Oracle ASRマネージャでのHTTPS/SSLの有効化
ルート署名証明書または自己署名証明書を使用して、Oracle ASRマネージャでHTTPS/SSLを有効にできます。
SSL証明書を生成し、Oracle ASRマネージャによって使用されるJava/JDKに固有のキー・ストアにインストールします。
- 証明書署名リクエストを生成します。
/java/bin
ディレクトリに移動して、キーストア・ファイルを作成します。# keytool -genkey -alias aliasName -keyalg keyAlgorithm -keysize keySize -sigalg signatureAlgorithm -keystore keyStoreFile.jks
- 有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。
- 国、市区町村、組織およびコモンネームを入力します。氏名の入力を求めるプロンプトが表示されたら、Oracle ASRマネージャがインストールされているマシンのホスト名を入力します。
- 次のコマンドを入力します。
# keytool -certreq -alias aliasName -keystore keyStoreFile.jks -sigalg signatureAlgorithm -file certRequestFile.cer
- 有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。
- 証明書署名リクエスト
certRequestFile.cer
を認証局に送信し、証明書をリクエストします。
- 認証局から証明書を受け取ったら、それをインストールします。
# keytool -import -trustcacerts -alias aliasName -file certFileFromCA -keystore keyStoreFile.jks
keytool -import
コマンドの実行後、有効なキー・ストア・パスワードを入力し、キー・パスワードを指定します。 - 信頼できる認証局からのSSL証明書をキーストアにロードするときに、Oracle ASRマネージャで次のタスクを実行します。トラスト・ストア情報はキー・ストア情報と同じです。
- IPアドレスを設定します。
# asr asr> set_property org.osgi.service.http.host IP_address_of_ASR_manager
- HTTPSポートを設定します。
ノート:
org.osgi.service.http.port.secure
の値は、Oracle ASRマネージャに構成されているHTTPSポートと一致している必要があります。この値は、コマンドの出力内の「HTTP Port」または「HTTPS/SSL Port」に表示される値と同じに設定する必要があります。asr show_http_receiver
asr> set_property org.osgi.service.http.host set_property org.osgi.service.http.port.secure https_port
- キーストア・ファイルへのパスを設定します。
asr> set_property org.apache.felix.https.keystore https_keystore
- キーストア・パスワードを設定します。
asr> set_property org.apache.felix.https.keystore.password https_keystore_password
- キー・パスワードを設定します。
asr> set_property org.apache.felix.https.keystore.key.password https_keystore_key_password
- トラストストアのパスにキーストア・ファイルと同じパスを設定します。
asr> set_property org.apache.felix.https.truststore https_truststore
- トラストストアのパスワードにキーストアのパスワード値と同じ値を設定します。
asr> set_property org.apache.felix.https.truststore.password https_truststore_password
- Oracle ASR ManagerでHTTPSを有効にします。
asr> set_property org.apache.felix.https.enable true
前述のコマンドのパスワードは、次の例に示すように平文にするか、不明瞭化できます。
jar -xvf /opt/asrmanager/lib/com.oracle.asr.http.receiver.jar java -classpath org.apache.felix.http.bundle-2.2.0.jar org.mortbay.jetty.security.Password plain-text-password
これらのJavaコマンドを実行すると、出力に不明瞭化されたパスワードが表示されます。不明瞭化されたパスワード値は、接頭辞
OBF:
で示されています。OBF:
で始まる出力行(テキスト「OBF:」を含む)をコピーし、平文のパスワードのかわりに前述のOracle ASRコマンドに貼り付けます。出力例を次に示します。2018-05-04 09:34:17.429:INFO::main: Logging initialized @118ms password OBF:1v2j20771x1b206z MD5:5f4dcc9ac6b3e1a84cebb7b40329cf99
- IPアドレスを設定します。
- Oracle ASRマネージャを再起動します。
$ service asrm restart
- ブラウザから次のURLにアクセスしてSSLの設定を確認します。
https://<asr_manager_host>/asr
- 各データベース・サーバーおよびストレージ・サーバーで、HTTPS/SSLを有効化するために使用する証明書をインポートします。
keytool -import -trustcacerts -keystore keystore_location -storepass keystore_password -noprompt -alias cert_alias_name -file cert_file_path
keytool
コマンドで、keystore_location値を次のように指定します:- 各ストレージ・サーバーで、
/opt/oracle/cell/cellsrv/java/lib/security/cacerts
を指定します。 - 各データベース・サーバーで、
/opt/oracle/dbserver/dbms/java/lib/security/cacerts
を使用します。
- 各ストレージ・サーバーで、
- 証明書がインポートされたことを確認します。
keytool -list -v -keystore keystore_location -storepass keystore_password