためのテンプレートとして元のssl.confファイルが使用されます。このエンタープライズ・デプロイメント・ガイドでは、OHSを介して公開される様々なエンドポイントで使用されるリスナーと証明書が分離されます。外部、内部および管理仮想ホストに対して異なる証明書とリスナーが使用されます。これにより、アクセスのタイプごとにトラフィックと暗号化品質の分離が可能となり、フロントエンド、仮想ホストおよびリスナーの適切に構造化されたマッピングが提供されます。

仮想ホスト構成ファイルを追加するためのhttpd.confファイルの変更

次のタスクを実行して、エンタープライズ・トポロジに必要な追加の仮想ホストのhttpd.confファイルを準備します。

1. WEBHOST1にログインします。

2. ドメイン・ディレクトリで最初のOracle HTTP Serverインスタンス(ohs1)のhttpd.confファイルを見つけます。

   cd $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/
   

3. httpd.confファイルが次のように正しく構成されていることを確認します。

   1. 次のコマンドを実行して、ServerNameパラメータが正しく設定され、現在のWEBHOSTn用の正しい値が代入されていることを確認します。

      grep "ServerName http" httpd.conf   
      ServerName http://WEBHOST1:7777 

   2. 次のコマンドを実行してmoduleconfサブディレクトリからすべての*.confファイルをインクルードするinclude文があることを確認します。

      grep moduleconf httpd.conf   
      IncludeOptional "moduleconf/*.conf"

   3. いずれかの検証で結果が返されなかった場合、またはコメント・アウトされた結果が返された場合は、httpd.confファイルをテキスト・エディタで開き、正しい場所に必要な変更を加えます。

      # 
      # ServerName gives the name and port that the server uses to identify itself. 
      # This can often be determined automatically, but we recommend you specify 
      # it explicitly to prevent problems during startup. 
      # 
      # If your host doesn't have a registered DNS name, enter its IP address here. 
      # 
      ServerName http://WEBHOST1:7777 
      #  and at the end of the file:  
      # Include the admin virtual host (Proxy Virtual Host) related configuration 
      include "admin.conf"  
      IncludeOptional "moduleconf/*.conf"

   4. httpd.confファイルを保存します。

4. ssl.confがhttpd構成に含まれていることを確認します。

   
   grep ssl.conf httpd.conf
   include "ssl.conf"

5. ssl.confファイルを別のファイル名にコピーします。

   ノート:

   これは、他のモジュール構成ファイルのテンプレートとして使用されます。

   cp $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/ssl.conf $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf/ssl.template

6. ssl.confファイルを編集して、次の行のみを含めます(ファイルから他のコンテンツを削除します):

   
   <IfModule ossl_module>
   #
   # Some MIME-types for downloading Certificates and CRLs
       AddType application/x-x509-ca-cert .crt
       AddType application/x-pkcs7-crl .crl
   
   # Inter-Process Session Cache:
   # Configure the SSL Session Cache: First the mechanism
   # to use, second the expiring timeout (in seconds) and third
   # the mutex to be used.
       SSLSessionCache "shmcb:${ORACLE_INSTANCE}/servers/${COMPONENT_NAME}/logs/ssl_scache(512000)"
       SSLSessionCacheTimeout 300
   
   </IfModule>

7. $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/mod_wl_ohs.confを変更して、次のように(SSLでのWLSバックエンドへのルーティングに必要とされる)適切なWLSSWalletファイルを含めます:

   
   # NOTE : This is a template to configure mod_weblogic.
   
   LoadModule weblogic_module   "${PRODUCT_HOME}/modules/mod_wl_ohs.so"
   
   # This empty block is needed to save mod_wl related configuration from EM to this file when changes are made at the Base Virtual Host Level
   <IfModule weblogic_module>
    
       WLIOTimeoutSecs 900
       KeepAliveSecs 290
       FileCaching OFF
       WLSocketTimeoutSecs 15
       ErrorPage http://www.oracle.com/splash/cloud/index.html
       WLRetryOnTimeout NONE
       WLForwardUriUnparsed On
       SecureProxy On
       WLSSLWallet "/u02/oracle/config/keystores/orapki/"
   </IfModule>

8. WEBHOST2にログインし、ステップ2から7を実行します(必要に応じて、手順に出現するWEBHOST1またはohs1をWEBHOST2またはohs2に置き換えてください)。

仮想ホスト構成ファイルの作成

仮想ホスト構成ファイルを作成するには:

ノート:

仮想ホスト構成ファイルを作成する前に、「Oracle HTTP Server仮想ホストの目的」に説明されているとおりにロード・バランサで仮想サーバーが構成されていることを確認します。

1. WEBHOST1にログインし、ディレクトリを最初のOracle HTTP Serverインスタンス(ohs1)の構成ディレクトリに変更します。

   cd $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf
   

2. ssl.templateファイルをadmin_vh.confファイルにコピーします。これにより、必要なほとんどのSSL構成が転送されます:

   
   cp $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf/ssl.template $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf/admin_vh.conf

3. ファイルを編集して、次のListen、VirtualHost、ServerName、AllowEncodedSlashesおよびLocationディレクティブを追加します。また、SSLWalletディレクトリを、仮想ホストの特定のウォレットを指すように変更します。admin_vh.confファイルは、次のようになります。

   
   ###################################################################
   # Oracle HTTP Server mod_ossl configuration file: ssl.conf        #
   ###################################################################
   
   # The Listen directive below has a comment preceding it that is used
   # by tooling which updates the configuration.  Do not delete the comment.
   #[Listen] OHS_SSL_PORT
   Listen WEBHOST1:4445
   ##
   ## SSL Virtual Host Context
   ##
   #[VirtualHost] OHS_SSL_VH
   <VirtualHost WEBHOST1:4445> 
   ServerName admin.example.com:445
   AllowEncodedSlashes On
     <IfModule ossl_module>
   
      #  SSL Engine Switch:
      #  Enable/Disable SSL for this virtual host.
      SSLEngine on
   
      #  Client Authentication (Type):
      #  Client certificate verification type and depth.  Types are
      #  none, optional and require.
      SSLVerifyClient None
   
      #  SSL Protocol Support:
      #  Configure usable SSL/TLS protocol versions.
      SSLProtocol TLSv1.2 TLSv1.3
      
      # Option to prefer the server's cipher preference order 
      SSLHonorCipherOrder on
   
      #  SSL Cipher Suite:
      #  List the ciphers that the client is permitted to negotiate.
      SSLCipherSuite TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      
      #Path to the wallet
      #SSLWallet "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/default"
      SSLWallet "/u02/oracle/config/keystores/orapki/orapki-vh-WEBHOST1"
           
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
         SSLOptions +StdEnvVars
      </FilesMatch>
   
      <Directory "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/cgi-bin">
         SSLOptions +StdEnvVars
      </Directory>
   
      BrowserMatch "MSIE [2-5]" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
   
      # Add the following directive to add HSTS
      <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=63072000; preload; includeSubDomains"
      </IfModule>
   
      
      <Location /em>
      WLSRequest ON   
      WebLogicHost ADMINVHN  
      WebLogicPort 9002
      </Location>
      <Location /management>
      WLSRequest ON  
      WebLogicHost ADMINVHN
      WebLogicPort 9002
      </Location>
   
   </IfModule>
   </VirtualHost>

4. 同様のステップを繰り返して、このコンテンツを含むsoainternal_vh.confファイルを作成します(異なるリスニング・ポート、仮想ホストおよびWLS設定に注意してください):

   
   ###################################################################
   # Oracle HTTP Server mod_ossl configuration file: ssl.conf        #
   ###################################################################
   
   # The Listen directive below has a comment preceding it that is used
   # by tooling which updates the configuration.  Do not delete the comment.
   #[Listen] OHS_SSL_PORT
   Listen WEBHOST1:4444
   
   
   ##
   ## SSL Virtual Host Context
   ##
   #[VirtualHost] OHS_SSL_VH
   <VirtualHost WEBHOST1:4444>
   ServerName soainternal.example.com:444
     <IfModule ossl_module>
      #  SSL Engine Switch:
      #  Enable/Disable SSL for this virtual host.
      SSLEngine on
   
      #  Client Authentication (Type):
      #  Client certificate verification type and depth.  Types are
      #  none, optional and require.
      SSLVerifyClient None
   
      #  SSL Protocol Support:
      #  Configure usable SSL/TLS protocol versions.
      SSLProtocol TLSv1.2 TLSv1.3
      
      # Option to prefer the server's cipher preference order 
      SSLHonorCipherOrder on
   
      #  SSL Cipher Suite:
      #  List the ciphers that the client is permitted to negotiate.
      SSLCipherSuite TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      
      #Path to the wallet
      #SSLWallet "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/default"
      SSLWallet "/u02/oracle/config/keystores/orapki/orapki-vh-WEBHOST1"
           
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
         SSLOptions +StdEnvVars
      </FilesMatch>
   
      <Directory "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/cgi-bin">
         SSLOptions +StdEnvVars
      </Directory>
   
      BrowserMatch "MSIE [2-5]" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
   
      # Add the following directive to add HSTS
      <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=63072000; preload; includeSubDomains"
      </IfModule>
   
      <Location /wsm-pm>
      WLSRequest ON
      WebLogicCluster SOAHOST1:7010,SOAHOST2:7010
      </Location>
   
     </IfModule>
   </VirtualHost>
   
   

5. 次のコマンドを入力して、ohs1インスタンスを再起動します:

   $WEB_ORACLE_HOME/oracle_common/common/bin/wlst.sh

   wls:/offline> nmConnect('ohsdomainadmin','ohsdomainadmin_password','localhost','5556','ohsdomainname', 'WEB_DOMAIN_HOME','PLAIN')

   wls:/nm/soaedgohs> nmKill(serverName='ohs1',serverType='OHS')

   wls:/nm/soaedgohs> nmStart(serverName='ohs1',serverType='OHS')

   $WEB_DOMAIN_HOME/servers/ohs1/logs/ohs1.logファイルでエラーを確認します。

6. WEBHOST2でadmin_vh.confファイルおよびsoainternal_vh.confファイルを2つ目のOracle HTTP Serverインスタンス(ohs2)の構成ディレクトリにコピーします。

   $WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs2/moduleconf
   

7. admin_vh.confファイルおよびsoainternal_vh.confファイルを編集して、<VirtualHost>ディレクティブ内のWEBHOST1からの参照をWEBHOST2からの参照に変更します。
8. 次のコマンドを入力して、ohs2インスタンスを再起動します:

   $WEB_ORACLE_HOME/oracle_common/common/bin/wlst.sh

   wls:/offline> nmConnect('ohsdomainadmin','ohsdomainadmin_password','localhost','5556','ohsdomainname','WEB_DOMAIN_HOME','PLAIN')

   wls:/nm/soaedgohs> nmKill(serverName='ohs2',serverType='OHS')

   wls:/nm/soaedgohs> nmStart(serverName='ohs2',serverType='OHS')

ロード・バランサでの仮想サーバー構成の検証

ロード・バランサから次のURLにアクセスして、ロード・バランサとOracle HTTP Serverが正しく構成されていることを確認します。これらのURLは、Oracle HTTP Server 12cの初期Webページを示しています。

• https://admin.example.com:445/index.html

• https://soainternal.example.com:444/index.html

管理コンソールおよび管理サーバーへのアクセスの検証

この章で行った変更を確認するには:

1. 次のURLを使用して、Fusion Middleware Controlにアクセスします:

   https://admin.example.com:445/em

フロントエンドLBRを介してドメイン構成にアクセスするためのWebLocicリモート・コンソールでの新規プロバイダの構成

フロントエンド・ロード・バランサおよびOHSを介してドメインの管理サーバーに接続する新しい管理サーバー接続プロバイダを作成します。この接続を確立するには、WebLogicリモート・コンソールが、管理フロントエンド・アドレスのロード・バランサによって使用される証明書を信頼する必要があります。

1. WebLogicリモート・コンソールで使用されるトラスト・ストアに、管理仮想サーバーのフロントエンド・ロード・バランサで使用される証明書またはCA証明書が含まれていることを確認します。

   ヒント:

   スクリプトgenerate_perdomainCACERTS-ohs.shを使用した場合は、ドメインからappTrustKeyStore.pkcs12ファイルをダウンロードし、WebLogicリモート・コンソールのトラスト・ストアとして使用できます。これには、信頼できるエンティティとしてフロントエンド・ロード・バランサの証明書が含まれます。

2. WebLogicリモート・コンソールを開き、「管理サーバー接続プロバイダの追加」をクリックします。

3. 新しいプロバイダには次の値を使用します:

   • 接続プロバイダ名:

     接続を識別する名前を使用します。たとえば、soaedg_domain_lbrproviderです。

   • 「ユーザー名」および「パスワード」:

     WebLogicドメイン管理ユーザーおよびパスワードを入力します。

   • URL: フロントエンド・アドレスおよびポートを使用します。たとえば、https://admin.example.com:445です。

   • セキュアでない接続の確立: 適切なトラスト・ストア設定が完了した場合、このフィールドを選択する必要はありません。

     ノート:

     ロード・バランサでデモ証明書を使用している場合、状況によってはWebLogicリモート・コンソール設定で「ホスト名検証の無効化」フィールドを選択する必要があります。

4. 「OK」をクリックしてプロバイダを追加します。

5. 新しいプロバイダをクリックします。

   これらの設定を使用して、フロントエンドLBRを介してドメインをリモート管理できる必要があります。