Kousec Server Certificate Manager

Oracle WebLogic Serverへの証明書インストール方法

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

株式会社コウセック・ソフトウェア

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright 2009 Kousec Software, Inc.  All rights reserved.

 

Kousec and Kousec Server Certificate Manager are trademarks of Kousec Software, Inc.

WebLogic and BEA WebLogic Server are registered trademarks of BEA Systems, Inc, a subsidiary of Oracle Corporation.

All company names and product names are trademarks of their respective holders.

 

r3

Table of Contents

 

はじめに............................................................................................................................. 4

対象製品......................................................................................................................... 4

証明書申請・取得時の操作................................................................................................. 5

証明書の配備時の操作........................................................................................................ 5

(A) 証明書の新規インストール...................................................................................... 6

サーバーコンピューター上での準備............................................................................ 6

CertMgr上での操作.................................................................................................... 6

サーバーコンピューター上での証明書のインストール................................................ 7

WebLogic ServerKeystoreSSL設定の変更....................................................... 8

(B) 証明書の更新........................................................................................................... 9

CertMgr上での操作.................................................................................................... 9

WebLogic Server 9以降での手順................................................................................ 9

WebLogic Server 9以前での手順.............................................................................. 10

 

はじめに

 

WebLogic Serverにおいて通常のSSL証明書の取得は、まず証明書用の鍵とCSR(Certificate Signing Request)をサーバー内のkeystore内で生成するところから始まります。

 

Kousec Server Certificate Managerを使用した場合は、証明書用の鍵はKousec Server Certificate Manager 内で生成しそこで一元的に管理します。そして証明書と秘密鍵の両方を、WebLogicサーバー内のkeystoreにインポートする方法を取っています。したがって、WebLogicサーバー上でCSRの生成することはありません。証明書をCAに申請する際はApache2の形式を指定して証明書を取得し、Kousec Server Certificate Manager に登録します。

 

本文書では、Kousec Server Certificate Managerに登録された証明書と秘密鍵をWebLogic Serverにインストールする手順を説明します。

 

なお、本ドキュメント内では、Kousec Server Certificate ManagerKousec CertMgrまたはCertMgrと省略表記します。

 

 

対象製品

Kousec Server Certificate Manager Beta-2

 

Oracle WebLogic Server (formerly known as BEA WebLogic Server)

本ドキュメントでは下記製品のWindows版を使用した場合の手順を掲載しています。

  BEA WebLogic Server® 9.2

 

また内容の大部分は下記製品にも適用可能です。

  BEA WebLogic Server® 8.1

 

 

証明書申請・取得時の操作

 

WebLogic Server用のSSL証明書はCertMgrの通常の操作で取得します。CAには常にApache2用証明書と指定してください(WebLogicJavaアプリケーションサーバーではない)Kousec CertMgrApache用の証明書をJKSベースサーバー(すなわちWebLogic Server)用に変換・パッケージします。

 

証明書のインストール先サーバーの設定は、証明書定義の作成時や次に説明する配備プロセス実行時のどちらでも指定できます。

 

証明書定義作成時に指定する場合、サーバーソフトウェアタイプの指定はJava(generic)を選択します。サーバーソフトウェアオプションについては、以下の「証明書の配備時の操作」を参照してください。

 

 

証明書の配備時の操作

 

SSL証明書の新規インストールと更新

2つのケースに分けて説明します。

 

A) 現在Demo Identity JKSを使用している。または、現在既に商用CAからの証明書を使っているが今回CertMgr導入にあたりIDキーストアファイルを規則性のあるパスとファイル名に変更したい。もしくはストアパスワードなどが分からない。

 

B) 現在既に商用CAからの証明書を使っておりそのIDキーストアの名前は server.jksである。今回CertMgr導入してもそのJKSファイル名やalias名、ストアパスワードなどは現在のまま使用したい。

 

ここではA)を証明書の新規インストール、B)を証明書の更新と呼びます。

 

A)の場合、対象WebLogicサーバーのSSL設定変更を伴います。

1.        CertMgrからの証明書パッケージで新規にIDキーストア(JKSファイル)を作成

2.        対象WebLogicサーバーのKeystore設定とSSL設定を行う

3.        対象WebLogicサーバーを立ち上げなおす

 

B)の場合は、対象WebLogicサーバーの設定変更は伴いません。

1.        対象WebLogicサーバーを停止する

2.        CertMgrからの証明書パッケージでIDキーストア(JKSファイル)を変更

3.        対象WebLogicサーバーを開始する

当然alias名、ストアパスワード、キーパスワードは知っておかなければなりません。

 

WebLogic Server 9以降では、対象WebLogicサーバー自体の再起動は必要なく、SSLだけを再起動できます。その場合は以下のような流れになります。

1.        CertMgrからの証明書パッケージでIDキーストア(JKSファイル)を変更

2.        Administration Consoleから対象サーバーを選択し、SSLの再起動を行う

 

 

 

(A) 証明書の新規インストール

 

サーバーコンピューター上での準備

 

IDキーストアのJKSファイルはWL_HOME\server\ssl-privateというディレクトリを

作成しそこに配置します。サーバーマシン上で ssl-privateディレクトリを作成しておきます。

 

コマンドラインを立ち上げて サーバー証明書用のディレクトリを作成します

>cd C:\bea\weblogic92\server

>mkdir ssl-private

 

 

CertMgr上での操作

JKSファイル名は<コモンネーム>.jks と命名します。配備する証明書のコモンネームが www2.example.com の場合、www2.example.com.jksとします。

 

配備情報の入力画面のServer Software Type JKS(generic)を選択します。Server Nameには対象WebLogicサーバーコンピューターのホスト名を入力します。

 

そしてServer Software Optionsには以下を設定します。

 

    JKS File Path: C:\bea\weblogic92\server\ssl-private\www2.example.com.jks

    Alias in Keystore: wlserver  (任意)

    Keystore Password: changeit  (任意)

 

最後に[Set]を押して確定します。

 

 

サーバーコンピューター上での証明書のインストール

 

証明書インストールパッケージ(cert.zip)unzipし中のjks_inst.batを実行します。

 

C:\work\cert\cert>jks_inst.bat

Kousec Certmgr Cert Installer for JKS 0.1.5a

successfully read parameter file

Creating new keyStore file : C:\bea\weblogic92\server\ssl-private\www2.example.com.jks

Certificate chain length: 2

Subject: CN=www2.example.com

Validity Period: 2009/10/08 22:53:39 to 2010/10/08 22:53:39

Intermediate CA Certificates

Subject: CN=Kousec CertMgr Auto-Generated CA 20090715215939

SUCCESS:A new key store with private key and certificate is created.

Alias and key password are set as follows:

    Alias:wlserver  Password:changeit

You can change them using one of the commands below:

keytool -keypasswd -alias wlserver -keystore "C:\bea\weblogic92\server\ssl-private\www2.example.com.jks"

keytool -changealias -alias wlserver -keystore "C:\bea\weblogic92\server\ssl-private\www2.example.com.jks"

Enter 'y' or 'n' to end this program(y/n)y

Press any key to continue . . .

 

 

これで、C:\bea\weblogic92\server\ssl-private www2.example.com.jksという

IDキーストアファイルが作成されました。

 

 

WebLogic ServerKeystoreSSL設定の変更

 

次に、WebLogicサーバーがこのIDキーストアファイルを使うように設定します。

ここでは、WebLogic Server 9.2での手順を示します。

 

- Administration Consoleにログインします。

- Environment > Servers > 該当サーバーを選択し、Configurationタブを開きます。

- Keystoresタブを開きます。

- Keyestoresのリストボックスで、デフォルトでは Demo Identity and Demo Trustが選択されています。これを別の値に変更し新たなIDキーストアとトラストキーストアを作るのですがその参考にするために、現在の画面のコピーを取って置きます。

 

- Keystoresのリストボックスで、Custom Identity and Java Standard Trustを選択する。そして以下を入力します。

 

  Custom Identity Keystore: C:\bea\weblogic92\server\ssl-private\www2.example.com.jks

  Custom Identity Keystore Type: jks

  Custom Identity Keystore Passphrase: changeit

  Confirm Custom Identity Keystore Passphrase: changeit

 

  Java Standard Trust Keystoreの方は変更しません。

 

- [Save]ボタンをクリックして保存します。

 

- SSLタブを開きます。

- Identity and Trust LocationsのリストボックスでKeystoresが選択されていることを  確認します。

- 下記を入力します。

 

  Private Key Location: from Custom Identity Keystore になっていることを確認

  Private Key Alias: wlserver

  Private Key Passphrase: changeit

  Confirm Private Key Passphrase: changeit

  Certificate Location: from Custom Identity Keystore になっていることを確認

  Trusted Certificate Authorities: from Java Standard Trust Keystore になっていることを確認

 

- [Save]ボタンをクリックして保存する

 

- 最後に左側にある[Activate Changes]をクリックすると対象サーバーでSSL証明書が有効になります。

 

WebLogic Server 8.1を使用している場合、手順の多くは同様です。ただし新しいIDキーストアを有効にするために対象サーバーを再起動する必要があります。

 

(B) 証明書の更新

 

CertMgr上での操作

現在WebLogicで使用中のIDキーストアファイルに合わせて設定します。

 

    JKS File Path: C:\bea\weblogic92\server\lib\server.jks

    Alias in Keystore: wl_server

    Keystore Password: Something

最後に[Set]を押して確定します。

 

注意:現バージョンのCertMgrではKeystore PasswordKey Passwordは同一である必要があります。

 

 

WebLogic Server 9以降での手順

 

- 証明書インストールパッケージをサーバーマシン上で実行します。

  cert.zipunzipし中のjks_inst.batを実行します。

 

- Administration Consoleから対象サーバーを選択し、SSLの再起動を行います。

  WebLogic Server 9.2での手順を示します。

 

     左ペインのEnvironment > Serversノードをクリックし、右側で対象サーバーを選択

     Control - Start/Stop タブをクリック

     ページ下部のServer Status表に行き、対象サーバーのチェックボックスを選択。

     Restart SSLボタンをクリックする

 

WebLogic Server 9以前での手順

 

SSLの単独再起動ができないWebLogic Server製品では(例えばWebLogic Server 8.1)、jks_inst.batの実行中は対象のWebLogicサーバーを停止しておきます。

 

  対象のWebLogicサーバーをshutdownします

  jks_inst.batを実行 

  対象のWebLogicサーバーを起動します