Oracle ASRマネージャでのHTTPS/SSLの有効化
ルート署名証明書または自己署名証明書を使用して、Oracle ASRマネージャでHTTPS/SSLを有効にできます。
SSL証明書を生成し、Oracle ASRマネージャによって使用されるJava/JDKに固有のキー・ストアにインストールします。
- 証明書署名リクエストを生成します。
/java/binディレクトリに移動して、キーストア・ファイルを作成します。# keytool -genkey -alias aliasName -keyalg keyAlgorithm -keysize keySize -sigalg signatureAlgorithm -keystore keyStoreFile.jks- 有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。
- 国、市区町村、組織およびコモンネームを入力します。氏名の入力を求めるプロンプトが表示されたら、Oracle ASRマネージャがインストールされているマシンのホスト名を入力します。
- 次のコマンドを入力します。
# keytool -certreq -alias aliasName -keystore keyStoreFile.jks -sigalg signatureAlgorithm -file certRequestFile.cer - 有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。
- 証明書署名リクエスト
certRequestFile.cerを認証局に送信し、証明書をリクエストします。
- 認証局から証明書を受け取ったら、それをインストールします。
# keytool -import -trustcacerts -alias aliasName -file certFileFromCA -keystore keyStoreFile.jkskeytool -importコマンドの実行後、有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。 - 信頼できる認証局からのSSL証明書をキーストアにロードするときに、Oracle ASRマネージャで次のタスクを実行します。トラスト・ストア情報はキー・ストア情報と同じです。
- IPアドレスを設定します。
# asr asr> set_property org.osgi.service.http.host IP_address_of_ASR_manager - HTTPSポートを設定します。
ノート:
org.osgi.service.http.port.secureの値は、Oracle ASRマネージャに構成されているHTTPSポートと一致している必要があります。この値は、コマンドの出力内の「HTTP Port」または「HTTPS/SSL Port」に表示される値と同じに設定する必要があります。asr show_http_receiverasr> set_property org.osgi.service.http.host set_property org.osgi.service.http.port.secure https_port - キーストア・ファイルへのパスを設定します。
asr> set_property org.apache.felix.https.keystore https_keystore - キーストア・パスワードを設定します。
asr> set_property org.apache.felix.https.keystore.password https_keystore_password - キー・パスワードを設定します。
asr> set_property org.apache.felix.https.keystore.key.password https_keystore_key_password - トラストストアのパスにキーストア・ファイルと同じパスを設定します。
asr> set_property org.apache.felix.https.truststore https_truststore - トラストストアのパスワードにキーストアのパスワード値と同じ値を設定します。
asr> set_property org.apache.felix.https.truststore.password https_truststore_password - Oracle ASR ManagerでHTTPSを有効にします。
asr> set_property org.apache.felix.https.enable true
前述のコマンドのパスワードは、次の例に示すように平文にするか、不明瞭化できます。
jar -xvf /opt/asrmanager/lib/com.oracle.asr.http.receiver.jar java -classpath org.apache.felix.http.bundle-2.2.0.jar org.mortbay.jetty.security.Password plain-text-passwordこれらのJavaコマンドを実行すると、出力に不明瞭化されたパスワードが表示されます。不明瞭化されたパスワード値は、接頭辞
OBF:で示されています。OBF:で始まる出力行(テキスト「OBF:」を含む)をコピーし、平文のパスワードのかわりに前述のOracle ASRコマンドに貼り付けます。出力例を次に示します。2018-05-04 09:34:17.429:INFO::main: Logging initialized @118ms password OBF:1v2j20771x1b206z MD5:5f4dcc9ac6b3e1a84cebb7b40329cf99 - IPアドレスを設定します。
- Oracle ASRマネージャを再起動します。
$ service asrm restart - ブラウザから次のURLにアクセスしてSSLの設定を確認します。
https://<asr_manager_host>/asr - 各データベース・サーバーおよびストレージ・サーバーで、HTTPS/SSLを有効化するために使用する証明書をインポートします。
keytool -import -trustcacerts -keystore keystore_location -storepass keystore_password -noprompt -alias cert_alias_name -file cert_file_pathkeytoolコマンドで、keystore_location値を次のように指定します:- 各ストレージ・サーバーで、
/opt/oracle/cell/cellsrv/java/lib/security/cacertsを指定します。 - 各データベース・サーバーで、
/opt/oracle/dbserver/dbms/java/lib/security/cacertsを使用します。
- 各ストレージ・サーバーで、
- 証明書がインポートされたことを確認します。
keytool -list -v -keystore keystore_location -storepass keystore_password