WebLogic Server 用の SSL の設定 configuring-ssl-for-weblogic-server
WebLogic Server で SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。 Java keytool を使用して、次のタスクを実行し、秘密鍵証明書を作成できます。
- 公開鍵と秘密鍵のペアを作成し、単一要素の証明書チェーンとして保存されている X.509 v1 自己署名証明書で公開鍵を囲み、証明書チェーンと秘密鍵を新しいキーストアに保存します。 このキーストアは、アプリケーションサーバーのカスタム ID キーストアです。
- 証明書を抽出し、新しいキーストアに挿入します。 このキーストアは、アプリケーションサーバーのカスタム信頼キーストアです。
次に、作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように WebLogic を設定します。 また、キーストアファイルの作成に使用する識別名に WebLogic をホストするコンピューターの名前が含まれていなかったので、WebLogic のホスト名の検証機能を無効にします。
WebLogic Server で使用する SSL 秘密鍵証明書の作成 creating-an-ssl-credential-for-use-on-weblogic-server
keytool コマンドは通常、Java jre/bin ディレクトリにあり、次の表に示すオプションとオプションの値を含める必要があります。
-
カスタム ID キーストア:
ads-credentials
-
カスタム Trust キーストア:
bedrock
RSA
会社のポリシーに応じて、異なるアルゴリズムを使用できます。
キーストアファイルの場所と名前。
場所には、ファイルの絶対パスを含めることができます。 または、keytool コマンドを入力したコマンドプロンプトの現在のディレクトリを基準にした相対パスを指定できます。
-
カスタム ID キーストア:
[
appserverdomain]
/adobe/
[サーバー名]/ads-ssl.jks
-
カスタム Trust キーストア:
[
appserverdomain]
/adobe/
[サーバー名]/ads-ca.jks
ads-ca.cer
3650
会社のポリシーに応じて、異なる値を使用できます。
-
カスタム ID キーストア:キーストアのパスワードは、管理コンソールの Trust Store コンポーネントに指定された SSL 秘密鍵証明書のパスワードと一致している必要があります。
-
カスタム信頼キーストア:カスタム ID キーストアに使用したのと同じパスワードを使用します。
-storepass
オプションと同じパスワードを使用します。キーのパスワードは 6 文字以上にする必要があります。"CN=``[User name]``,OU=``[Group Name]``, O=``[Company Name]``, L=``[City Name]``, S=``[State or province]``, C=``[Country Code]``"
-
[User name]
はキーストアを所有しているユーザーの識別名です。 -
[Group Name]
はキーストアの所有者が所属している会社グループの識別名です。 -
[Company Name]
は所属する組織の名前です。 -
[City Name]
は組織の所在地の市区町村です。 -
[State or province]
は組織の所在地の都道府県です。 -
[Country Code]
は組織の所在国を示す 2 文字のコードです。
keytool コマンドの使用方法の詳細については、JDK のマニュアルに含まれている keytool.html ファイルを参照してください。
カスタム ID および信頼キーストアの作成 create-the-custom-identity-and-trust-keystores
-
コマンドプロンプトで、[appserverdomain]/adobe/[server name] に移動します。
-
以下のコマンドを入力します。
[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code
note note NOTE [JAVA_HOME]
は JDK がインストールされているディレクトリに、イタリックのテキストは自分の環境に対応する値に置き換えます。次に例を示します。
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
「ads-credentials.jks」という名前のカスタム ID キーストアファイルが [appserverdomain]/adobe/[server name] ディレクトリに作成されます。
-
次のコマンドを入力して、ads-credentials キーストアから証明書を抽出します。
[JAVA_HOME]
/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass
*store*
*_ パスワードnote note NOTE [JAVA_HOME]
は、JDK がインストールされているディレクトリに、store
_password
* は、カスタム ID キーストアのパスワードに置き換えます*。次に例を示します。
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
「ads-ca.cer」という名前の証明書ファイルが、[appserverdomain]/adobe/[server name] ディレクトリに作成されます。
-
ads-ca.cer ファイルを、アプリケーションサーバーとの安全な通信を必要とするすべてのホストコンピューターにコピーします。
-
次のコマンドを入力して、証明書を新しいキーストアファイル(カスタム信頼キーストア)に挿入します。
[JAVA_HOME]
/bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password
note note NOTE [JAVA_HOME]
は JDK がインストールされているディレクトリに、store
_password
とkey
_password
は使用しているパスワードに置き換えます。次に例を示します。
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
「ads-ca.jks」という名前のカスタム信頼キーストアファイルが [appserverdomain]/adobe/[server] ディレクトリ。
作成したカスタム ID キーストアとカスタム信頼キーストアを使用するように WebLogic を設定します。 また、キーストアファイルの作成に使用する識別名に WebLogic Server をホストするコンピューターの名前が含まれていないので、WebLogic のホスト名の検証機能を無効にします。
SSL を使用する WebLogic の設定 configure-weblogic-to-use-ssl
-
Web ブラウザーの URL 行に
https://
[ホスト名]:7001/console
を入力して、WebLogic サーバー管理コンソールを起動します。 -
[ 環境 ] の [ ドメインの構成 ] で、を選択します。 サーバー > [server] /設定/一般.
-
「一般」の「設定」で、次の点を確認します。 リスンポート有効 および SSL リッスンポートが有効になっています が選択されている。 有効になっていない場合は、次の操作を行います。
- 「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
- 次を確認します。 リスンポート有効 および SSL リッスンポートが有効になっています チェックボックス
-
このサーバーが管理対象サーバーの場合は、Listen Port を未使用のポート値(8001 など)に変更し、SSL Listen Port を未使用のポート値(8002 など)に変更します。 スタンドアロンサーバーでは、デフォルトの SSL ポートは 7002 です。
-
クリック リリース設定.
-
「Environment」下の「Domain Configurations」で Servers/[Managed Server]/Configuration/General をクリックします。
-
「General」の「Configuration」で「Keystores」を選択します。
-
「Change Center」で、「Lock & Edit」をクリックし、選択内容と値を変更します。
-
クリック 変更 キーストアリストをドロップダウンリストとして取得するには、「 」を選択します。 カスタム Id とカスタム信頼.
-
「ID」で、次の値を指定します。
Custom Identity Keystore:[appserverdomain]/adobe/[server name]/ads-credentials.jks。ここで、[appserverdomain] は実際のパス、[server name] はアプリケーションサーバーの名前です。
カスタム ID キーストアタイプ:JKS
カスタム ID キーストアのパスフレーズ: mypassword (カスタム ID キーストアのパスワード)
-
「信頼」で、次の値を指定します。
Custom Trust Keystore ファイル名:
*[appserverdomain]*/adobe/*[server]*/ads-ca.jks
ここで、*[appserverdomain]*
は実際のパスです。カスタム信頼キーストアの種類:JKS
カスタム信頼キーストアのパスフレーズ: mypassword (カスタム信頼キーのパスワード)
-
「一般」の「設定」で、「 SSL.
-
デフォルトでは、ID と信頼の場所にキーストアが選択されています。そうでない場合は、キーストアに変更します。
-
「ID」で、次の値を指定します。
秘密鍵のエイリアス:ads-credentials
パスフレーズ: mypassword
-
クリック リリース設定.
ホスト名の検証機能を無効にします。 disable-the-hostname-verification-feature
-
「設定」タブで、「SSL」をクリックします。
-
「詳細」で、「ホスト名の検証」リストから「なし」を選択します。
ホスト名の検証が無効になっていない場合、共通名 (CN) にサーバのホスト名が含まれている必要があります。
-
[Change Center] で、[Lock & Edit] をクリックして、選択内容と値を変更します。
-
アプリケーションサーバーを再起動します。