Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Oracle WebLogic Serverにおける証明書のインストール方法、及び、SSL 設定

3,904
views

Published on

第39回WebLogic Server勉強会@東京 Lightning Talksセッション …

第39回WebLogic Server勉強会@東京 Lightning Talksセッション
「Oracle WebLogic Serverにおける証明書のインストール方法、及び、SSL 設定」
伊藤忠テクノソリューションズ株式会社 橋本 和俊

Published in: Technology

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,904
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
56
Comments
0
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Copyright (c)2013 ITOCHU Techno-Solutions CorporationCopyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic Serverにおける証明書のインストール 方法、及び、SSL 設定 橋本 和俊 2013/8/21
  • 2. Copyright (c)2013 ITOCHU Techno-Solutions Corporation はじめに • 発表する内容は個人の見解であり、所属する組織の公 式な見解ではありません。 • 資料に関しては以下の環境において作成しております。 SSLの設定方法に関してはOracle WebLogic Server 8.1辺りからほぼ同一の方法で行えます。 – Windows 7 – Oracle WebLogic Server 12.1.1 – Oracle HotSpot JDK 1.6.0.29 – OpenSSL 1.0.1e 11 Feb 2013 1
  • 3. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Agenda • SSL設定を始める前に • Oracle WebLogic ServerのSSL設定方法 • SSLを使用した運用 • 参考資料 2
  • 4. Copyright (c)2013 ITOCHU Techno-Solutions Corporation SSL設定を始める前に • Oracle WebLogic ServerにおいてSSLを使用するた めには以下が必要です。 – 証明書データベース(keystore) – CSR/サーバ証明書 – CA証明書(中間CA証明書を含む) • Oracle WebLogic Serverはデモ証明書を含んでおりま すが、開発環境のみの使用となっております。 “デモ用のデジタル証明書、秘密鍵、および信頼性のあるCA証 明書は、開発環境でのみ使用してください。” http://docs.oracle.com/cd/E28613_01/web.1211/b65913/iden tity_trust.htm#SECMG366 3
  • 5. Copyright (c)2013 ITOCHU Techno-Solutions Corporation SSL設定を始める前に • 手順は以下の形で進みます。 1. 証明書DB(keystore)/キーペア(秘密鍵・共通鍵)作成 2. 証明書発行リクエスト(CSR)作成 3. CSR を CA に発行依頼し、サーバ証明書を入手 (※ここは外部で行う可能性があります。) 5. CA証明書をインストール 6. 中間CA証明書をインストール(※必要があれば) 7. サーバ証明書をインストール 8. Oracle WebLogic ServerのSSL機能設定 4
  • 6. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書DB(keystore)/キーペア(秘密鍵・共通鍵)作成 – ドメイン内にkeystore(証明書データベース)を作成します。 5
  • 7. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書DB(keystore)/キーペア(秘密鍵・共通鍵)作成 – 各項目の説明 6 オプション/設定値例 説明 -genkeypair 証明書データベース、及び、キーペアを作成 するコマンドです。以前のバージョンでは- genkeyでした。-genkeyでも作成可能です。 -alias test キーペア、及び、証明書の名称を指定しま す。”別名”と表記されます。基本的に外部に は出ない文字列のために被らない文字列な らば問題ございません。 -keyalg RSA 鍵作成のアルゴリズムです。基本的にRSAで 設定してください。 -keysize 2048 鍵長を2048bitに設定しております。CAによっ ては1024bitは許容されておりません。
  • 8. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書DB(keystore)/キーペア(秘密鍵・共通鍵)作成 – 各項目の説明 7 オプション/設定値例 説明 -keypass keypass 証明書データベースにおいて該当の証明書 の秘密鍵等を使用するために必要なパス ワードです。 -keystore test.jks 証明書データベースのファイル名です。 相対 パス、または、絶対パスで記述します。 -storepass storepass 証明書データベースにアクセスするためのパ スワードです。 -storetype JKS キーストアのタイプを指定します。JKSや PKCS12などが用意されておりますが、通常 はJKSです。 -validity 365 証明書の有効期限の指定です。デフォルトは 90日となります。
  • 9. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書DB(keystore)/キーペア(秘密鍵・共通鍵)作成 – サブジェクト(cn)はクライアントのブラウザのリクエストURLの ホスト名と同一になるように設定してください。 – SSLの接続にブラウザにてホスト名のチェックにて失敗すると 下記のようにエラーが出力されます。 8
  • 10. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書発行リクエスト(CSR)作成 – 先ほど作ったキーペアに対するCSRを発行します。 9
  • 11. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • 証明書発行リクエスト(CSR)作成 – 作成したPEM形式のCSRの最初と最後は -----BEGIN NEW CERTIFICATE REQUEST----- -----END NEW CERTIFICATE REQUEST----- という形で表示されます。 10
  • 12. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CSR を CA に発行依頼し、サーバ証明書を入手 – ここは外部のCA(認証局)で行うこととなります。試しに OpenSSLでCAを作成します。 11 storeパスワード 入力
  • 13. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CSR を CA に発行依頼し、サーバ証明書を入手 – CA作成中 12 keyパスワード 入力
  • 14. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CSR を CA に発行依頼し、サーバ証明書を入手 – CA作成中 13
  • 15. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CSR を CA に発行依頼し、サーバ証明書を入手 – サーバ証明書発行中 14
  • 16. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CSR を CA に発行依頼し、サーバ証明書を入手 – サーバ証明書発行中 15
  • 17. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CA証明書をインストール – VeriSign 社等のCA証明書が事前に組み込まれている認証 局を利用している場合はこの処理は必要はありません。 OpenSSLを使用した自作のCAの場合はCA証明書を組み込 む必要があります。 – OpenSSLでCAを作成した場合はデフォルトで は”[OpenSSL_ROOT]¥bin¥demoCA¥cacert.pemがCA証明 書となります。 – cacert.pemでは最初にCA証明書のサブジェクト等の情報が 入っています。ファイルの中身が -----BEGIN NEW CERTIFICATE REQUEST----- ~~~~~ -----END NEW CERTIFICATE REQUEST----- のみになるように加工しましょう。 16
  • 18. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CA証明書をインストール 17
  • 19. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CA証明書をインストール 18
  • 20. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • CA証明書をインストール – 各項目の説明 19 オプション/設定値例 説明 -importcert 証明書データベースに証明書を入れるコマン ドです。以前のバージョンでは-importでした。 -importでも作成可能です。 -file cacert.pem インポートする証明書ファイルを記述します。 相対パス、または、絶対パスで記述します。 -trustcacerts この証明書は信頼できる証明書と認識します。 ルートCA証明書としてインポートする場合に 使用します。
  • 21. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • サーバ証明書をインストール – OpenSSLで署名したサーバ証明書には最初にサーバ証明書 のサブジェクト等の情報が入っています。ファイルの中身が -----BEGIN NEW CERTIFICATE REQUEST----- ~~~~~ -----END NEW CERTIFICATE REQUEST----- のみとなるように加工しましょう。 20
  • 22. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • サーバ証明書をインストール 21
  • 23. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • サーバ証明書をインストール – 念のためにインストールした証明書一覧を確認しましょう。 22
  • 24. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – 構成->キーストアにてデフォルトのキーストアから作成した キーストアを確認するように設定を変更します。 23
  • 25. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – デフォルトのキーストアから作成したキーストアを確認するよう に設定を変更します。 24
  • 26. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – キーストアはjksファイル、タイプはJKS、パスフレーズは keytoolの-storepassの設定をどちらも設定します。 25
  • 27. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – 構成->SSLで秘密鍵の別名はkeytoolの-alias、パスフレーズ はkeytoolの-keypassを設定します。 26
  • 28. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – 構成->全般でSSLリスニングポートを有効にし、ポート番号を 設定します。 27
  • 29. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – サーバログかコンソールログにてBEA-090171やBEA- 090169でサーバ証明書とCA証明書が読み込まれていること を確認し、SSLがリスンされていることを確認してください。 28
  • 30. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – ブラウザでアクセス時にCA証明書が登録されていない場合 (OpenSSLで自作したCAの場合)は下記のエラーとなります。 29
  • 31. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – IEでCA証明書を登録する場合はコントロールパネル->イン ターネットオプションからコンテンツ->証明書にて”信頼された ルート証明機関”にCA証明書(cacert.pem)を登録します。 30
  • 32. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – “インポートする証明書ファイル”では全てのファイル(*.*)を選択 し、OpenSSLで作成したCA証明書(cacert.pem)をインポート します。 31
  • 33. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – 自作のCAのCA証明書をインストールする際には下記のセ キュリティ警告が出ます。 – “はい”を押下し、CA証明書が登録されればサーバ証明書が 有効であると判断し、ブラウザのエラーはなくなります。 32
  • 34. Copyright (c)2013 ITOCHU Techno-Solutions Corporation Oracle WebLogic ServerのSSL設定方法 • Oracle WebLogic ServerのSSL機能設定 – ブラウザにて証明書を確認すると下記のように証明書が問題 なく信頼できていることが分かります。 33
  • 35. Copyright (c)2013 ITOCHU Techno-Solutions Corporation SSLを使用した運用 • 前段のWebServerとの間の通信をSSL化させる場合 はプロキシプラグイン側でOracleウォレットという証明 書データベースが別途必要です。 • Oracle WebLogic Serverは以下のオプションで、SSL のデバッグを有効にすることが可能です。 – -Djavax.net.debug=all -Dssl.debug=true -Dweblogic.StdoutDebugEnabled=true • SSLにおけるホスト名検証を無効にする場合は下記の オプションをご利用ください。 – -Dweblogic.security.SSL.ignoreHostnameVerification= false 34
  • 36. Copyright (c)2013 ITOCHU Techno-Solutions Corporation SSLを使用した運用 • 12.1.1からJSSE実装に変わりました。10.3.3からは Certicom非推奨となります。 • Oracle WebLogic ServerにおいてCypher listを変更 する場合はWLSTを使用します。詳細は下記をご確認く ださい。 – http://docs.oracle.com/cd/E28389_01/web.1111/b61617/ss l.htm#CHDIJBGI • 変更すると以下の形でconfig.xmlに追加されます。 <ssl> <enabled>true</enabled> <ciphersuite>SSL_RSA_WITH_RC4_128_MD5</ciphersuite> ~~~~ 35
  • 37. Copyright (c)2013 ITOCHU Techno-Solutions Corporation SSLを使用した運用 • 今回はkeytoolで説明しましたが、Oracle WebLogic Serverにデフォルトで用意されている豊富なJavaユー ティリティを使用しても証明書関連の処理が可能です。 例えば… – utils.CertGen – utils.ImportPrivateKey – utils.der2pem – utils.pem2der 36
  • 38. Copyright (c)2013 ITOCHU Techno-Solutions Corporation 最後に ご視聴、ありがとうございました。 VeriSign、VeriSignロゴ、および、その他名称、 サービスマーク、およびロゴは、 米国VeriSign,Inc. または、関連会社の米国、またはその他の国における登録商標、または、商標であり、 米国Symantec Corporationは、それらの使用を一定期間許諾されています。 その他記載されている会社名、製品名は、各社の登録商標、または、商標です。 37
  • 39. Copyright (c)2013 ITOCHU Techno-Solutions Corporation 参考資料 • keytool – http://docs.oracle.com/javase/jp/6/technotes/tools/solaris/k eytool.html • Oracle® Fusion Middleware Securing Oracle WebLogic Server 12c Release 1 (12.1.1) – http://docs.oracle.com/cd/E24329_01/web.1211/e24422/ss l.htm • 2 Using the Oracle WebLogic Server Java Utilities – http://docs.oracle.com/cd/E24329_01/web.1211/e24487/ut ils.htm 38