24 SSLの構成
ノート:
Oracle WebCenter Portalでは、Jive機能(お知らせおよびディスカッション/ディスカッション・フォーラム)のサポートが非推奨となりました。したがって、Jive機能は14.1.2インスタンスでは使用できません。
権限:
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
ノート:
次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません。
-
BPELサーバー - Oracle BPM Worklist
-
WSRPプロデューサ
-
ディスカッションおよびお知らせ
トピック:
24.1 SSLを使用したブラウザからWebCenter Portalへの接続の保護
この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。
ノート:
デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられます。WC_Portal
をサーバーとして、およびOPSSをキーストア・サービスとして使用します。
WebLogic Server環境でのSSL構成の詳細およびステップは、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。
OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSS
タイプのキーストアを作成して管理します。
SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次のステップで構成されます。
24.1.2 カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle WebLogic Serverセキュリティの管理』のカスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主なステップに関する項を参照してください。
次のステップでは、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。
IDキーストアおよび信頼キーストアを構成するには:
24.1.3 SSL接続の構成
SSL接続の構成の概要は、『Oracle WebLogic Serverセキュリティの管理』のアウトバウンド双方向SSL接続のクライアント証明書の指定に関する項を参照してください。
SSL接続を構成するには:
24.2 SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護
Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。
24.3 SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護
SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。
24.3.1 ポートレット・プロデューサのカスタム・キーストアの作成
KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次のステップが必要です。
-
WLSTコンソールを使用して、WebLogic Serverに接続します。
connect('weblogic','password','host:port’)
-
OPSSサービス参照を取得します。
svc = getOpssService(name='KeyStoreService')
-
新しいキーストアを作成します。
ノート:
システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアが作成されるストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)
-
-
キー・ペアを生成します。
svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')
ここで:-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キー・ペアが生成されるキーストアの名前
-
password = キーストアのパスワード
-
dn = キー・ペアをラップする証明書の識別名
-
keysize = キーのサイズ
-
alias = キー・ペア・エントリの別名
-
keypassword = キーのパスワード
-
-
オプションで、キーストアとキーストア内の別名をリストします。
これは、
system/portlet_wls
をリストします:svc.listKeyStores(appStripe='*')
-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアをリストするストライプの名前
これは、エイリアスportlet_wls
をリストします:svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")
-
svc =
getOpssService()
へのコールによって取得したサービス・コマンド・オブジェクト -
appStripe = キーストアを含むストライプの名前
-
name = キーストアの名前
-
password = キーストアのパスワード
-
type = 別名をリストするエントリのタイプ。有効な値は、
Certificate
、TrustedCertificate
、SecretKey
または*
です
-
-
syncKeyStores
を実行します。syncKeyStores(appStripe='system', keystoreFormat='KSS')
24.3.2 ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成
次のステップでは、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portlet
など)。
アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。
ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成するには:
-
WebLogic Server管理コンソールにログインします。
WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。
-
「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。
「サーバーのサマリー」ペインが表示されます。
-
アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(
WC_Portlet
など)をクリックします。ポートレット・サーバーの「設定」ペインが表示されます。
-
「構成」タブ、「キーストア」サブタブの順に開きます。
「キーストア」ペインが表示されます。
-
「変更」をクリックします。
-
「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします
-
「アイデンティティ」の下で、
kss://system/portlet_wls
(「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。 -
「カスタム・アイデンティティ・キーストアのタイプ」として、
KSS
と入力します。 -
カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(
welcome1
など)。 -
「信頼」の下で、「カスタム信頼キーストア」を
kss://system/trust
に設定し、「保存」をクリックします。 -
「カスタム信頼キーストアのタイプ」として
KSS
を入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。 -
「SSL」タブを開きます。
-
秘密キーの別名(
portlet_wls
など)を入力し、秘密キーのパスワード(welcome1
など)を設定します。 -
「保存」をクリックして、エントリを保存します。
24.3.3 ポートレット・プロデューサのSSL接続の構成
SSLを構成するには、『Oracle WebLogic Serverセキュリティの管理』ガイドのWebLogic ServerにおけるSSLの構成の概要に関する項を参照してください。
ポートレット・サーバーのSSL接続を構成するには:
24.3.4 SSL対応WSRPプロデューサの登録およびポートレットの実行
WebCenter Portalにポートレットを登録するために、WC_Portal
管理対象サーバーを構成します。これは、JAVA_HOME
トラスト・ストア(/jdk/jre/lib/security/cacerts
)内の証明書も使用します。
SSL対応WSRPプロデューサを登録し、ポートレットを実行するには:
ノート:
次のステップは自己署名証明書に必要であり、CA署名証明書には必要ありません。- SSL WSRPポートレットURL (
https://host:port/<context-root>/portlets/wsrp2?WSDL
)にアクセスしたときに、証明書が生成され、ブラウザに保存されています。 - 証明書をダウンロードして、
.PEM
または.crt
形式で保存します。Firefox 3.0以降を使用して、証明書を直接
.PEM
形式にダウンロードします。他のブラウザの場合は、WebLogic Serverder2pem
ツールを使用してPEM形式に変換します。der2pem
ツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemに関する項を参照してください。 - 次のkeytoolコマンドを使用して、
/jdk/jre/lib/security
内のcacerts
ファイルに証明書をインポートします。keytool -importcert -alias portlet_cert -file portlet_pem -keystore cacerts
ここで:
-
portlet_cert
は、ポートレット証明書の別名です。 -
portlet_pem
は、ポートレット証明書ファイルです(たとえば、portlet_cert.pem
)。
-
WC_Portal
を再起動します。
- SSL対応ポートレットURLを登録します。registerWSRPProducer WLSTコマンドを実行して、プロデューサを登録します。
registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl')
ここで:
-
sslwsrpprod
は、SSL対応WSRPプロデューサの名前です。 -
producer_wsdl
は、SSL対応WSRPプロデューサのWSDL URLです。
たとえば:
registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.com:7004/richtextportlet/portlets/wsrp2?WSDL')
-
- HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。
- ページを作成し、「ポートレット」リンクに移動します。
- 登録済のWSRPプロデューサに移動します。
- ポートレットをページに追加します。
- ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。
24.4 WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護
SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うためのステップは、「アイデンティティ・ストアの構成」を参照してください。
Oracle WebLogicサーバーにとってCA
が不明である場合は、次の各項で説明している追加ステップを完了します。
24.5 SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護
メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次のステップに従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。
SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護するには:
24.6 SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護
この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。
ノート:
SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。
SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護するには:
24.7 SSLを使用したWebCenter PortalからContent Serverへの接続の保護
24.7.1 ソケットSSLのためのコンテンツ・サーバーSSLの構成
コンテンツ・サーバーのソケットSSLを構成するには、『Oracle WebCenter Contentでの開発』のSSLの構成に関する項を参照してください。
serverPort
keystoreLocation
- client_keystorekeystorePassword
- idcidcprivateKeyAlias
- SecureClientprivateKeyPassword
- idcidc
24.7.2 WebCenter Portalでのコンテンツ・サーバーSSL接続の作成
ソケットSSL接続の作成
WebCenter Portalでのコンテンツ・サーバー接続の作成
- コンテンツ・サーバー接続を作成するには、次のことを実行します:
createContentServerConnection (appName='webcenter', name='dev-ucm', socketType='socketssl', serverHost='100.111.149.197', serverPort='4443',keystoreLocation='/scratch/mw_home/keystores/identity.p12',keystorePassword='welcome1',privateKeyAlias='trustcert',privateKeyPassword='welcome1',adminUsername='weblogic',isPrimary='true')"
ノート:
serverPort
はSSLポートである必要があります。キーストア構成の詳細は、「ソケットSSLのためのコンテンツ・サーバーSSLの構成」を参照してください。WLSTコマンドを使用してコンテンツ・サーバー接続を作成するときに、前のステップでメモした値(キーストアや別名など)を使用します。createContentServerConnectionの詳細は、『WebCenter WLSTコマンド・リファレンス』のWebCenter PortalカスタムWLSTコマンドに関する項および「Oracle WebCenter Content Serverへの接続の管理」を参照してください。
- ポータル・サーバーを再起動します。
- ここで、コンテンツ管理タスクフローにアクセスし、文書化されたユースケースをテストします。
JAX-WS SSL接続の作成
ノート:
次のステップは自己署名証明書に必要であり、CA署名証明書には必要ありません。- Firefoxブラウザでコンテンツ・サーバーのURL:
https://host:port/cs
を入力します。URLにアクセスするときに、証明書が生成され、ブラウザに保存されます。 - 証明書をダウンロードし、.PEMまたは.CRT形式で保存します。
- 次のコマンドを使用して、
JDK_HOME
内のcacertsに証明書をインポートします。keytool -importcert -alias collab_cert –file /filepath/sslcertificate/contentcert.crt –keystore..../oracle_common/jdk/jre/lib/security/cacerts
- パスワードを求められたら
changeit
を入力し、YES
を入力します。
WebCenter Portalでのコンテンツ・サーバー接続の作成
- コンテンツ・サーバー接続を作成するには、次のことを実行します:
createContentServerConnection(appName='webcenter', name='dev-ucm', socketType='jaxws', url='https://<ucm_host>:<sslPort>/idcnativews', clientSecurityPolicy='oracle/wss10_saml_token_client_policy', adminUsername='weblogic',isPrimary='true') setContentServerProperties(appName='webcenter', portalServerIdentifier='/WCP01', securityGroup='WCP01', adminUserName='weblogic')
ノート:
URLは、WebCenter Contentのhttps URLである必要があります。 - ポータル・サーバーを再起動します。
- ここで、コンテンツ管理タスクフローにアクセスし、文書化されたユースケースをテストします。