WebLogic Server に対する SSL の設定

WebLogic Server に SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。Java keytool を使用し、次のタスクを実行して秘密鍵証明書を作成できます。

  • 公開鍵と秘密鍵のキーペアを作成し、単一要素の証明書チェーンとして保存されている X.509 v1 自己署名証明書の公開鍵をラップして、証明書チェーンと秘密鍵を新しいキーストアに保存します。このキーストアがアプリケーションサーバーのカスタム ID キーストアになります。
  • 秘密鍵証明書を抽出し、新しいキーストアに挿入します。このキーストアがアプリケーションサーバーのカスタム信頼キーストアになります。

その後、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

WebLogic Server で使用する SSL 秘密鍵証明書の作成

keytool コマンドは通常 Java の jre/bin ディレクトリにあります。このコマンドでは、次の表に示す複数のオプションとオプション値を指定する必要があります。

Keytool オプション

説明

オプション値

-alias

キーストアのエイリアス。

  • カスタムIDキーストア: ads-credentials

  • カスタム信頼キーストア: bedrock

-keyalg

キーペアの生成に使用するアルゴリズム。

RSA

会社の方針に合わせて別のアルゴリズムを使用することもできます。

-keystore

キーストアファイルの場所と名前。

場所は、ファイルの絶対パスとして指定します。または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準とした相対ディレクトリとして指定します。

  • カスタムIDキーストア:[appserverdomain]/adobe/[server name]/ads-ssl.jks

  • カスタム信頼キーストア:[appserverdomain]/adobe/[server name]/ads-ca.jks

-file

証明書ファイルの場所と名前。

 ads-ca.cer

-validity

証明書が有効と見なされる日数。

3650

会社の方針に合わせて別の値を使用することもできます。

-storepass

キーストアの内容を保護するためのパスワード。

  • カスタム ID キーストア:キーストアパスワードは、管理コンソールの Trust Store コンポーネント用に指定した SSL 秘密鍵証明書パスワードと一致させる必要があります。

  • カスタム信頼キーストア:カスタム ID キーストアに使用したものと同じパスワードを使用します。

-keypass

キーペアの秘密鍵を保護するためのパスワード。

-storepassオプションに使用したのと同じパスワードを使用します。 キーパスワードは 6 文字以上で指定する必要があります。

-dname

キーストアを所有している人物を特定する識別名。

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] は、キーストアを所有するユーザーのIDです。

  • [Group Name] は、キーストアの所有者が属する企業グループのIDです。

  • [Company Name] は組織の名前です。

  • [City Name] は、組織が属する市区町村です。

  • [State or province] は、組織の所在地の都道府県です。

  • [Country Code] は、組織の所在国を示す2文字のコードです。

keytool コマンドの使用方法について詳しくは、JDK マニュアルに含まれている keytool.html ファイルを参照してください。

カスタム ID および信頼キーストアの作成

  1. コマンドプロンプトで、[appserverdomain]/adobe/[server name]​に移動します。

  2. 以下のコマンドを入力します。

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    メモ

    [JAVA_HOME]をJDKがインストールされているディレクトリに置き換え、斜体のテキストを環境に対応する値に置き換えます。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
    

    「ads-credentials.jks」という名前のカスタムIDキーストアファイルが[appserverdomain]/adobe/[server name]ディレクトリに作成されます。

  3. 次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​password

    メモ

    [JAVA_HOME]をJDKがインストールされているディレクトリに、 store_ passwordをカスタムIDキーストアのパスワードに置き換えます。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
    

    「ads-ca.cer」という名前の証明書ファイルが[appserverdomain]/adobe/[server name]​ディレクトリに作成されます。

  4. ads-ca.cer ファイルを、アプリケーションサーバーとのセキュリティで保護された通信を必要とする任意のホストコンピューターにコピーします。

  5. 次のコマンドを入力して、証明書を新しいキーストアファイル(カスタム信頼キーストア)に挿入します。

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    メモ

    [JAVA_HOME]をJDKがインストールされているディレクトリに置き換え、store_ passwordと​key_ password を独自のパスワードに置き換えます。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
    

「ads-ca.jks」という名前のカスタム信頼キーストアファイルが[appserverdomain]/adobe/[server]ディレクトリに作成されます。

作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

SSL を使用する WebLogic の設定

  1. WebブラウザーのURL行にhttps://[host name ]:7001/consoleと入力して、WebLogic Server管理コンソールを起動します。

  2. 「環境」の「ドメインの設定」で、Servers > [server] > Configuration > General​を選択します。

  3. 「General」の「Configuration」で、「Listen Port Enabled」と「SSL Listen Port Enabled」が選択されていることを確認します。有効でない場合は、次の手順を実行します。

    1. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
    2. Listen Port Enabled」と「SSL Listen Port Enabled」チェックボックスを確認します。
  4. このサーバーが管理対象サーバーである場合は、リスンポートを未使用のポート番号(8001 など)に、SSL リスンポートを未使用のポート番号(8002 など)に変更します。スタンドアロンサーバーの場合、デフォルトの SSL ポートは 7002 です。

  5. Release Configuration」をクリックします。

  6. 「環境」の「ドメインの設定」で、Servers > [Managed Server] / Configuration > General​をクリックします。

  7. 「General」の「Configuration」で「Keystores」を選択します。

  8. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  9. Change」をクリックしてキーストアリストをドロップダウンリストとして取得し、「Custom Identity And Custom Trust」を選択します。

  10. 「ID」で、次の値を指定します。

    カスタムIDキーストア: [appserverdomain]/adobe/[server name]/ads-credentials.jksに設定します。ここで、「*[appserverdomain] 」は実際のパス、「 [server] name」はアプリケーションサーバーの名前です。

    Custom Identity Keystore Type:JKS

    Custom Identity Keystore Passphrasemypassword カスタム ID キーストアパスワード)

  11. 「Trust」で、次の値を指定します。

    カスタム信頼キーストアファイル名: *[appserverdomain]*/adobe/*[server]*/ads-ca.jks( *[appserverdomain]* は実際のパス)

    Custom Trust Keystore Type:JKS

    Custom Trust Keystore Pass Phrasemypassword (カスタム信頼キーパスワード)

  12. 「General」の「Configuration」で「SSL」を選択します。

  13. デフォルトでは、ID と信頼の場所にキーストアが選択されています。 選択されていない場合、キーストアに変更します。

  14. 「ID」で、次の値を指定します。

    Private Key Alias:ads-credentials

    Passphrasemypassword

  15. Release Configuration」をクリックします。

ホスト名の検証機能の無効化

  1. 「Configuration」タブで、「SSL」をクリックします。

  2. 「Advanced」の「Hostname Verification」リストで、「None」を選択します。

    ホスト名の検証が無効になっていない場合は、共通名(CN)にサーバーホスト名が含まれている必要があります。

  3. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  4. アプリケーションサーバーを再起動します。

このページ