ドキュメント情報
|
||||||||||||||||||||||||||
概要[ISM] Oracle HTTP Server の SSL 設定 (文書番号 00341) を適用した環境でOverviewへのアクセス時に証明書エラーが発生する場合の対処について |
||||||||||||||||||||||||||
内容
*-------------------------------------------------------------------------------------*
ISM5.0の場合、本手順を実施する前に、公開パッチPISO500_P06を適用してください。
公開パッチ PISO500_P06 Linux(x86-64)または、
PISO500_P06 Linux (x86) は、
[サポートデスク]-[PISO-ISM Patch]よりダウンロードできます。
*-------------------------------------------------------------------------------------*
自己署名証明書を作成してブラウザに登録しておくことで、エラーの発生を回避することが可能です。
ここでは、以下の環境を使用した手順を説明します。
・OS:Linux
・作業用ディレクトリ:/tmp
また、手順 1〜8. は ISM サーバー、手順 9 以降は クライアントマシンで作業を行います。
1. 環境変数の確認
環境変数 PATH に $OHS_HOME/bin 、LD_LIBRARY_PATH に $OHS_HOME/lib
が設定されていない場合は、追加してください。
e.g.
$ export PATH=$PATH:$OHS_HOME/bin
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$OHS_HOME/lib
2. 画面上部の関連情報欄にあります[mkwallet.sh]または、[mkwallet11g.sh]を取得後、
解凍した以下のファイルを作業用ディレクトリに配置します。
・PISO5.x新規インストール環境の場合 :mkwallet11g.sh
※旧 mkwallet11g.sh(3540 byte)は公開を停止しました。
・上記以外の場合 :mkwallet.sh
※但し、Oracle Wallet ManagementがSHA-2の自己署名証明書作成に対応しておりません。
別途、SHA-2方式の証明書を用意頂き、使用することは可能です。
3. 証明書を作成します。ターミナルクライアント(コマンドプロンプト)
を起動し、手順 2. で作成されたファイルを実行してください。
e.g.
$ /tmp/mkwallet.sh
4. 作業用ディレクトリのパスを入力します。
e.g.
$ 作業用フォルダのパスを入力してください。(e.g. /tmp) /tmp
5. 証明書の作成を開始するか確認を求められるので、作成する場合は Yを、
作成せずに終了する場合は Nを入力してください。Yを選択すると、自動的に証明書の作成が始まります。
e.g.
作業用フォルダにウォレットを作成します。よろしいですか? (Y/N) Y
6. 証明書の作成が終了すると、ファイル名が 2つ表示されるので、
正常にファイルが作成されたか確認してください。
e.g.
/tmp/wrl/ewallet.p12
/tmp/wrl/cwallet.sso
7. 手順 6. で確認した 2つのファイルをスクリプト実行時に表示されたディレクトリに
コピーします。
e.g.
以下の 2つのウォレットを /home/piso/insight/ohs/Apache/Apache/conf/ssl.wlt/default/ にコピーしてください。
/tmp/wrl/ewallet.p12
/tmp/wrl/cwallet.sso
このディレクトリは ssl.conf の SSLWallet ディレクティブに指定してあるデフォルト値です。
また、ewallet.p12 コピー先のディレクトリに ewallet.p12 が存在する場合は、バックアップ用にリネームしてください。
8. Oracle HTTP Server(Apache)を再起動します。
$ istctl downsslapache
$ istctl upsslapache
再起動後は、 istctl status コマンドで Oracle HTTP Server(Apache) が起動していることを確認してください。
9. IP アドレスとホスト名の対応を設定します。 hosts ファイルをエディタで開き、以下のように編集してから保存してください。
(PISO ISMのIPアドレス) www.piso.com
SSL 認証には FQDN (完全修飾ドメイン名)の制限があるため、
hosts ファイルで IP アドレスと自己の認証局(www.piso.com)
を対応づける必要があります。
10. Overview を閲覧するブラウザ( Internet Explorer)から、以下の URL を指定して PISO ISM に
アクセスします。アクセスすると、ブラウザのアドレス欄が赤く反転し、「証明書のエラー」
と表示されます。
https://www.piso.com:4443/piso/
11. Internet Explorer の
[ツール] - [インターネットオプション] の [セキュリティ] - [信頼済みサイト] に
接続するサーバーを登録します。
http://www.piso.com
12. 手順10. でアドレス欄の右横に表示された[証明書のエラー]という部分をクリックします。
クリックすると、「証明書は信頼できません」というダイアログが表示されるので、一番下に
ある[証明書の表示]ボタンをクリックしてください。
13. [証明書]ダイアログが表示されるので、[全般]タブの[証明書の情報]を参照します。
発行先と発行者の欄に
www.piso.com
が表示されることを確認し、[証明書のインストール]ボタンをクリックしてください。
14. [証明書のインポートウィザード]ダイアログが表示されるので、
[次へ]ボタンをクリックします。
15. [証明書ストア]の選択ダイアログで「証明書をすべて次のストアに配置する」を選択し、
[参照]ボタンをクリックします。
[証明ストアの選択]ダイアログが表示されるので、「信頼されたルート証明機関」を選択し、
[OK]ボタンをクリックします。
元の選択ダイアログに戻るので、[次へ]ボタンをクリックしてください。
16. [証明書のインポートウィザードの完了]ダイアログで[完了]ボタンをクリックします。
[セキュリティ警告]ダイアログが表示されるので、[はい]ボタンをクリックしてください。
インポート終了後は全てのダイアログを閉じ、ブラウザを再起動してください。
これで、自己の認証局が「信頼されたルート証明機関」としてブラウザに登録されます。
17. 手順10. で指定した URL を再度指定し、PISO ISM にアクセスしてください。
ログイン画面を表示した時、ブラウザのアドレス欄の右横に鍵型のアイコンが表示されれば、
以後は Overview を閲覧する度に証明書のエラーが発生することはありません。
|
||||||||||||||||||||||||||
履歴2014/02/14 本文章を公開 2014/02/26 個別パッチの文章を追記 2014/02/28 Linux以外の環境の場合の文章を追記 2016/01/15 本手順実施前に適用する公開パッチの追記 2016/05/12 mkwallet11g.shの差し替え、mkwallet11g.bat追加 2018/01/16 関連情報URL一部変更 2018/01/17 添付ファイル(bat→zip)差し替え 2019/06/10 ISM5.1.2.0リリースに伴うSSL設定の文書見直し(本文書からはWindowsの記載を削除) |
||||||||||||||||||||||||||
このKnowledgeを評価する個人情報保護のため、個人情報の記入はご遠慮ください。
|
||||||||||||||||||||||||||