WebLogic Server に対する SSL の設定

WebLogic Server で使用する SSL 秘密鍵証明書の作成
カスタム ID および信頼キーストアの作成
SSL を使用する WebLogic の設定
ホスト名の検証機能の無効化

WebLogic Server に SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。Java keytool を使用し、次のタスクを実行して秘密鍵証明書を作成できます。

公開鍵と秘密鍵のキーペアを作成し、単一要素の証明書チェーンとして保存されている X.509 v1 自己署名証明書の公開鍵をラップして、証明書チェーンと秘密鍵を新しいキーストアに保存します。このキーストアがアプリケーションサーバーのカスタム ID キーストアになります。
秘密鍵証明書を抽出し、新しいキーストアに挿入します。このキーストアがアプリケーションサーバーのカスタム信頼キーストアになります。

その後、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

WebLogic Server で使用する SSL 秘密鍵証明書の作成

keytool コマンドは通常 Java の jre/bin ディレクトリにあります。このコマンドでは、次の表に示す複数のオプションとオプション値を指定する必要があります。

Keytool オプション	説明	オプション値
-alias	キーストアのエイリアス。	カスタム ID キーストア：`ads-credentials` カスタム信頼キーストア：`bedrock`
-keyalg	キーペアの生成に使用するアルゴリズム。	RSA 会社の方針に合わせて別のアルゴリズムを使用することもできます。
-keystore	キーストアファイルの場所と名前。場所は、ファイルの絶対パスとして指定します。または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準とした相対ディレクトリとして指定します。	カスタム ID キーストア：`[`appserverdomain]`/adobe/`[server name]`/ads-ssl.jks` カスタム信頼キーストア：`[`appserverdomain]`/adobe/`[server name]`/ads-ca.jks`
-file	証明書ファイルの場所と名前。	ads-ca.cer
-validity	証明書が有効と見なされる日数。	3650 会社の方針に合わせて別の値を使用することもできます。
-storepass	キーストアの内容を保護するためのパスワード。	カスタム ID キーストア：キーストアパスワードは、Administration Console の Trust Store コンポーネント用に指定した SSL 秘密鍵証明書パスワードと一致させる必要があります。カスタム信頼キーストア：カスタム ID キーストアに使用したものと同じパスワードを使用します。
-keypass	キーペアの秘密鍵を保護するためのパスワード。	`-storepass` オプションと同じパスワードを使用します。キーパスワードは 6 文字以上で指定する必要があります。
-dname	キーストアを所有している人物を特定する識別名。	`"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"` `[User name]` はキーストアを所有しているユーザーの識別名です。 `[Group Name]` はキーストアの所有者が所属している会社グループの識別名です。 `[Company Name]` は所属する組織の名前です。 `[City Name]` は組織の所在地の市区町村です。 `[State or province]` は組織の所在地の都道府県です。 `[Country Code]` は組織の所在国を示す 2 文字のコードです。

keytool コマンドの使用方法について詳しくは、JDK マニュアルに含まれている keytool.html ファイルを参照してください。

カスタム ID および信頼キーストアの作成

コマンドプロンプトで、[appserverdomain]/adobe/[server name] に移動します。
次のコマンドを入力します。

[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=ホスト名, OU=グループ名, O=会社名, L=市区町村名, S=都道府県名,C=国コード

注意： [JAVA_HOME] は JDK がインストールされているディレクトリに、イタリックのテキストは自分の環境に対応する値に置き換えます。

次に例を示します。
```
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
```
‘ads-credentials.jks” という名前のカスタム ID キーストアファイルが [appserverdomain]/adobe/[server name] ディレクトリに作成されます。
次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。

[JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

-file "ads-ca.cer" -keystore "ads-credentials.jks"

-storepass store_password

注意： [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_password は、カスタム ID キーストアのパスワードに置き換えます。

次に例を示します。
```
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
```
“ads-ca.cer” という名前の証明書ファイルが [appserverdomain]/adobe/[server name] ディレクトリに作成されます。
ads-ca.cer ファイルを、アプリケーションサーバーとのセキュリティで保護された通信を必要とする任意のホストコンピューターにコピーします。
次のコマンドを入力して、証明書を新しいキーストアファイル（カスタム信頼キーストア）に挿入します。

[JAVA_HOME]/bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

注意： [JAVA_HOME] は、JDK がインストールされているディレクトリに置き換えます。store_password と key_password は、使用しているパスワードに置き換えます。

次に例を示します。
```
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
```

‘‘ads-ca.jks’’という名前のカスタム信頼キーストアファイルが [appserverdomain]/adobe/[server] ディレクトリに作成されます。

作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

SSL を使用する WebLogic の設定

Web ブラウザーの URL 行に http://[host name]:7001/console と入力して、WebLogic Server Administration Console を起動します。
「Environment」の「Domain Configurations」で「Servers／[server]／Configuration／General」を選択します。
「General」の「Configuration」で、「Listen Port Enabled」と「SSL Listen Port Enabled」が選択されていることを確認します。有効でない場合は、次の手順を実行します。
1. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
2. 「Listen Port Enabled」と「SSL Listen Port Enabled」チェックボックスを確認します。
このサーバーが管理対象サーバーである場合は、リスンポートを未使用のポート番号（8001 など）に、SSL リスンポートを未使用のポート番号（8002 など）に変更します。スタンドアロンサーバーの場合、デフォルトの SSL ポートは 7002 です。
「Release Configuration」をクリックします。
「Environment」の「Domain Configurations」で「Servers ／[Managed Server]／Configuration／General」をクリックします。
「General」の「Configuration」で「Keystores」を選択します。
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
「Change」をクリックしてキーストアリストをドロップダウンリストとして取得し、「Custom Identity And Custom Trust」を選択します。
「ID」で、次の値を指定します。

Custom Identity Keystore：[appserverdomain]/adobe/[server name]/ads-credentials.jks。ここで、[appserverdomain] は実際のパス、[server name] はアプリケーションサーバーの名前です。

Custom Identity Keystore Type：JKS

Custom Identity Keystore Passphrase：mypassword カスタム ID キーストアパスワード)
「Trust」で、次の値を指定します。

Custom Trust Keystore File Name：[appserverdomain]/adobe/[server]/ads-ca.jks。ここで、[appserverdomain] は実際のパスです。

Custom Trust Keystore Type：JKS

Custom Trust Keystore Pass Phrase：mypassword (カスタム信頼キーパスワード)
「General」の「Configuration」で「SSL」を選択します。
デフォルトでは、ID と信頼の場所にキーストアが選択されています。選択されていない場合、キーストアに変更します。
「ID」で、次の値を指定します。

Private Key Alias：ads-credentials

Passphrase：mypassword
「Release Configuration」をクリックします。

ホスト名の検証機能の無効化

「Configuration」タブで、「SSL」をクリックします。
「Advanced」の「Hostname Verification」リストで、「None」を選択します。

ホスト名の検証が無効になっていない場合は、共通名（CN）にサーバーホスト名が含まれている必要があります。
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
アプリケーションサーバーを再起動します。