WebLogic Server に対する SSL の設定

WebLogic Server に SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。Java keytool を使用し、次のタスクを実行して秘密鍵証明書を作成できます。

  • 公開鍵と秘密鍵のキーペアを作成し、単一要素の証明書チェーンとして保存されている X.509 v1 自己署名証明書の公開鍵をラップして、証明書チェーンと秘密鍵を新しいキーストアに保存します。このキーストアがアプリケーションサーバーのカスタム ID キーストアになります。

  • 秘密鍵証明書を抽出し、新しいキーストアに挿入します。このキーストアがアプリケーションサーバーのカスタム信頼キーストアになります。

その後、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

WebLogic Server で使用する SSL 秘密鍵証明書の作成

keytool コマンドは通常 Java の jre/bin ディレクトリにあります。このコマンドでは、次の表に示す複数のオプションとオプション値を指定する必要があります。

Keytool オプション

説明

オプション値

-alias

キーストアのエイリアス。

  • カスタム ID キーストア:ads-credentials

  • カスタム信頼キーストア:bedrock

-keyalg

キーペアの生成に使用するアルゴリズム。

RSA

会社の方針に合わせて別のアルゴリズムを使用することもできます。

-keystore

キーストアファイルの場所と名前。

場所は、ファイルの絶対パスとして指定します。または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準とした相対ディレクトリとして指定します。

  • カスタム ID キーストア:[appserverdomain]/adobe/[server name]/ads-ssl.jks

  • カスタム信頼キーストア:[appserverdomain]/adobe/[server name]/ads-ca.jks

-file

証明書ファイルの場所と名前。

ads-ca.cer

-validity

証明書が有効と見なされる日数。

3650

会社の方針に合わせて別の値を使用することもできます。

-storepass

キーストアの内容を保護するためのパスワード。

  • カスタム ID キーストア:キーストアパスワードは、Administration Console の Trust Store コンポーネント用に指定した SSL 秘密鍵証明書パスワードと一致させる必要があります。

  • カスタム信頼キーストア:カスタム ID キーストアに使用したものと同じパスワードを使用します。

-keypass

キーペアの秘密鍵を保護するためのパスワード。

-storepass オプションと同じパスワードを使用します。キーパスワードは 6 文字以上で指定する必要があります。

-dname

キーストアを所有している人物を特定する識別名。

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] はキーストアを所有しているユーザーの識別名です。

  • [Group Name] はキーストアの所有者が所属している会社グループの識別名です。

  • [Company Name] は所属する組織の名前です。

  • [City Name] は組織の所在地の市区町村です。

  • [State or province] は組織の所在地の都道府県です。

  • [Country Code] は組織の所在国を示す 2 文字のコードです。

keytool コマンドの使用方法について詳しくは、JDK マニュアルに含まれている keytool.html ファイルを参照してください。

カスタム ID および信頼キーストアの作成

  1. コマンドプロンプトで、[appserverdomain]/adobe/[server name] に移動します。

  2. 次のコマンドを入力します。

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA

    -keystore "ads-credentials.jks" -validity 3650 -storepass store_password

    -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name,

    L=City Name, S=State,C=Country Code"

    注意: [JAVA_HOME] は JDK がインストールされているディレクトリに、イタリックのテキストは自分の環境に対応する値に置き換えます。

    キーストアファイルは [appserverdomain]/adobe/[server name] ディレクトリに作成されます。

  3. 次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass store_password

    注意: [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_password は、カスタム ID キーストアのパスワードに置き換えます。

    証明書ファイルは [appserverdomain]/adobe/[server name] ディレクトリに作成されます。

  4. ads-ca.cer ファイルを、アプリケーションサーバーとのセキュリティで保護された通信を必要とする任意のホストコンピューターにコピーします。

  5. 次のコマンドを入力して、証明書を新しいキーストアファイル(カスタム信頼キーストア)に挿入します。

    [JAVA_HOME]/bin/keytool -import -v -noprompt -alias bedrock

    -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password

    -keypass key_password

    注意: [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_passwordkey_password は、使用しているパスワードに置き換えます。

キーストアファイルは [appserver domain]/adobe/[server] ディレクトリに作成されます。

作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

SSL を使用する WebLogic の設定

  1. Web ブラウザーの URL 行に http://[host name]:7001/console と入力して、WebLogic Server Administration Console を起動します。

  2. Domain Configurations/Environment で、「Servers」をクリックし、[server] を選択します。

  3. 「Configuration」タブで、「Listen Port Enabled」と「SSL Listen Port Enabled」が選択されていることを確認します。

  4. このサーバーが管理対象サーバーである場合は、リスンポートを未使用のポート番号(8001 など)に、SSL リスンポートを未使用のポート番号(8002 など)に変更します。スタンドアロンサーバーの場合、デフォルトの SSL ポートは 7002 です。

  5. 左側のパネルの「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  6. 「Configuration」タブで「Keystores」をクリックし、キーストアのリストで「Custom Identity and Custom Trust」を選択します。

  7. 「ID」で、次の値を指定します。

    Custom Identity Keystore[appserverdomain]/adobe/[server name]/ads-credentials.jks。ここで、[appserverdomain] は実際のパス、[server name] はアプリケーションサーバーの名前です。

    Custom Identity Keystore Type:JKS

    Custom Identity Keystore Passphrasemypassword

  8. 「Trust」で、次の値を指定します。

    Custom Trust Keystore File Name[appserverdomain]/adobe/[server]/ads-ca.jks。ここで、[appserverdomain] は実際のパスです。

    Custom Trust Keystore Type:JKS

    Custom Trust Keystore Pass Phrasemypassword

  9. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  10. 「Configuration」タブで、「SSL」をクリックします。「Identity and Trust Locations」リストで、「Keystores」を選択します。

  11. 「ID」で、次の値を指定します。

    Private Key Alias:ads-credentials

    Passphrasemypassword

  12. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

ホスト名の検証機能の無効化

  1. 「Configuration」タブで、「SSL」をクリックします。

  2. 「Advanced」の「Hostname Verification」リストで、「None」を選択します。

    ホスト名の検証が無効になっていない場合は、共通名(CN)にサーバーホスト名が含まれている必要があります。

  3. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  4. アプリケーションサーバーを再起動します。