WebLogic Server に対する SSL の設定

WebLogic Server に SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。Java keytool を使用し、次のタスクを実行して秘密鍵証明書を作成できます。

  • 公開鍵と秘密鍵のキーペアを作成し、単一要素の証明書チェーンとして保存されている X.509 v1 自己署名証明書の公開鍵をラップして、証明書チェーンと秘密鍵を新しいキーストアに保存します。このキーストアがアプリケーションサーバーのカスタム ID キーストアになります。
  • 秘密鍵証明書を抽出し、新しいキーストアに挿入します。このキーストアがアプリケーションサーバーのカスタム信頼キーストアになります。

その後、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

WebLogic Server で使用する SSL 秘密鍵証明書の作成

keytool コマンドは通常 Java の jre/bin ディレクトリにあります。このコマンドでは、次の表に示す複数のオプションとオプション値を指定する必要があります。

Keytool オプション

説明

オプション値

-alias

キーストアのエイリアス。

  • カスタム ID キーストア: ads-credentials

  • カスタム Trust キーストア: bedrock

-keyalg

キーペアの生成に使用するアルゴリズム。

RSA

会社の方針に合わせて別のアルゴリズムを使用することもできます。

-keystore

キーストアファイルの場所と名前。

場所は、ファイルの絶対パスとして指定します。または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準とした相対ディレクトリとして指定します。

  • カスタム ID キーストア:[appserverdomain]/adobe/[サーバー名]/ads-ssl.jks

  • カスタム Trust キーストア:[appserverdomain]/adobe/[サーバー名]/ads-ca.jks

-file

証明書ファイルの場所と名前。

  ads-ca.cer

-validity

証明書が有効と見なされる日数。

3650

会社の方針に合わせて別の値を使用することもできます。

-storepass

キーストアの内容を保護するためのパスワード。

  • カスタム ID キーストア:キーストアパスワードは、管理コンソールの Trust Store コンポーネント用に指定した SSL 秘密鍵証明書パスワードと一致させる必要があります。

  • カスタム信頼キーストア:カスタム ID キーストアに使用したものと同じパスワードを使用します。

-keypass

キーペアの秘密鍵を保護するためのパスワード。

-storepass オプションと同じパスワードを使用します。キーパスワードは 6 文字以上で指定する必要があります。

-dname

キーストアを所有している人物を特定する識別名。

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] はキーストアを所有しているユーザーの識別名です。

  • [Group Name] はキーストアの所有者が所属している会社グループの識別名です。

  • [Company Name] は所属する組織の名前です。

  • [City Name] は組織の所在地の市区町村です。

  • [State or province] は組織の所在地の都道府県です。

  • [Country Code] は組織の所在国を示す 2 文字のコードです。

keytool コマンドの使用方法について詳しくは、JDK マニュアルに含まれている keytool.html ファイルを参照してください。

カスタム ID および信頼キーストアの作成

  1. コマンドプロンプトで、[appserverdomain]/adobe/[server name] に移動します。

  2. 以下のコマンドを入力します。

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    メモ

    [JAVA_HOME]は JDK がインストールされているディレクトリに、イタリックのテキストは自分の環境に対応する値に置き換えます。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91

    「ads-credentials.jks」という名前のカスタム ID キーストアファイルが [appserverdomain]/adobe/[server name] ディレクトリに作成されます。

  3. 次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​パスワード

    メモ

    [JAVA_HOME] は、JDK がインストールされているディレクトリに、store_ password* は、カスタム ID キーストアのパスワードに置き換えます*。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd

    「ads-ca.cer」という名前の証明書ファイルが、[appserverdomain]/adobe/[server name] ディレクトリに作成されます。

  4. ads-ca.cer ファイルを、アプリケーションサーバーとのセキュリティで保護された通信を必要とする任意のホストコンピューターにコピーします。

  5. 次のコマンドを入力して、証明書を新しいキーストアファイル(カスタム信頼キーストア)に挿入します。

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    メモ

    [JAVA_HOME] は JDK がインストールされているディレクトリに、 store_ passwordkey_ password は使用しているパスワードに置き換えます。

    次に例を示します。

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1

「ads-ca.jks」という名前のカスタム信頼キーストアファイルが [appserverdomain]/adobe/[server] ディレクトリ。

作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように、WebLogic を設定します。また、キーストアファイルの作成に使用する識別名には、WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。

SSL を使用する WebLogic の設定

  1. Web ブラウザーの URL 行にhttps://[ホスト名​]:7001/console を入力して、WebLogic サーバー管理コンソールを起動します。

  2. [ 環境 ] の [ ドメインの構成 ] で、を選択します。 サーバー > [server] /設定/一般.

  3. 「General」の「Configuration」で、「Listen Port Enabled」と「SSL Listen Port Enabled」が選択されていることを確認します。有効でない場合は、次の手順を実行します。

    1. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
    2. Listen Port Enabled」と「SSL Listen Port Enabled」チェックボックスを確認します。

  4. このサーバーが管理対象サーバーである場合は、リスンポートを未使用のポート番号(8001 など)に、SSL リスンポートを未使用のポート番号(8002 など)に変更します。スタンドアロンサーバーの場合、デフォルトの SSL ポートは 7002 です。

  5. Release Configuration」をクリックします。

  6. 「Environment」下の「Domain Configurations」で Servers/[Managed Server]/Configuration/General をクリックします。

  7. 「General」の「Configuration」で「Keystores」を選択します。

  8. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  9. Change」をクリックしてキーストアリストをドロップダウンリストとして取得し、「Custom Identity And Custom Trust」を選択します。

  10. 「ID」で、次の値を指定します。

    Custom Identity Keystore[appserverdomain]/adobe/[server name]/ads-credentials.jks。ここで、[appserverdomain] は実際のパス、[server name] はアプリケーションサーバーの名前です。

    Custom Identity Keystore Type:JKS

    Custom Identity Keystore Passphrasemypassword(カスタム ID キーストアパスワード)

  11. 「Trust」で、次の値を指定します。

    Custom Trust Keystore ファイル名*[appserverdomain]*/adobe/*[server]*/ads-ca.jks ここで、*[appserverdomain]* は実際のパスです。

    Custom Trust Keystore Type:JKS

    Custom Trust Keystore Pass Phrasemypassword(カスタム信頼キーパスワード)

  12. 「General」の「Configuration」で「SSL」を選択します。

  13. デフォルトでは、ID と信頼の場所にキーストアが選択されています。選択されていない場合、キーストアに変更します。

  14. 「ID」で、次の値を指定します。

    Private Key Alias:ads-credentials

    Passphrasemypassword

  15. Release Configuration」をクリックします。

ホスト名の検証機能の無効化

  1. 「Configuration」タブで、「SSL」をクリックします。

  2. 「Advanced」の「Hostname Verification」リストで、「None」を選択します。

    ホスト名の検証が無効になっていない場合は、共通名(CN)にサーバーホスト名が含まれている必要があります。

  3. 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。

  4. アプリケーションサーバーを再起動します。

このページ