WebLogic Server に SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。Java keytool を使用し、次のタスクを実行して秘密鍵証明書を作成できます。
その後、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。
WebLogic Server で使用する SSL 秘密鍵証明書の作成keytool コマンドは通常 Java の jre/bin ディレクトリにあります。このコマンドでは、次の表に示す複数のオプションとオプション値を指定する必要があります。
Keytool オプション
|
説明
|
オプション値
|
-alias
|
キーストアのエイリアス。
|
|
-keyalg
|
キーペアの生成に使用するアルゴリズム。
|
RSA
会社の方針に合わせて別のアルゴリズムを使用することもできます。
|
-keystore
|
キーストアファイルの場所と名前。
場所は、ファイルの絶対パスとして指定します。または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準とした相対ディレクトリとして指定します。
|
|
-file
|
証明書ファイルの場所と名前。
|
|
-validity
|
証明書が有効と見なされる日数。
|
3650
会社の方針に合わせて別の値を使用することもできます。
|
-storepass
|
キーストアの内容を保護するためのパスワード。
|
|
-keypass
|
キーペアの秘密鍵を保護するためのパスワード。
|
-storepass オプションと同じパスワードを使用します。キーパスワードは 6 文字以上で指定する必要があります。
|
-dname
|
キーストアを所有している人物を特定する識別名。
|
"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"
[User name] はキーストアを所有しているユーザーの識別名です。
[Group Name] はキーストアの所有者が所属している会社グループの識別名です。
[Company Name] は所属する組織の名前です。
[City Name] は組織の所在地の市区町村です。
[State or province] は組織の所在地の都道府県です。
[Country Code] は組織の所在国を示す 2 文字のコードです。
|
keytool コマンドの使用方法について詳しくは、JDK マニュアルに含まれている keytool.html ファイルを参照してください。
カスタム ID および信頼キーストアの作成コマンドプロンプトで、[appserverdomain]/adobe/[server name] に移動します。
次のコマンドを入力します。
[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA
-keystore "ads-credentials.jks" -validity 3650 -storepass store_password
-keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name,
L=City Name, S=State,C=Country Code"
注意: [JAVA_HOME] は JDK がインストールされているディレクトリに、イタリックのテキストは自分の環境に対応する値に置き換えます。
キーストアファイルは [appserverdomain]/adobe/[server name] ディレクトリに作成されます。
次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。
[JAVA_HOME]/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass store_password
注意: [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_password は、カスタム ID キーストアのパスワードに置き換えます。
証明書ファイルは [appserverdomain]/adobe/[server name] ディレクトリに作成されます。
ads-ca.cer ファイルを、アプリケーションサーバーとのセキュリティで保護された通信を必要とする任意のホストコンピューターにコピーします。
次のコマンドを入力して、証明書を新しいキーストアファイル(カスタム信頼キーストア)に挿入します。
[JAVA_HOME]/bin/keytool -import -v -noprompt -alias bedrock
-file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password
-keypass key_password
注意: [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_password と key_password は、使用しているパスワードに置き換えます。
キーストアファイルは [appserver domain]/adobe/[server] ディレクトリに作成されます。
作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。
SSL を使用する WebLogic の設定Web ブラウザーの URL 行に http://[host name]:7001/console と入力して、WebLogic Server Administration Console を起動します。
Domain Configurations/Environment で、「Servers」をクリックし、[server] を選択します。
「Configuration」タブで、「Listen Port Enabled」と「SSL Listen Port Enabled」が選択されていることを確認します。
このサーバーが管理対象サーバーである場合は、リスンポートを未使用のポート番号(8001 など)に、SSL リスンポートを未使用のポート番号(8002 など)に変更します。スタンドアロンサーバーの場合、デフォルトの SSL ポートは 7002 です。
左側のパネルの「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
「Configuration」タブで「Keystores」をクリックし、キーストアのリストで「Custom Identity and Custom Trust」を選択します。
「ID」で、次の値を指定します。
Custom Identity Keystore:[appserverdomain]/adobe/[server name]/ads-credentials.jks。ここで、[appserverdomain] は実際のパス、[server name] はアプリケーションサーバーの名前です。
Custom Identity Keystore Type:JKS
Custom Identity Keystore Passphrase:mypassword
「Trust」で、次の値を指定します。
Custom Trust Keystore File Name:[appserverdomain]/adobe/[server]/ads-ca.jks。ここで、[appserverdomain] は実際のパスです。
Custom Trust Keystore Type:JKS
Custom Trust Keystore Pass Phrase:mypassword
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
「Configuration」タブで、「SSL」をクリックします。「Identity and Trust Locations」リストで、「Keystores」を選択します。
「ID」で、次の値を指定します。
Private Key Alias:ads-credentials
Passphrase:mypassword
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
ホスト名の検証機能の無効化「Configuration」タブで、「SSL」をクリックします。
「Advanced」の「Hostname Verification」リストで、「None」を選択します。
ホスト名の検証が無効になっていない場合は、共通名(CN)にサーバーホスト名が含まれている必要があります。
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
アプリケーションサーバーを再起動します。
|
|
|