1. Oracle WebLogic Serverセキュリティの管理
  2. セキュリティに関する専門的なトピック
  3. 保護された本番モードの使用

46 保護された本番モードの使用

WebLogic Serverドメインでは、ドメイン・モードによって、ドメインのセキュリティ構成に適用するデフォルト値が決まります。保護された本番モードでは、ドメインのセキュリティ構成に最も厳密なデフォルト値が適用されます。

ドメイン・モードは、最もセキュアでないデフォルト値から最もセキュアなデフォルト値の順に、次のとおりです。

  • 開発モード
  • 本番モード
  • 保護された本番モード

保護された本番モードを有効にすると、WebLogic Serverによって、一部のセキュリティ構成がよりセキュアな値に自動的に設定されます。ただし、追加の構成が必要な特定のセキュリティ構成があります。

ドメイン・モードは、ドメインのセキュリティ構成のデフォルト値のみを指定します。個々の構成を変更して、デフォルト値をオーバーライドすることもできます。デフォルト値をオーバーライドすると、機能要件およびセキュリティ要件を満たすように構成を微調整できますが、保護された本番モードのデフォルト値をオーバーライドすると、環境が保護されなくなる可能性があるため、慎重に行う必要があります。

ドメインがドメイン・モードのセキュリティ基準を満たしていない場合、WebLogic Serverはセキュアでない値にフラグを付け、セキュリティ警告としてレポートします。セキュリティ検証の警告の詳細は、『Oracle WebLogic Server本番環境の保護』潜在的なセキュリティの問題の確認に関する項を参照してください。ドメインを管理しようとすると、動作の問題が発生することもあります。

各ドメイン・モードのデフォルト値の詳細は、『Oracle WebLogic Server本番環境の保護』ドメインのモードがデフォルトのセキュリティ構成に与える影響の理解に関する項を参照してください。

保護された本番モードは、ドメインを保護するための強力なツールになりますが、複雑さと多様なWebLogic Server環境によって制限されます。ドメインを適切に保護するには、「WebLogicドメインのセキュリティの構成」および『Oracle WebLogic Server本番環境の保護』で説明されている推奨事項を確認してから、必要に応じて環境に適用する必要があります。

ドメイン・モードの変更

ドメイン・モードは、初期ドメイン構成プロセスの一部として指定します。ドメインの作成後にドメイン・モードを変更することは可能ですが、既存のドメイン構成と新しいドメイン・モードによって適用される構成との間の相互作用によって、予期しない結果が生じる可能性があります。

ドメイン・モードはデフォルト値のみを制御するため、明示的に設定した構成はすべて、ドメイン・モードの変更後に保持され、それ以外に使用される値より優先されます。また、新しいドメイン・モードの構成のデフォルト値が既存の明示的な値と一致する場合は、ドメイン構成から明示的な構成(およびその値)が削除されます。その後、以前のドメイン・モードに戻すことにした場合、明示的な構成は残りません。

ドメイン・モードを保護された本番モードに変更する前に、ドメイン構成ファイルconfig.xmlを慎重に確認し、その既存の値をドメイン・モードによって決定されるMBean属性と比較してください。『Oracle WebLogic Server MBeanリファレンス』MBean属性のセキュアな値に関する項を参照してください。ドメインの作成後にドメイン・モードを変更するには、「ドメイン・モードの変更」を参照してください。

保護された本番モードを有効にするタイミング

WebLogic 14.1.2.0.0では、ドメイン・モードを本番モードに設定すると、デフォルトで保護された本番モードが有効になります。以前のリリースでは、本番モードを有効にすると、保護された本番モードはデフォルトで無効になっており、明示的に有効にする必要がありました。

WebLogic Server 14.1.1.0.0以前からアップグレードした場合、ドメイン・モードの動作は変更されません。たとえば、本番モードのドメインを14.1.1.0.0から14.1.2.0.0以降にアップグレードした場合、保護された本番モードは無効のままになります。ただし、本番モードではないドメインを14.1.2.0.0以上にアップグレードし、その後ドメイン・モードを本番モードに変更すると、デフォルトで保護された本番モードが有効になります。

ノート:

本番モードは、保護された本番モードを無効にした状態で引き続き使用できますが、保護された本番モードを明示的に無効にする必要があります。Oracle WebLogic Remote Consoleオンライン・ヘルプドメイン・モードの変更に関する項を参照してください。

ドメイン構成ファイルconfig.xmlは、保護された本番モードが有効化されていることを明示的に示しません。これは、保護された本番モードが本番モードのデフォルト状態になったためです。

表46-1 ドメイン構成ファイル(config.xml)でのドメイン・モード

WebLogic Serverのリリース 保護された本番モードが有効 保護された本番モードが無効
14.1.2.0.0以降 
<production-mode-
enabled>true</production-mode-enabled>
 
<production-mode-
enabled>true</production-mode-enabled>
<secure-mode>
  <secure-mode-enabled>false</secure-
mode-enabled>
</secure-mode>
14.1.1.0.0以前 
<production-mode-
enabled>true</production-mode-enabled>
<secure-mode>
  <secure-mode-enabled>true</secure-
mode-enabled>
</secure-mode>
 
<production-mode-
enabled>true</production-mode-enabled>

ドメイン・モードの変更

既存のドメインでドメイン・モードを変更できます。

ドメイン・モードの変更には、ドメイン全体の再起動が必要です。ローリング再起動では不十分です。オフライン・ツール(WLSTオフラインなど)を使用してドメイン・モードを変更することをお薦めします。WebLogicリモート・コンソールなどのツールを使用して、実行中のドメインのドメイン・モードを変更する場合は、ドメイン内のすべてのサーバーを停止してから、一度に1台ずつサーバーを再起動する必要があります。

既存のドメインのドメイン・モードを変更する場合は、ドメイン・モードの変更後に新しいconfig.xmlファイルと比較できるように既存のconfig.xmlファイルを保存し、変更した設定を評価することを検討してください。既存のドメインでドメイン・モードを変更することによる潜在的な影響については、「ドメイン・モードの変更」を参照してください。

  • WLSTオフラインを使用する場合:
    1. ドメインを停止します。
    2. WLST Offlineを起動します。『WebLogic Scripting Toolの理解』WLSTの呼出しに関する項を参照してください。
    3. 現在のドメイン・モードをターゲット・ドメイン・モードに変更するWLSTオフライン・スクリプトを実行します。
      現在のドメイン・モード ターゲット・ドメイン・モード WLSTオフライン・スクリプト

      開発

      本番

      ノート: 保護された本番モードはデフォルトで有効になっています。 

      readDomain('DOMAIN_NAME')
cmo.setProductionModeEnabled(true)
updateDomain()

      開発

      本番(保護された本番モードが明示的に無効)

      		 
      readDomain('DOMAIN_NAME')
cmo.setProductionModeEnabled(true)
cd('/SecurityConfiguration/%s' %(cmo.getName()))
create('NO_NAME','SecureMode')
cd('SecureMode/NO_NAME')
set('SecureModeEnabled','false')
updateDomain()

      本番(保護された本番モードが無効)

      保護された本番

      		 
      readDomain('DOMAIN_NAME')
cd('/SecurityConfiguration/%s/SecureMode/NO_NAME_0' %(cmo.getName()))
set('SecureModeEnabled',true)
updateDomain()

      本番

      開発

      		 
      readDomain('DOMAIN_NAME')
cmo.setProductionModeEnabled(false)
cmo.getSecurityConfiguration().getSecureMode().setSecureModeEnabled(false)
updateDomain()

      保護された本番

      本番(保護された本番モードが明示的に無効)

      		 
      readDomain('DOMAIN_NAME')
cd('/SecurityConfiguration/%s' %(cmo.getName()))
create('NO_NAME','SecureMode')
cd('SecureMode/NO_NAME')
set('SecureModeEnabled','false')
updateDomain()

      保護された本番

      開発

      		 
      readDomain('DOMAIN_NAME')
cmo.setProductionModeEnabled(false)
updateDomain()
    4. ドメインを起動します。
  • WebLogicリモート・コンソールを使用する場合は、Oracle WebLogic Remote Consoleオンライン・ヘルプドメイン・モードの変更に関する項を参照してください。

ドメイン・モードを変更すると、管理サーバーのデフォルトURLに影響する可能性があります。SSL/TLSおよび管理ポートが有効になっている場合(デフォルトでは、両方とも保護された本番モードで有効)、デフォルトのURLは、https://hostname:9002またはt3s://hostname:9002です。プロトコルおよびポート番号をノートにとっておきます。SSL/TLSおよび管理ポートが無効になっている場合(デフォルトでは、両方とも開発モードで無効)、デフォルトのURLは、http://hostname:7001またはt3://hostname:7001です。

保護された本番モードを有効にすると、WebLogic Serverでは特定のセキュリティ構成が行われていることが想定されます。適切に構成されていない場合は、セキュアでないと判断された設定にフラグが付けられ、セキュアでないドメイン・モードで以前は使用可能だったポートまたはアドレスのトラフィックがブロックされる可能性があります。

ドメイン・モードのオーバーライド(単一サーバー・ドメインのみ)

ドメインの現在のドメイン・モードは、サーバーのライフサイクル中にオーバーライドできます。サーバーを再起動すると、通常のドメイン・モードに戻ります。

このタスクは、開発環境またはテスト環境の単一サーバー・ドメインでのみ実行してください。

ノート:

コマンドラインでドメイン・モードをオーバーライドすると、config.xmlファイルまたはWebLogicリモート・コンソール「ツリーの編集」パースペクティブに有効なドメイン・モードが表示されません。かわりに、WLSTまたはWebLogicリモート・コンソール「構成ビュー・ツリー」パースペクティブを使用して、ドメインの有効な状態を確認できます。『Oracle WebLogic Serverコマンド・リファレンス』コマンド行で設定した属性値の確認に関する項を参照してください。

ドメインの現在のドメイン・モードをオーバーライドする場合は、管理サーバー起動スクリプトを実行し、有効なドメイン・モードを決定するシステム・プロパティを含めます。システム・プロパティとその使用方法については、表46-2を参照してください。

たとえば、本番モードを試すには、次を実行します。

startWebLogic.sh -Dweblogic.ProductionModeEnabled=true

同じ結果になるように環境変数を設定することもできます。たとえば:

export DOMAIN_PRODUCTION_MODE="true"
startWebLogic.sh

表46-2 コマンドラインでのドメイン・モードのオーバーライド

現在のドメイン・モード ターゲット・ドメイン・モード システム・プロパティ 環境変数

開発

本番

ノート: 保護された本番モードはデフォルトで有効になっています。

weblogic.ProductionModeEnabled=true DOMAIN_PRODUCTION_MODE="true"

開発

本番(保護された本番モードが無効)

 次の両方のシステム・プロパティを含めます。
  • weblogic.ProductionModeEnabled=true
  • weblogic.securemode.SecureModeEnabled=false
 次の両方の環境変数を設定します。
  • DOMAIN_PRODUCTION_MODE="true"
  • SECURE_PRODUCTION_MODE="false"

本番(保護された本番モードが無効)

保護された本番

 weblogic.securemode.SecureModeEnabled=true SECURE_PRODUCTION_MODE="true"

本番

開発

 weblogic.ProductionModeEnabled=false DOMAIN_PRODUCTION_MODE="false"

保護された本番

本番(保護された本番モードが無効)

 weblogic.securemode.SecureModeEnabled=false SECURE_PRODUCTION_MODE="false"

保護された本番

開発

 weblogic.ProductionModeEnabled=false DOMAIN_PRODUCTION_MODE="false"

WebLogicリモート・コンソールを使用した管理サーバーへの接続

既存のセキュリティ設定によっては、保護された本番モードが有効になっているドメインを管理する前に、追加の構成を実行する必要がある場合があります。

  1. 『Oracle WebLogic Serverサーバーの起動と停止の管理』サーバーの起動と停止に関する項の説明に従って、管理サーバーの起動オプションのいずれかを選択します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  2. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理サーバーへの接続に関する項の説明に従って、WebLogicリモート・コンソールを使用してドメインに接続します。

    管理サーバーのデフォルトのアドレスはhttps://hostname:9002になりました。httpssおよびポート番号に注意してください。

    保護された本番モードでは、SSL/TLS以外のリスニング・ポート(通常は7001)はデフォルトで無効になっており、トラフィックはSSL/TLSポートを介してルーティングされます。リスニング・ポートを構成する場合は、Oracle WebLogic Remote Consoleオンライン・ヘルプリスニング・ポートの指定に関する項を参照してください。

  3. Oracle WebLogic Remote Consoleオンライン・ヘルプキーストアの構成に関する項の説明に従って、カスタム・キーストアを構成します。

    本番環境では、IDと信頼用にカスタム・キーストアを構成する必要があります。「本番環境のための証明書の取得と格納」を参照してください。WebLogic Serverによって提供されるデモ証明書をかわりに使用する場合は、「開発環境での保護された本番モード」のトピックを確認してください。

  4. Oracle WebLogic Remote Consoleオンライン・ヘルプTLSの設定に関する項の説明に従って、SSL/TLSが適切に構成されていることを確認します。
  5. Oracle WebLogic Remote Consoleオンライン・ヘルプホスト名検証の有効化に関する項の説明に従って、ホスト名検証を有効にします。
  6. オプション: Oracle Platform Security Services (OPSS)を使用しているが、カスタム証明書を使用してドメインを構成する場合は、かわりに『Oracle Platform Security Servicesによるアプリケーションの保護』デモCA署名証明書の置換に関する項を参照してください。
  7. 変更を保存してコミットします。
  8. 管理サーバーを再起動します。

WebLogicリモート・コンソールを使用した管理対象サーバーの起動

WebLogicリモート・コンソールを使用して管理対象サーバーを起動する場合は、カスタム・キーストアのプロパティを登録するようにノード・マネージャを構成する必要があります。

  1. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理対象サーバーの起動に関する項の説明に従って、WebLogicリモート・コンソールで動作するようにノード・マネージャが適切に構成されていることを確認します。
  2. nodemanager.propertiesファイルを次の属性とその値で更新します。
    • CustomIdentityAlias
    • CustomIdentityKeyStoreFileName
    • CustomIdentityPrivateKeyPassPhrase
    • CustomIdentityKeyStorePassPhrase
    • KeyStores

    『Oracle WebLogic Serverノード・マネージャの管理』ノード・マネージャのプロパティに関する項を参照してください。

  3. オプション: ドメイン内の同じコンピュータ上で複数のサーバー・インスタンスが実行され、ドメイン全体の管理ポートが有効になっている場合は、次のいずれかを実行する必要があります。
    • サーバー・インスタンスをマルチホーム・マシンでホストし、各サーバー・インスタンスに一意のリスニング・アドレスを割り当てます
    • または、マシン上にある、1つを除くすべてのサーバー・インスタンスにドメイン全体のポートをオーバーライドします。各管理対象サーバーの「環境」「サーバー」myServerページで、「ローカル管理ポートのオーバーライド」フィールドに一意のポート値を入力します。
  4. 変更を保存してコミットします。
  5. 管理対象サーバーを起動します。

WLSTを使用した管理サーバーへの接続

WebLogic Scripting Toolを使用して保護された本番モードが有効になっているドメインに接続する前に、追加の構成を実行する必要があります。

  1. 管理サーバーを起動します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  2. WLST_PROPERTIES環境変数を更新してキーストアを構成します。
    export WLST_PROPERTIES="-Dweblogic.security.TrustKeyStore=CustomTrust -Dweblogic.security.CustomTrustKeyStoreFileName=trustKeystoreFile -Dweblogic.security.CustomTrustKeyStorePassPhrase=trustKeyStorePassword"
  3. 『WebLogic Scripting Toolの理解』WLSTの呼出しに関する項の説明に従って、WLSTを使用してドメインに接続します。

    ノート:

    保護された本番モードの管理サーバーのデフォルト・アドレスは、t3s://hostname:9002です。t3ssおよびポート番号に注意してください。

起動スクリプトを使用した管理対象サーバーの起動

起動スクリプトを使用して管理対象サーバーを起動できます。

  1. 各管理対象サーバーの起動IDファイルを作成します。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理対象サーバーの起動IDファイルの作成に関する項を参照してください。
    ファイルとそのフォルダに適切なアクセス権を設定してください。boot.propertiesファイルにchmod 600を、フォルダDOMAIN_HOME/servers/managedServerName/security/chmod 740を設定することをお薦めします。boot.propertiesファイルを使用できない場合は、コマンドラインからサーバーを起動するときにユーザー名とパスワードを含める必要があります。
  2. JAVA_OPTIONS環境変数に次の引数を追加して、管理対象サーバーのキーストア値を指定します。
    • -Dweblogic.security.SSL.trustedCAKeyStore
    • -Dweblogic.security.SSL.trustedCAKeyStorePassPhrase

    たとえば:

    export JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore=trustKeystoreFile -Dweblogic.security.SSL.trustedCAKeyStorePassPhrase=trustKeyStorePassword"
  3. 『Oracle WebLogic Serverサーバーの起動と停止の管理』起動スクリプトによる管理対象サーバーの起動の説明に従って、startManagedWebLogicスクリプトを実行します。

    たとえば:

    startManagedWebLogic.sh managedServerName https://adminHostname:adminPort

サーバーの停止

  • WebLogicリモート・コンソールからサーバー・インスタンスを停止するには、Oracle WebLogic Remote Consoleオンライン・ヘルプサーバーの停止に関する項を参照してください。
  • スクリプトを使用してサーバー・インスタンスを停止するには、『Oracle WebLogic Serverサーバーの起動と停止の管理』停止スクリプトによるサーバーの停止に関する項を参照してください。

    ノート:

    • キーストアの引数をJAVA_OPTIONS環境変数に追加していない場合は、サーバーを停止するときにそれらを含める必要があります。

    • boot.propertiesファイルが構成されていない場合は、コマンドラインにユーザー名とパスワードを含める必要があります。

    • ドメインURLのプロトコルとしてT3sのかわりにHTTPSを使用する場合は、トンネリングおよびデフォルトの内部サーブレットを有効にする必要があります。ServerMBean.TunnelingEnabledtrueに、ServerMBean.DefaultInternalServletsDisabledfalseに設定します。

    たとえば:

    export JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore=trustKeystoreFile -Dweblogic.security.SSL.trustedCAKeyStorePassPhrase=trustKeyStorePassword"
# To stop a Managed Server
stopManagedWebLogic.sh managedServerName t3s://adminHostname:adminPort [wlsUsername wlsPassword]
# To stop the Administration Server
export ADMIN_URL="t3s://adminHostname:adminPort"
stopWebLogic.sh [wlsUsername wlsPassword]

開発環境での保護された本番モード

保護された本番モードの機能を評価するが、カスタム・キーストアの設定に労力を費やす必要がない場合は、WebLogic Serverに含まれているデモンストレーション用キーストアで保護された本番モードを使用するようにWebLogic Serverを構成できます。

デモンストレーション用キーストアの詳細は、「開発環境でのキーストアと証明書の使用」を参照してください。OPSSキーストア・サービスを使用する場合は、「Oracle OPSSキーストア・サービスの構成」も参照してください。

ノート:

次の手順は、テストおよび開発の目的でのみ適しています。実際の本番環境ではデモ・キーストアを使用しないでください。

デモンストレーション用キーストアを使用した保護された本番モードの使用

保護された本番モードが有効になっているドメインでのセキュアでないデモ・キーストアの使用をサポートするために、追加の構成を実行する必要がある場合があります。

  1. 次のいずれかの方法を使用して、ドメイン・モードを保護された本番モードに設定します。

    • 新しいドメインを作成し、プロンプトが表示されたら、ドメイン・モードとして保護された本番モードを選択します。

      新しいドメインを作成すると、保護された本番モードに必要な設定の多くを単一の手順で構成でき、構成が競合する可能性が低くなります。

      『構成ウィザードによるWebLogicドメインの作成』WebLogicドメインの作成に関する項を参照してください。

    • 保護された本番モードを使用するように既存のドメインを変更します。

      「ドメイン・モードの変更」を参照してください。

  2. 『Oracle WebLogic Serverサーバーの起動と停止の管理』サーバーの起動と停止に関する項の説明に従って、管理サーバーの起動オプションのいずれかを選択します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  3. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理サーバーへの接続に関する項の説明に従って、WebLogicリモート・コンソールを使用してドメインに接続します。

    管理サーバーのデフォルトのアドレスはhttps://hostname:9002になりました。httpssおよびポート番号に注意してください。

    保護された本番モードでは、SSL/TLS以外のリスニング・ポート(通常は7001)はデフォルトで無効になっており、トラフィックはSSL/TLSポートを介してルーティングされます。リスニング・ポートを構成する場合は、Oracle WebLogic Remote Consoleオンライン・ヘルプリスニング・ポートの指定に関する項を参照してください。

  4. WebLogic Serverが、Oracle Platform Security Services (OPSS)キーストア・サービス(KSS)によって提供されるデモ・キーストアを使用していないことを確認します。
    1. WebLogicリモート・コンソール「ツリーの編集」で、「環境」「ドメイン」の順に移動します。
    2. 「セキュリティ」タブで、「拡張フィールドの表示」をクリックします。
    3. 「デモへのKSSの使用」オプションをオフにします。
    4. 「保存」をクリックします。
  5. Oracle WebLogic Remote Consoleオンライン・ヘルプTLSの設定に関する項の説明に従って、SSL/TLSが適切に構成されていることを確認します。
  6. 変更を保存してコミットしてから、管理サーバーを再起動します。
  7. ドメインに管理対象サーバーが含まれ、WebLogicリモート・コンソールを使用して管理対象サーバーを起動する場合は、次のステップも実行します。
    1. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理対象サーバーの起動に関する項の説明に従って、WebLogicリモート・コンソールで動作するようにノード・マネージャが適切に構成されていることを確認します。
    2. UseKSSForDemo=Falsenodemanager.propertiesファイルに追加します。

      『Oracle WebLogic Serverノード・マネージャの管理』ノード・マネージャのプロパティに関する項を参照してください。

    3. オプション: ドメイン内の同じコンピュータ上で複数のサーバー・インスタンスが実行され、ドメイン全体の管理ポートが有効になっている場合は、次のいずれかを実行する必要があります。
      • サーバー・インスタンスをマルチホーム・マシンでホストし、各サーバー・インスタンスに一意のリスニング・アドレスを割り当てます
      • または、マシン上にある、1つを除くすべてのサーバー・インスタンスにドメイン全体のポートをオーバーライドします。各管理対象サーバーの「環境」「サーバー」myServerページで、「ローカル管理ポートのオーバーライド」フィールドに一意のポート値を入力します。
    4. 変更を保存してコミットします。
    5. 管理対象サーバーを起動します。
デモ・キーストアを使用したドメインでのWLSTの使用

WLSTを使用する場合は、保護された本番モードが有効になっているドメインでのセキュアでないデモ・キーストアの使用をサポートするために、追加の構成を実行する必要があります。

  1. 管理サーバーを起動します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  2. WLST_PROPERTIES環境変数を更新してキーストアを構成します。
    export WLST_PROPERTIES="-Dweblogic.RootDirectory=DOMAIN_HOME -Dweblogic.security.TrustKeyStore=DemoTrust"

    ホスト名検証エラーを受信し、証明書と一致するようにURLにホスト名を指定できない場合は、-Dweblogic.security.SSL.ignoreHostnameVerification=trueWLST_PROPERTIES環境変数に追加できます。これにより、ホスト名の検証がバイパスされます。

  3. 『WebLogic Scripting Toolの理解』WLSTの呼出しに関する項の説明に従って、WLSTを使用してドメインに接続します。

    ノート:

    保護された本番モードの管理サーバーのデフォルト・アドレスは、t3s://hostname:9002です。t3ssおよびポート番号に注意してください。

起動スクリプトを使用したデモ・キーストアを使用した管理対象サーバーの起動

ドメインでデモ・キーストアを使用している場合は、起動スクリプトを使用して管理対象サーバーを起動できます。

  1. 各管理対象サーバーの起動IDファイルを作成します。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理対象サーバーの起動IDファイルの作成に関する項を参照してください。
    ファイルとそのフォルダに適切なアクセス権を設定してください。boot.propertiesファイルにchmod 600を、フォルダDOMAIN_HOME/servers/managedServerName/security/chmod 740を設定することをお薦めします。boot.propertiesファイルを使用できない場合は、コマンドラインからサーバーを起動するときにユーザー名とパスワードを含める必要があります。
  2. 『Oracle WebLogic Serverサーバーの起動と停止の管理』起動スクリプトによる管理対象サーバーの起動の説明に従って、startManagedWebLogicスクリプトを実行します。

    たとえば:

    startManagedWebLogic.sh managedServerName https://adminHostname:adminPort
デモ・キーストアを使用したサーバーの停止
  • WebLogicリモート・コンソールからサーバー・インスタンスを停止するには、Oracle WebLogic Remote Consoleオンライン・ヘルプサーバーの停止に関する項を参照してください。
  • スクリプトを使用してサーバー・インスタンスを停止するには、『Oracle WebLogic Serverサーバーの起動と停止の管理』停止スクリプトによるサーバーの停止に関する項を参照してください。

    ノート:

    • キーストアの引数をJAVA_OPTIONS環境変数に追加していない場合は、サーバーを停止するときにそれらを含める必要があります。

    • boot.propertiesファイルが構成されていない場合は、コマンドラインにユーザー名とパスワードを含める必要があります。

    • ドメインURLのプロトコルとしてT3sのかわりにHTTPSを使用する場合は、トンネリングおよびデフォルトの内部サーブレットを有効にする必要があります。ServerMBean.TunnelingEnabledtrueに、ServerMBean.DefaultInternalServletsDisabledfalseに設定します。

    たとえば:

    export JAVA_OPTIONS="-Dweblogic.security.TrustKeyStore=DemoTrust"
stopManagedWebLogic.sh managedServerName t3s://adminHostname:adminPort [wlsUsername wlsPassword]
# To stop the Administration Server
export ADMIN_URL="t3s://adminHostname:adminPort" 
stopWebLogic.sh [wlsUsername wlsPassword]

KSSによるデモンストレーション用キーストアを使用した保護された本番モードの使用

保護された本番モードが有効になっているドメインでキーストア・サービスを介して提供されるセキュアでないデモ・キーストアの使用をサポートするために、追加の構成を実行する必要がある場合があります。

Oracle Platform Security Service (OPSS)キーストア・サービス(KSS)は、ドメイン内のすべてのサーバーに対するキーと証明書の一元的な管理および格納を提供します。「Oracle OPSSキーストア・サービスの構成」を参照してください。

OPSS KSSはJRFテンプレートのみで利用でき、デフォルトのWebLogic Server構成では利用できません。次の設定の一部は、デフォルトでJRFテンプレートによってすでに構成されています。これらのデフォルト値を変更していない場合は、SSL/TLSの構成やKSSの明示的な有効化など、特定のステップをスキップできる場合があります。

  1. 次のいずれかの方法を使用して、ドメイン・モードを保護された本番モードに設定します。

    • 新しいドメインを作成し、プロンプトが表示されたら、ドメイン・モードとして保護された本番モードを選択します。

      新しいドメインを作成すると、保護された本番モードに必要な設定の多くを単一の手順で構成でき、構成が競合する可能性が低くなります。

      『構成ウィザードによるWebLogicドメインの作成』WebLogicドメインの作成に関する項を参照してください。

    • 保護された本番モードを使用するように既存のドメインを変更します。

      「ドメイン・モードの変更」を参照してください。

  2. 『Oracle WebLogic Serverサーバーの起動と停止の管理』サーバーの起動と停止に関する項の説明に従って、管理サーバーの起動オプションのいずれかを選択します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  3. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理サーバーへの接続に関する項の説明に従って、WebLogicリモート・コンソールを使用してドメインに接続します。

    管理サーバーのデフォルトのアドレスはhttps://hostname:9002になりました。httpssおよびポート番号に注意してください。

    保護された本番モードでは、SSL/TLS以外のリスニング・ポート(通常は7001)はデフォルトで無効になっており、トラフィックはSSL/TLSポートを介してルーティングされます。リスニング・ポートを構成する場合は、Oracle WebLogic Remote Consoleオンライン・ヘルプリスニング・ポートの指定に関する項を参照してください。

  4. WebLogic ServerがKSSによって提供されるデモ・キーストアを使用していることを確認します。
    1. WebLogicリモート・コンソール「ツリーの編集」で、「環境」「ドメイン」の順に移動します。
    2. 「セキュリティ」タブで、「拡張フィールドの表示」をクリックします。
    3. 「デモへのKSSの使用」オプションをオンにします。
    4. 「保存」をクリックします。
  5. Oracle WebLogic Remote Consoleオンライン・ヘルプTLSの設定に関する項の説明に従って、SSL/TLSを構成します。
  6. Oracle WebLogic Remote Consoleオンライン・ヘルプホスト名検証の有効化に関する項の説明に従って、ホスト名検証を有効にします。
  7. 変更を保存してコミットしてから、管理サーバーを再起動します。
  8. ドメインに管理対象サーバーが含まれ、WebLogicリモート・コンソールを使用して管理対象サーバーを起動する場合は、次のステップも実行します。
    1. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理対象サーバーの起動に関する項の説明に従って、WebLogicリモート・コンソールで動作するようにノード・マネージャが適切に構成されていることを確認します。
    2. UseKSSForDemo=truenodemanager.propertiesファイルに追加します。

      『Oracle WebLogic Serverノード・マネージャの管理』ノード・マネージャのプロパティに関する項を参照してください。

    3. Oracle WebLogic Remote Consoleオンライン・ヘルプ管理対象サーバーの起動引数の構成に関する項の説明に従って、管理対象サーバーのキーストアの起動引数を追加します。

      -Dweblogic.ssl.AcceptKSSDemoCertsEnabled=trueを追加します

    4. ドメイン内の同一のコンピュータ上で複数のサーバー・インスタンスが実行され、ドメイン全体の管理ポートが有効になっている場合は、次のいずれかを実行する必要があります。
      • サーバー・インスタンスをマルチホーム・マシンでホストし、各サーバー・インスタンスに一意のリスニング・アドレスを割り当てます
      • または、マシン上にある、1つを除くすべてのサーバー・インスタンスにドメイン全体のポートをオーバーライドします。各管理対象サーバーの「環境」「サーバー」myServerページで、「ローカル管理ポートのオーバーライド」フィールドに一意のポート値を入力します。
    5. 変更を保存してコミットします。
    6. 管理対象サーバーを起動します。
KSSによるデモ・キーストアを使用したドメインでのWLSTの使用

WLSTを使用する場合は、保護された本番モードが有効になっているドメインでのセキュアでないデモ・キーストアの使用をサポートするために、追加の構成を実行する必要があります。

  1. 管理サーバーを起動します。

    WebLogic Serverのインスタンスを起動および停止するためのユーザー資格証明を格納する起動IDファイルを作成できます。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理サーバーの起動IDファイルの作成に関する項を参照してください。起動IDファイルを作成する場合は、boot.propertiesファイルとその保存フォルダDOMAIN_HOME/servers/AdminServer/security/に適切な権限を設定してください。boot.propertieschmod 600を、DOMAIN_HOME/servers/AdminServer/securitychmod 740を設定することをお薦めします。

  2. WLST_PROPERTIES環境変数を更新してキーストアを構成します。
    export WLST_PROPERTIES="-Dweblogic.security.SSL.trustedCAKeyStore=WL_HOME/server/lib/DemoTrust.jks -Dweblogic.ssl.AcceptKSSDemoCertsEnabled=true"
  3. 『WebLogic Scripting Toolの理解』WLSTの呼出しに関する項の説明に従って、WLSTを使用してドメインに接続します。

    ノート:

    保護された本番モードの管理サーバーのデフォルト・アドレスは、t3s://hostname:9002です。t3ssおよびポート番号に注意してください。

起動スクリプトを使用したKSSによるデモ・キーストアを使用した管理対象サーバーの起動

ドメインでKSSによるデモ・キーストアを使用している場合は、起動スクリプトを使用して管理対象サーバーを起動できます。

  1. 各管理対象サーバーの起動IDファイルを作成します。『Oracle WebLogic Serverサーバーの起動と停止の管理』管理対象サーバーの起動IDファイルの作成に関する項を参照してください。
    ファイルとそのフォルダに適切なアクセス権を設定してください。boot.propertiesファイルにchmod 600を、フォルダDOMAIN_HOME/servers/managedServerName/security/chmod 740を設定することをお薦めします。boot.propertiesファイルを使用できない場合は、コマンドラインからサーバーを起動するときにユーザー名とパスワードを含める必要があります。
  2. startManagedWebLogicスクリプトを実行し、-Dweblogic.ssl.AcceptKSSDemoCertsEnabled=trueを追加します。管理対象サーバーの起動スクリプトについては、『Oracle WebLogic Serverサーバーの起動と停止の管理』起動スクリプトによる管理対象サーバーの起動に関する項を参照してください。

    たとえば:

    startManagedWebLogic.sh managedServerName https://adminHostname:adminPort -Dweblogic.ssl.AcceptKSSDemoCertsEnabled=true
KSSによるデモ・キーストアを使用したサーバーの停止
  • WebLogicリモート・コンソールからサーバー・インスタンスを停止するには、Oracle WebLogic Remote Consoleオンライン・ヘルプサーバーの停止に関する項を参照してください。
  • スクリプトを使用してサーバー・インスタンスを停止するには、『Oracle WebLogic Serverサーバーの起動と停止の管理』停止スクリプトによるサーバーの停止に関する項を参照してください。

    ノート:

    • キーストアの引数をJAVA_OPTIONS環境変数に追加していない場合は、サーバーを停止するときにそれらを含める必要があります。

    • boot.propertiesファイルが構成されていない場合は、コマンドラインにユーザー名とパスワードを含める必要があります。

    • ドメインURLのプロトコルとしてT3sのかわりにHTTPSを使用する場合は、トンネリングおよびデフォルトの内部サーブレットを有効にする必要があります。ServerMBean.TunnelingEnabledtrueに、ServerMBean.DefaultInternalServletsDisabledfalseに設定します。

    たとえば:

    export JAVA_OPTIONS="-
Dweblogic.security.SSL.trustedCAKeyStore=WL_HOME/server/lib/DemoTrust.jks -
Dweblogic.ssl.AcceptKSSDemoCertsEnabled=true"
# To stop a Managed Server
./stopManagedWebLogic.sh managedServerName t3s://adminHostname:adminPort [wlsUsername 
wlsPassword]
# To stop the Administration Server
export ADMIN_URL="t3s://adminHostname:adminPort"
./stopWebLogic.sh [wlsUsername wlsPassword]

SSL/TLSを使用しない保護された本番モードの使用

デフォルトでは、保護された本番モードのドメインが起動すると、デフォルトのSSL/TLSおよび管理チャネルが使用されます。ドメインまたはその起動メカニズムが適切に構成されていない場合、接続できません。ただし、SSL/TLSの要件を無視するようにドメインを変更できます。

  1. WebLogicリモート・コンソール「ツリーの編集」で、「環境」「ドメイン」の順に移動します。
  2. 「リスニング・ポート有効」オプションをオンにします。
  3. 「管理ポートの有効化」オプションをオフにします。
  4. 「SSL有効」オプションをオフにします。
  5. 「保存」をクリックします。
  6. ドメインにクラスタが含まれている場合は、「環境」「クラスタ」の順に移動します。各クラスタで、次の変更を行います。
    1. 「レプリケーション」タブで、「セキュア・レプリケーションの有効化」をオフにします。
    2. 「保存」をクリックします。
  7. 変更をコミットします。
  8. 管理サーバーおよびすべての管理対象サーバーを再起動します。

WLSTオフラインを使用して、SSL/TLS要件を無効にすることもできます。『WebLogic Scripting Toolの理解』例: 保護された本番モードにおけるドメインでのTLS/SSLの無効化に関する項を参照してください。