24 SSLの構成

SSLを使用して、WebCenter Portalとコンポーネントを保護します。

ノート: Oracle WebCenter Portalでは、Jive機能(お知らせおよびディスカッション/ディスカッション・フォーラム)のサポートが非推奨となりました。したがって、Jive機能は14.1.2インスタンスでは使用できません。

権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。

「管理操作、ロールおよびツールの理解」も参照してください。

ノート: 次のサービスやアプリケーションでは、メッセージ保護付きのWS-Securityを使用できるため、SSLのためのハード要件はありません:

• BPELサーバー - Oracle BPM Worklist
• WSRPプロデューサ

トピック:

• SSLを使用したブラウザからWebCenter Portalへの接続の保護

• SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護

• SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護

• WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護

• SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護

• SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護

• SSLを使用したWebCenter PortalからContent Serverへの接続の保護

親トピック: セキュリティの管理

SSLを使用したブラウザからWebCenter Portalへの接続の保護

この項では、WebCenter Portalで使用するOracle Platform Security Services (OPSS)キーストア・サービスの構成方法の概要を説明します。これにはFusion Middleware Controlも使用できますが、このドキュメントの範囲はWLSTの使用方法に制限されています。

ノート:デフォルトのJavaキーストア・サービス(JKS)は、Oracle Platform Security Services (OPSS)キーストア・サービスに置き換えられました。WC_Portalをサーバーとして、およびOPSSをキーストア・サービスとして使用します。

WebLogic Server環境でのSSL構成の詳細およびステップは、『Oracle Platform Security Servicesによるアプリケーションの保護』のキーストア・サービスを使用したキーと証明書の管理を参照してください。

OPSSキーストア・サービスでは、メッセージ・セキュリティを確保するためにキーおよび証明書を管理する代替の方式が提供されています。OPSSキーストア・サービスは、ドメイン内のすべてのサーバーのキーと証明書を一元的に管理および保存することで、証明書とキーの使用を容易にします。OPSSキーストア・サービスを使用して、KSSタイプのキーストアを作成して管理します。

SSLを使用したブラウザからWebCenter Portalへの接続の保護は、次のステップで構成されます。

• カスタム・キーストアの作成

• カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

• SSL接続の構成

カスタム・キーストアの作成

最初のステップでは、WebCenter Portalにカスタム・キーストアを生成します。

キーストア・サービスを構成するには:

1. WLSTコンソールを使用して、WebLogic Serverに接続します。

   connect('user_name','password, 'hostname:port')
   

2. OPSSサービスの参照名を取得します。

   svc = getOpssService(name='KeyStoreService')
   

3. 新しいキーストアを作成します。

   ノート: システム・ストライプにキーストアを作成し、その権限をfalseに設定する必要があります。

   次のコマンドを入力します。

   svc.createKeyStore(appStripe='system', name='webcenter_wls', password='password', permission=false)
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアが作成されるストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)

4. キー・ペアを生成します。

   実際の別名、ドメイン名および資格証明を使用します。次の例では、デフォルトのCA署名証明書も使用します。

   svc.generateKeyPair(appStripe='system', name='webcenter_wls', password='password', dn='cn=webcenteridentity,dc=example,dc=com', keysize='2048', alias='webcenter_wls',  keypassword='password')
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キー・ペアが生成されるキーストアの名前

   • password = キーストアのパスワード

   • dn = キー・ペアをラップする証明書の識別名

   • keysize = キーのサイズ

   • alias = キー・ペア・エントリの別名

   • keypassword = キーのパスワード

5. (オプション)次のコマンドを使用して、キーストアとキーストア内の別名をリストします。

   svc.listKeyStores(appStripe='*')
   

   これにより、system/webcenter_wlsがリストされます。

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアをリストするストライプの名前

   次のように入力します。

   svc.listKeyStoreAliases(appStripe="system",name="webcenter_wls", password="password", type="*")
   

   これにより、別名webcenter_wlsがリストされます。

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*です

6. 次のsyncKeyStoresコマンドを実行します。

   syncKeyStores(appStripe='system', keystoreFormat='KSS')
   

7. WC_Portal管理対象サーバーを再起動します。

カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、『Oracle WebLogic Serverセキュリティの管理』のカスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主なステップを参照してください。

次のステップでは、WebCenter Portalサーバーに、カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアを構成します。

IDキーストアおよび信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。

2. アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenter Portalサーバー(WC_Portal)をクリックします。

   WebCenter Portalサーバーの「設定」ペインが開きます。

3. 「構成」タブ、「キーストア」サブタブの順に開きます。

   「キーストア」ペインが開きます。

4. 「変更」をクリックします。

5. 「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします

6. 「アイデンティティ」の下で、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。

   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」の例を使用する場合は、kss://system/webcenter_wlsを入力します

   ここで:

   • alias = system

   • keystore_alias_name = webcenter_wls

7. 「カスタム・アイデンティティ・キーストアのタイプ」として、KSSと入力します。

8. カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します。

9. 「信頼」の下で、「カスタム信頼キーストア」をkss://system/trustに設定します。

10. 「カスタム信頼キーストアのタイプ」にKSSと入力し、「保存」をクリックしてエントリを保存します。

11. 「SSL」タブを開きます。

12. 「秘密キーの別名」(webcenter_wlsなど)および「秘密キーのパスフレーズ」(welcome1など)を入力し、「保存」をクリックしてエントリを保存します。

SSL接続の構成

SSL接続の構成の概要は、『Oracle WebLogic Serverセキュリティの管理』のアウトバウンド双方向SSL接続のクライアント証明書の指定を参照してください。

SSL接続を構成するには:

1. WebCenter Portalサーバーの「設定」ペインで、「構成」タブ、「全般」サブタブの順に開きます。

   「一般構成」ペインが表示されます。

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力し、「保存」をクリックします。

4. 「構成」タブで、「SSL」サブタブを開き、ページの下部にある「詳細」オプションを開きます。

   SSLの詳細オプションが表示されます。

5. 「相互クライアント証明書の動作」オプションを「クライアント証明書をリクエストしない」に設定し、「保存」をクリックします。

6. 「設定」ペインの「制御」タブを開き、「起動と停止」サブタブを選択します。

7. 「SSLの再起動」をクリックします。

8. WebLogic Serverを再起動し、SSL WebCenter Portal URLを開きます。

   開発環境またはテスト環境の場合のみ(つまり、本番環境ではない場合)、証明書内のホスト名が実際のホスト名に一致しないときは、サーバーを次のコマンドで起動する必要があります。

   -Dweblogic.security.SSL.ignoreHostnameVerification=true

9. セッションの証明書を受け入れ、ログインします。

SSLを使用したOracle HTTP ServerからWebCenter Portalへの接続の保護

Oracle HTTP Server (OHS)とWebCenter Portalとの間の接続の保護については、次の各項で説明しています。

• カスタム・アイデンティティ・キーストアおよびカスタム信頼キーストアの構成

• SSL接続の構成

• WebCenter PortalポートからHTTP Serverへのワイヤリング

• SSL証明書の構成

WebCenter PortalポートからHTTP Serverへのワイヤリング

WebCenter PortalポートからHTTP Serverにワイヤリングするには:

1. OHS 12cをインストールして構成します(『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverソフトウェアのインストールを参照してください)。

   デフォルトでは、SSLポートを使用して構成されています。

2. ファイルDOMAIN_HOME/config/fmwconfig/components/OHS/instances/ohs1/mod_wl_ohs.confを開きます。

3. WebCenter URLをmod_wl_ohs.confに追加して、WebCenter PortalがOHSと連動するようにします。

   <Location/webcenter>
   SetHandler weblogic-handler
   WebLogicHost host_id
   WebLogicPort port
   </Location>
   

   host_idおよびportをWebLogicサーバーIDおよびポート番号に置き換えます。

   ノート: mod_wl_ohsを使用する場合は、『Oracle WebLogic Serverプロキシ・プラグイン12.2.1の使用』のOracle WebLogic Serverプロキシ・プラグインの構成準備に記載されている前提条件を完了する必要があります。

4. ノード・マネージャを起動します。

   DOMAIN_HOME/bin/startNodeManager.sh &
   

   『Oracle HTTP Serverのインストールと構成』のノード・マネージャの起動を参照してください。

5. OHSサーバーを再起動します。

   DOMAIN_HOME/bin/stopComponent.sh ohs1 & DOMAIN_HOME/bin/startComponent.sh ohs1
   

6. 次のURLが機能していることを確認します。

   http://OHS_12c_installation_host:port

   http://OHS_12c_installation_host:OHS_12c_installation_port*/webcenter

7. OHS SSLを使用して、WebCenter SSLポートを構成します。

   1. 次のURLをチェックして、OHS SSLポートが稼働中であることを確認します。

      https://ohs_ssl_host:ohs_ssl_port
      

   2. WebCenter SSLポートを構成するには、ファイルOHSのssl.confファイル(DOMAIN_HOME/config/fmwconfig/components/OHS/instances/ohs1/ssl.confを開きます。

   3. 次のエントリ(WebCenter SSLのホストおよびポート)をssl.confに追加して、WebCenter PortalがOHS SSLポートで実行されるようにします。

      ノート: このスニペットは、</VirtualHost>タグの直前に挿入する必要があります(つまり、仮想ホスト・タグの末尾)。

      <Location /webcenter>
            SetHandler weblogic-handler
            WebLogicHost host_id
            WebLogicPort port
            SecureProxy ON
            WlSSLWallet /filepath/ohs12c/user_projects/domains/base_domain/config/fmwconfig/components/OHS/instances/ohs1/keystores/default
      </Location>
      

8. OHSを再起動します。

SSL証明書の構成

WebCenter Portalの証明書を信頼するようにOHSを構成するには、WC_Portal証明書をOHSトラスト・ストアにインポートする必要があります。

SSL証明書を構成するには:

1. 次のWLSTを使用して、WC_Portalアイデンティティ・キーストアからWC_Portal証明書をエクスポートします。

   svc = getOpssService(name='KeyStoreService')
   svc.exportKeyStoreCertificate(appStripe='system', name='webcenter_wls', password='password', alias='webcenter_wls', type='TrustedCertificate', filepath='/filepath/certificate/webcenter.cer')
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificateまたはCertificateChainです

   • filepath = 証明書、信頼できる証明書または証明書チェーンのエクスポート先のファイルの絶対パス

2. この証明書をOHS側のウォレットにインポートします。

   /domain_home/config/fmwconfig/components/OHS/instances/ohs1/keystores/defaultに移動し、次のorapkiコマンドを実行します(通常はIDM_HOMEに配置されている):

   setenv JAVA_HOME /Java_install_location/jdk1.8.0_40/
   /OHS_install_location/oracle_common/bin/orapki wallet add -wallet . -trusted_cert -cert <webcenter_wls.cer location> -auto_login_only
   

3. OHS証明書を信頼するようにWebCenter Portalを構成するには、OHSウォレットからユーザー証明書をエクスポートして、それをWebLogicトラスト・ストアに信頼できる証明書としてインポートします。

   /OHS_install_location/oracle_common/bin/orapki wallet display -wallet .
   /OHS_install_location/oracle_common/bin/orapki wallet export -wallet . -cert cert.txt -dn '*dn_value*'
   

   ここで、dn_valueは、wallet display -walletコマンドで返される結果を指します。

4. OHS証明書をWC_Portal管理対象サーバーのトラスト・ストアにインポートします。

   keytool -importcert -alias ohs_cert -file *wls_java_home*/jre/lib/security/cacerts
   

   ここで、*wls_java_home*はWebLogic Javaホーム・ディレクトリを指し、keytoolは*wls_java_home*/jre/bin/keytoolにインストールされています。*wls_java_home*のパスを見つけるには、*domain_home*/bin/setDomainEnv.sh (UNIX)または*domain_home*\bin\setDomainEnv.cmd (Windows)を実行できます。

5. WebCenterでは、WebLogicコンソールにログインして、WebLogicプラグインのチェック・ボックスが有効になっているかを確認します。

   1. WebLogicコンソールにログインします。

   2. 左側のナビゲーションでドメイン名をクリックします。

   3. 「Webアプリケーション」タブをクリックします。

   4. 「WebLogicプラグインの有効化」オプションを選択して、「保存」をクリックします。

6. OHSおよびWC_Portalサーバーを再起動します。

   これで、SSL OHS URL (https://<ohs ssl host>:<ohs ssl port>/webcenter)にアクセスできるようになりました。

7. URLにアクセスした後、証明書を受け入れます。

SSLを使用したWebCenter Portalからポートレット・プロデューサへの接続の保護

SSLを使用したWSRPへの接続の保護については、次の各項で説明しています。

• ポートレット・プロデューサのカスタム・キーストアの作成

• ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成

• ポートレット・プロデューサのSSL接続の構成

• SSL対応WSRPプロデューサの登録およびポートレットの実行

ポートレット・プロデューサのカスタム・キーストアの作成

KSSキーストアを使用してWebCenterポートレットでSSLを構成するには、次のステップが必要です。

1. WLSTコンソールを使用して、WebLogic Serverに接続します。

   connect('weblogic','password','host:port’)  
   

2. OPSSサービス参照を取得します。

   svc = getOpssService(name='KeyStoreService')
   

3. 新しいキーストアを作成します。

   ノート: システム・ストライプにキーストアを作成し、その権限をfalseにする必要があります。

   svc.createKeyStore(appStripe='system', name='portlet_wls', password='password', permission=false)
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアが作成されるストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • permission = 権限とパスワードの両方によって保護する場合はfalse (キーストアを権限のみで保護する場合はtrue)

4. キー・ペアを生成します。

   svc.generateKeyPair(appStripe='system', name='portlet_wls', password='password', dn='cn=customidentity,dc=example,dc=com', keysize='2048', alias='portlet_wls', keypassword='password')
   

   ここで:

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キー・ペアが生成されるキーストアの名前

   • password = キーストアのパスワード

   • dn = キー・ペアをラップする証明書の識別名

   • keysize = キーのサイズ

   • alias = キー・ペア・エントリの別名

   • keypassword = キーのパスワード

5. オプションで、キーストアとキーストア内の別名をリストします。

   これは、system/portlet_wlsをリストします:

   svc.listKeyStores(appStripe='*')
   

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアをリストするストライプの名前

   これは、エイリアスportlet_wlsをリストします:

   svc.listKeyStoreAliases(appStripe="system",name="portlet_wls", password="password", type="*")
   

   • svc = getOpssService()へのコールによって取得したサービス・コマンド・オブジェクト

   • appStripe = キーストアを含むストライプの名前

   • name = キーストアの名前

   • password = キーストアのパスワード

   • type = 別名をリストするエントリのタイプ。有効な値は、Certificate、TrustedCertificate、SecretKeyまたは*です

6. syncKeyStoresを実行します。

   syncKeyStores(appStripe='system', keystoreFormat='KSS')
   

ポートレット・プロデューサのアイデンティティ・キーストアと信頼キーストアの構成

次のステップでは、WebCenterポートレット・サーバーに、カスタム・アイデンティティ・キーストアと信頼キーストアを構成します(WC_Portletなど)。

アイデンティティ・キーストアおよび信頼キーストアの構成方法の概要は、「SSLを使用したブラウザからWebCenter Portalへの接続の保護」を参照してください。

ポートレット・サーバーのアイデンティティ・キーストアと信頼キーストアを構成するには:

1. WebLogic Server管理コンソールにログインします。

   WebLogic Server管理コンソールへのログインの詳細は、「Oracle WebLogic Server管理コンソール」を参照してください。

2. 「ドメイン構造」ペインで、「環境」を開き、「サーバー」をクリックします。

   「サーバーのサマリー」ペインが表示されます。

3. アイデンティティ・キーストアおよび信頼キーストアを構成するWebCenterポートレット・サーバー(WC_Portletなど)をクリックします。

   ポートレット・サーバーの「設定」ペインが表示されます。

4. 「構成」タブ、「キーストア」サブタブの順に開きます。

   「キーストア」ペインが表示されます。

5. 「変更」をクリックします。

6. 「キーストア」として「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします

7. 「アイデンティティ」の下で、kss://system/portlet_wls (「ポートレット・プロデューサのカスタム・キーストアの作成」)で作成したカスタム・アイデンティティ・キーストアのパスとファイル名を入力します。

8. 「カスタム・アイデンティティ・キーストアのタイプ」として、KSSと入力します。

9. カスタム・アイデンティティ・キーストアのパスワードを入力し、確認のためにもう一度入力します(welcome1など)。

10. 「信頼」の下で、「カスタム信頼キーストア」をkss://system/trustに設定し、「保存」をクリックします。

11. 「カスタム信頼キーストアのタイプ」としてKSSを入力し、カスタム信頼キーストアのパスワードを入力し、確認のためにもう一度入力して、「保存」をクリックします。

12. 「SSL」タブを開きます。

13. 秘密キーの別名(portlet_wlsなど)を入力し、秘密キーのパスワード(welcome1など)を設定します。

14. 「保存」をクリックして、エントリを保存します。

ポートレット・プロデューサのSSL接続の構成

SSLを構成するには、『Oracle WebLogic Serverセキュリティの管理』ガイドのWebLogic ServerにおけるSSLの構成の概要を参照してください。

ポートレット・サーバーのSSL接続を構成するには:

1. WebCenterポートレット・サーバー(WC_Portlet)の「設定」ペインで、「構成」タブを開き、「全般」サブタブを開きます。

2. 「SSLリスニング・ポートの有効化」を選択します。

3. SSLリスニング・ポート番号を入力します。

4. 「保存」をクリックします。

5. 「構成」→「SSL」を選択し、ページの下部にある「詳細」オプションを開きます。

6. 「相互クライアント証明書の動作」オプションが、「クライアント証明書をリクエストしない」に設定されていることを確認します。

7. 「保存」をクリックします。

8. 「制御」タブを開きます。

   「制御設定」ペインが開きます。

9. 「SSLの再起動」をクリックします。

10. ポートレット・サーバー(WC_Portlet)を再起動して、SSL WSRPポートレットのURL (https://host:port/<context-root>/portlets/wsrp2?WSDL)を開きます。

11. セッションの証明書を受け入れ、WSDLをロードします。

SSL対応WSRPプロデューサの登録およびポートレットの実行

WebCenter Portalにポートレットを登録するために、WC_Portal管理対象サーバーを構成します。これは、JAVA_HOMEトラスト・ストア(/jdk/jre/lib/security/cacerts)内の証明書も使用します。

SSL対応WSRPプロデューサを登録し、ポートレットを実行するには:

WebCenterポートレットSSL証明書をWebCenter Portalキーストア(cacerts)にインポートするには:

ノート: 次のステップは自己署名証明書に必要であり、CA署名証明書には必要ありません。

1. SSL WSRPポートレットURL (https://host:port/<context-root>/portlets/wsrp2?WSDL)にアクセスしたときに、証明書が生成され、ブラウザに保存されています。

2. 証明書をダウンロードして、.PEMまたは.crt形式で保存します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemを参照してください。

3. 次のkeytoolコマンドを使用して、/jdk/jre/lib/security内のcacertsファイルに証明書をインポートします。

   keytool -importcert -alias portlet_cert -file portlet_pem -keystore cacerts
   

   ここで:

   • portlet_certは、ポートレット証明書の別名です

   • portlet_pemは、ポートレット証明書ファイルです(たとえば、portlet_cert.pem)。

4. WC_Portalを再起動します。

SSL対応WSRPプロデューサを登録し、ポートレットを実行するには:

1. SSL対応ポートレットURLを登録します。registerWSRPProducer WLSTコマンドを実行して、プロデューサを登録します。

   registerWSRPProducer('webcenter', 'sslwsrpprod','producer_wsdl')
   

   ここで:

   • sslwsrpprodは、SSL対応WSRPプロデューサの名前です

   • producer_wsdlは、SSL対応WSRPプロデューサのWSDL URLです

   たとえば:

   registerWSRPProducer('webcenter', 'sslwsrpprod','https://example.com:7004/richtextportlet/portlets/wsrp2?WSDL')
   

2. HTTPまたはHTTPSのWebCenter Portal URLにナビゲートします。

3. ページを作成し、「ポートレット」リンクに移動します。

4. 登録済のWSRPプロデューサに移動します。

5. ポートレットをページに追加します。

6. ページの表示モードに変更して、WSRPポートレットが適切にレンダリングすることを確認します。

WebCenter PortalからLDAPアイデンティティ・ストアへの接続の保護

SSL用にLDAPサーバー・ポートを構成するには、LDAPサーバーの適切な管理ドキュメントを参照してください。Oracle Internet Directory (OID)ではデフォルトで、SSLポートがインストールされます。WebCenter PortalからLDAP通信にこのポートを使用するには、適切なオーセンティケータにより認証できるようにアイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアに対してこの作業を行うためのステップは、「アイデンティティ・ストアの構成」を参照してください。

Oracle WebLogicサーバーにとってCAが不明である場合は、次の各項で説明している追加ステップを完了します。

• OID認証局(CA)のエクスポート

OID認証局(CA)のエクスポート

次の各トピックでは、OIDへのWebCenter Portal接続を保護する方法について説明します。

1. OIDでのSSLの有効化

2. OID証明書のインポート

3. SSL接続の確立

OIDでのSSLの有効化

このトピックでは、OIDでSSLを有効にする方法について説明します。

ノート: OIDはserver authモードで構成する必要があります。

1. 次のコマンドを実行して、Oracleウォレットを作成します。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet create -wallet <wallet_location>/OID_Wallet -auto_login
   

   ノート: 要求されたら、パスワードを入力します。

   各要素の意味は次のとおりです。

   • <OID_INSTALL_LOC>はOIDがインストールされている場所です。

     <wallet_location>はOID_Walletという名前の新しいウォレットを作成する場所です。ウォレットの場所を指定しない場合、新しいウォレットは、コマンドを実行する、現在のディレクトリ内に作成されます。

2. 次のコマンドを実行して、Oracleウォレットに証明書を追加します。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet add -wallet -wallet <wallet_location>/OID_Wallet -dn cn=<Domain name> -keysize 2048 -self_signed -sign_alg sha1 -validity 1000
   

   各要素の意味は次のとおりです。

   • <OID_INSTALL_LOC>はOIDのインストール場所です。

   • <wallet_location>はウォレットの場所です。

   • cnはOIDサーバーがインストールされているドメインの名前です。/etc/hostsファイルでドメイン名を確認できます。

     たとえば、cn=<Domain name>などです。  

   • -sign_algは署名アルゴリズムです。MD5は署名アルゴリズムのデフォルト値です。    

     JDKの最新バージョンであるJDK8はMD5アルゴリズムをサポートしないので、署名アルゴリズムにはsha1またはsha2を指定する必要があります。たとえば、sha1です。

   • -self_signedは自己署名証明書です。

     CAにより信頼された証明書を取得し、適切にインポートすることもできます。詳細は、「Secure Sockets Layer (SSL)の構成」を参照してください。

3. 次のコマンドを実行してOIDでSSLパラメータを構成します。

   ldapmodify -h OID_host -p OID_port -D cn=OID_admin -w password
   dn:cn=oid1,cn=osdldapd,cn=subconfigsubentry
   changetype: modify
   replace: orclsslauthentication
   orclsslauthentication: 32
   -
   replace: orclsslwalleturl
   orclsslwalleturl: file://<wallet_location>/OID_wallet
   

4. OIDサーバーを再起動します。

5. 次のコマンドを実行することで、SSL接続が正常に作成されたことを確認します。

   ./ldapbind -h OID_host -p OID_port -U 2 -W file://<wallet_location>/OID_Wallet  -P password
   

   各要素の意味は次のとおりです。

   • <wallet_location>/OID_Walletはウォレットの場所です。

6. 次のコマンドを実行して証明書をエクスポートします。

   <OID_INSTALL_LOC>/oracle_common/bin/orapki wallet export -wallet /<wallet_location>/OID_Wallet -dn "cn=<Domain name>" -cert oid_trust.cer
   

   各要素の意味は次のとおりです。

   • <OID_install_LOC>/<wallet_location>/OID_Walletはウォレットの場所です。

   • oid_trust.cerは証明書です。デフォルトでは、ウォレットの証明書は、コマンドが実行される現行ディレクトリに作成されます。パスを指定する場合、ウォレットの証明書は/OID_Install_LOC/oid_cert_trust.cerなどの指定された場所に作成されます。

OID証明書のインポート

このトピックでは、OID証明書をWebCenterのWebLogic Serverトラスト・ストアにインポートする方法について説明します。

ノート: この手順はWebCenter PortalサーバーがインストールされているWebLogicドメインで実行する必要があります。

1. 次のコマンドを使用して、証明書をWebCenter PortalのOracle WebLogic Server信頼ストアにインポートします。

   keytool -importcert -v -trustcacerts -alias oid_server_trust -file oid_trust.cer -keystore cacerts -storepass changeit
   

   ノート: cacertsパスは、次の手順で取得できます:

   1. WebLogicコンソールにログインし、「サーバー」に移動し、WC_Portalサーバーをクリックします。

   2. 「構成」をクリックし、「キーストア」サブタブをクリックします。

   3. Java標準信頼キーストアで指定されたパスを確認します。

      ノート: Java標準信頼キーストアで指定されたパスはcacertパスです。

2. Oracle WebLogic ServerでOIDを構成します。

   詳細は、「Oracle Internet Directoryオーセンティケータの構成」を参照してください。

   ノート: プロバイダ固有の情報を入力する場合は、SSLホストおよびポートを指定して、「SSLの有効化」チェック・ボックスを選択してください。

SSL接続の確立

このトピックでは、アイデンティティ・ストアとLDAPサーバー間にSSL接続を確立する方法について説明します。

ノート: この手順はWebCenter PortalサーバーがインストールされているWebLogicドメインで実行する必要があります。

1. 次のスクリプトを実行して、環境を設定します。

   setenv WL_HOME <WCP_INSTALL_LOCATION>/wlserver  
   setenv ORACLE_HOME <WCP_ORACLE_HOME> 
   cd $WL_HOME/server/bin 
   ./setWLSEnv.sh 
   cd $ORACLE_HOME/oracle_common/bin
   

2. 次のスクリプトを使用して、キーストアを作成します。

   libovdconfig.sh -host wls_host -port wls_adminserver_port -userName
   wls_user_name -domainPath full_path_domain_home -createKeystore
   

   • hostはOracle WebLogic Serverホストです。

   • portはOracle WebLogic Serverの管理サーバーのポートです。

   • usernameはOracle WebLogic Serverの管理ユーザー名です。

   • domainPathはドメイン・ホームへの完全パスです。

   ノート: キーストアは次の場所に作成されます。keystore $DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks

3. keytoolコマンドを使用して、証明書をキーストアにインポートします。adapters.jksという名前のキーストアに対する構文は次のとおりです。

   以前に生成したOIDをエクスポートしたことを確認します。詳細は、「OIDでのSSLの有効化」を参照してください。

   ノート: キーストアadapters.jksがステップ2で作成されます。

   $JAVA_HOME/bin/keytool -importcert 
   -keystore $DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks 
   -storepass keystore_password_used_in_libovdconfig.sh 
   -alias alias_name 
   -file full_path_to_LDAPCert_file 
   -noprompt
   

4. Oracle WebLogic Serverと管理対象サーバーを再起動します。

5. WebCenter Portalにアクセスし、OIDユーザーとしてログインします。正常にログインできるようになります。

   ノート: ホスト名の検証の例外を受信した場合、次のパラメータを設定します:

   -Dweblogic.security.SSL.ignoreHostnameVerification=true
   

SSLを使用したWebCenter PortalからIMAPおよびSMTPへの接続の保護

メール・サーバーへの接続を再構成する前に、まず証明書をトラスト・ストアにインポートする必要があります。次のステップに従って、トラスト・ストアに証明書を格納し、トラスト・ストアを使用するようにWebCenter Portalを構成します。

SSLを使用して、WebCenter PortalからIMAPおよびSMTPへの接続を保護するには:

1. ブラウザを開き、次のコマンドを使用してIMAPサーバーに接続します。

   https://imapserver:ssl_port
   

   たとえば:

   https:mailserver.example:993
   

2. ページにカーソルを置いて右クリックし、「プロパティ」を選択します。

3. 「証明書」をクリックします。

4. ポップアップ・ウィンドウで、「詳細」タブをクリックし、「ファイルにコピー...」をクリックします

   必ずDER encoded binary(X.509)形式を使用してファイルにコピーします。

5. .DER形式の証明書を.PEM形式に変換します。

   Firefox 3.0以降を使用して、証明書を直接.PEM形式にダウンロードします。他のブラウザの場合は、WebLogic Server der2pemツールを使用してPEM形式に変換します。der2pemツールの使用の詳細は、『Oracle WebLogic Serverコマンド・リファレンス』のder2pemを参照してください。WebLogicでは、.PEM以外の形式は認識されません。

6. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -import -alias imap_cer -file cert_file.cer -keystore cacerts -storepass changeit
   

   cert_fileは、ダウンロードした証明書ファイルの名前です。

7. 「メール・サーバーの登録」の説明に従って、メール・サーバーへの接続を登録します。

8. WebCenter Portalを再起動します。

9. WebCenter Portalにログインし、メール資格証明を提供します。

SSLを使用したWebCenter Portalから外部BPELサーバーへの接続の保護

この項では、BPELサーバーが外部SOAドメインにある場合に、WebCenter PortalからBPELサーバーへの接続を保護する方法を説明します。

ノート: SOAが外部ドメインにインストールされているときは、アイデンティティ・アサータおよびオーセンティケータをWebCenter Portalの場合とまったく同じように構成する必要があります。外部LDAPアイデンティティ・ストアにアイデンティティ・アサータおよびオーセンティケータを構成する手順の詳細は、「外部LDAPサーバーへのアイデンティティ・ストアの再関連付け」を参照してください。

SSLを使用して、WebCenter Portalから外部BPELサーバーへの接続を保護するには:

1. Oracle SOA 12cをインストールし、構成します。

   『SOA SuiteおよびBusiness Process Management SuiteのQuick Start for Developersのインストール』のOracle SOA Suite Quick Start for Developersのインストールを参照してください。

2. WebCenterから、次のコマンドを実行して、WebCenterのSOAへの接続を作成します。

   createBPELConnection('webcenter','WebCenter-Worklist'
   setSpacesWorkflowConnectionName('webcenter', 'WebCenter-Worklist', 'SOA_host:port','oracle/wss10_saml_token_client_policy')
   

3. WebCenterから、SSLを有効にします。

   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」のステップに従います。

4. SOAから、SSLを有効にします。

   「SSLを使用したブラウザからWebCenter Portalへの接続の保護」のステップに従います。ただし、webcenter_wlsのかわりにsoa_wlsを使用し、webcenteridentityのかわりにsoaidentityを使用します。

5. WebCenter PortalおよびSOAのキーストアを構成します。

   「WebCenter Portalドメイン・キーストアの作成」および「SOAドメイン・キーストアの作成」を参照してください。

6. WebCenter WebLogicサーバーとSOA WebLogicサーバーを同じOIDにワイヤリングします。

7. WebCenterから、SOAの公開証明書およびCA証明書をWebCenterトラスト・ストアにインポートします。

   keytool -importcert -trustcacerts -alias soa_cert -file /filepath/certificate/bpel.cer -keystore /filepath/cacerts -storepass changeit
   

   keytool -importcert -trustcacerts -alias soa_trust -file /filepath/certificate/democabpel.cer -keystore /filepath/cacerts -storepass changeit
   

8. SOAから、WebCenterの公開証明書およびCA証明書をSOAトラスト・ストアにインポートします。

   keytool -importcert -trustcacerts -alias webcenter_cert -file /filepath/certificate/webcenter.cer -keystore /filepath/cacerts -storepass changeit
   

   keytool -importcert -trustcacerts -alias webcenter_trust -file /filepath/certificate/democaprod.cer -keystore /filepath/cacerts -storepass changeit
   

9. WebCenterから、Oracle Enterprise ManagerのSOA HTTPSホストおよびポートを使用するように、SOA接続の詳細を変更します。

10. WebcenterのsetDomainEnv.shに、-Dweblogic.security.SSL.ignoreHostnameVerification=trueをEXTRA_JAVA_PROPERTIESとして追加します。

11. WC_PortalサーバーおよびSOA管理対象サーバーを再起動します。

SSLを使用したWebCenter PortalからContent Serverへの接続の保護

リポジトリの接続を作成するコンテンツ・サーバーとWebCenter Portalアプリケーションが、同じシステム上または信頼できる同じプライベート・ネットワーク上にない場合、アイデンティティ伝播は保護されません。アイデンティティ伝播のセキュリティを確保するには、コンテンツ・サーバーのSSLも構成する必要があります。

SSLを使用した接続の保護については、次の各項で説明しています:

• ソケットSSLのためのコンテンツ・サーバーSSLの構成
• WebCenter Portalでのコンテンツ・サーバーSSL接続の作成

ソケットSSLのためのコンテンツ・サーバーSSLの構成

コンテンツ・サーバーのソケットSSLを構成するには、『Oracle WebCenter Contentでの開発』のSSLの構成を参照してください。

構成の最後にある次の各パラメータに注意してください:

• serverPort
• keystoreLocation - client_keystore
• keystorePassword - idcidc
• privateKeyAlias - SecureClient
• privateKeyPassword - idcidc

WebCenter Portalでのコンテンツ・サーバーSSL接続の作成

ソケットSSL接続の作成

WebCenter Portalでのコンテンツ・サーバー接続の作成

• コンテンツ・サーバー接続を作成するには、次のことを実行します:

  createContentServerConnection (appName='webcenter', name='dev-ucm', socketType='socketssl',
        serverHost='100.111.149.197', serverPort='4443',keystoreLocation='/scratch/mw_home/keystores/identity.p12', 
        keystorePassword='welcome1',privateKeyAlias='trustcert',privateKeyPassword='welcome1',adminUsername='weblogic',isPrimary='true')"
  

  ノート: serverPortはSSLポートである必要があります。キーストア構成の詳細は、「ソケットSSLのためのコンテンツ・サーバーSSLの構成」を参照してください。WLSTコマンドを使用してコンテンツ・サーバー接続を作成するときに、前のステップでメモした値(キーストアや別名など)を使用します。

  createContentServerConnectionの詳細は、『WebCenter WLSTコマンド・リファレンス』のWebCenter PortalカスタムWLSTコマンドおよびOracle WebCenter Content Serverへの接続の管理を参照してください。

• ポータル・サーバーを再起動します。

• ここで、コンテンツ管理タスクフローにアクセスし、文書化されたユースケースをテストします。

JAX-WS SSL接続の作成

WebCenter Content SSL証明書をWebCenter Portalキーストア(cacerts)にインポートするには:

ノート: 次のステップは自己署名証明書に必要であり、CA署名証明書には必要ありません。

1. Firefoxブラウザでコンテンツ・サーバーのURL: https://host:port/csを入力します。URLにアクセスするときに、証明書が生成され、ブラウザに保存されます。

2. 証明書をダウンロードし、.PEMまたは.CRT形式で保存します。

3. 次のコマンドを使用して、JDK_HOME内のcacertsに証明書をインポートします。

   keytool -importcert -alias collab_cert –file /filepath/sslcertificate/contentcert.crt –keystore..../oracle_common/jdk/jre/lib/security/cacerts
   

4. パスワードを求められたらchangeitを入力し、YESを入力します。

WebCenter Portalでのコンテンツ・サーバー接続の作成

• コンテンツ・サーバー接続を作成するには、次のことを実行します:

  createContentServerConnection(appName='webcenter', name='dev-ucm', socketType='jaxws', url='https://<ucm_host>:<sslPort>/idcnativews', clientSecurityPolicy='oracle/wss10_saml_token_client_policy', adminUsername='weblogic',isPrimary='true') 
  setContentServerProperties(appName='webcenter', portalServerIdentifier='/WCP01', securityGroup='WCP01', adminUserName='weblogic')
  

  ノート: URLは、WebCenter Contentのhttps URLである必要があります。

• ポータル・サーバーを再起動します。

• ここで、コンテンツ管理タスクフローにアクセスし、文書化されたユースケースをテストします。

createContentServerConnectionの詳細は、WebCenter PortalカスタムWLSTコマンドに関する項および「Oracle WebCenter Content Serverへの接続の管理」を参照してください。