ドキュメント情報
|
||||||||||||||||||||||||||
概要[ISM]SSL通信を使用して ISM Overview画面を表示時に「証明書は無効です」という証明書エラーが発生 する場合の対応について |
||||||||||||||||||||||||||
内容
自己証明書を作成してブラウザに登録しておくことで、エラーの
発生を回避することが可能です。
なお、Windows 2008の場合には、製品内にて証明書作成を実施しているため
本対応の必要はありません。
ここでは、以下の環境を使用した手順を説明します。
・OS:Linux
・作業用ディレクトリ:/tmp
また、手順 1〜8. は ISM サーバー、手順 9 以降は クライアント
マシンで作業を行います。
1. 環境変数の確認
環境変数 PATH に $OHS_HOME/bin 、LD_LIBRARY_PATH に $OHS_HOME/lib
が設定されていない場合は、追加してください。
e.g.
$ export PATH=$PATH:$OHS_HOME/bin
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$OHS_HOME/lib
2. 画面上部の関連情報欄にあります[mkwallet.zip]を取得後、
解凍した以下のファイルを作業用ディレクトリに配置します。
Windows の場合:mkwallet.bat
Winodws 以外の場合:mkwallet.sh
3. 証明書を作成します。ターミナルクライアント(コマンドプロ
ンプト)を起動し、手順 2. で作成されたファイルを実行して
ください。
e.g.
$ /tmp/mkwallet.sh
4. 作業用ディレクトリのパスを入力します。
e.g.
$ 作業用フォルダのパスを入力してください。(e.g. /tmp) /tmp
5. 証明書の作成を開始するか確認を求められるので、作成する場
合は Yを、作成せずに終了する場合は Nを入力してください。
Yを選択すると、自動的に証明書の作成が始まります。
e.g.
作業用フォルダにウォレットを作成します。よろしいですか? (Y/N) Y
6. 証明書の作成が終了すると、ファイル名が 2つ表示されるので、
正常にファイルが作成されたか確認してください。
e.g.
/tmp/wrl/ewallet.p12
/tmp/wrl/cwallet.sso
7. 手順 6. で確認した 2つのファイルを以下のディレクトリに
コピーします。
e.g.
$APACHE_HOME/conf/ssl.wlt/default/
このディレクトリは ssl.conf の SSLWallet ディレクティブ
に指定してあるデフォルト値です。
ssl.conf を開き、現在指定しているディレクトリを確認して
ください。
e.g.
# Server Wallet:
# The server wallet contains the server's certificate, private key
# and trusted certificates. Set SSLWallet at the wallet directory
# using the syntax: file:
SSLWallet file:/home/piso/insight/ohs/Apache/Apache/conf/ssl.wlt/default
また、ewallet.p12 コピー先のディレクトリに ewallet.p12
が存在する場合は、バックアップ用にリネームしてください。
8. Oracle HTTP Server(Apache)を再起動します。
e.g.
$ istctl downsslapache
$ istctl upsslapache
再起動後は、 istctl status コマンドで Oracle HTTP Server
(Apache) が起動していることを確認してください。
9. IP アドレスとホスト名の対応を設定します。 hosts ファイル
をエディタで開き、以下のように編集してから保存してくださ
い。
(PISO ISMのIPアドレス) www.piso.com
SSL 認証には FQDN (完全修飾ドメイン名)の制限があるため、
hosts ファイルで IP アドレスと自己の認証局(www.piso.com)
を対応づける必要があります。
10. Overview を閲覧するブラウザ( Internet Explorer 7)から、
以下の URL を指定して PISO ISM にアクセスします。アクセ
スすると、ブラウザのアドレス欄が赤く反転し、「証明書のエラー」
と表示されます。
e.g.
https://www.piso.com:4443/piso/
11. 手順10. でアドレス欄の右横に表示された[証明書のエラー]と
いう部分をクリックします。クリックすると、「証明書は信頼
できません」というダイアログが表示されるので、一番下にあ
る[証明書の表示]ボタンをクリックしてください。
12. [証明書]ダイアログが表示されるので、[証明のパス]タブをク
リックします。下のツリーから'Insight Technology'を選択し、
[証明の表示]ボタンをクリックしてください。
13. もう 1つ[証明書]ダイアログが表示されるので、[全般]タブの
[証明書の情報]を参照します。発行先と発行者の欄に弊社の名
前が表示されることを確認し、[証明書のインストール]ボタン
をクリックしてください。
14. [証明書のインポートウィザード]ダイアログが表示されるので、
[次へ]ボタンをクリックします。
15. [証明書ストア]の選択ダイアログで「証明書をすべて次のスト
アに配置する」を選択し、[参照]ボタンをクリックします。
[証明ストアの選択]ダイアログが表示されるので、「信頼され
たルート証明機関」を選択し、[OK]ボタンをクリックします。
元の選択ダイアログに戻るので、[次へ]ボタンをクリックして
ください。
16. [証明書のインポートウィザードの完了]ダイアログで[完了]ボ
タンをクリックします。[セキュリティ警告]ダイアログが表示
されるので、[はい]ボタンをクリックしてください。インポー
ト終了後は全てのダイアログを閉じ、ブラウザを再起動してく
ださい。
これで、自己の認証局が「信頼されたルート証明機関」として
ブラウザに登録されます。
17. 手順10. で指定した URL を再度指定し、PISO ISM にアクセス
してください。ログイン画面を表示した時、ブラウザのアドレ
ス欄の右横に鍵型のアイコンが表示されれば、以後は Overview
を閲覧する度に証明書のエラーが発生することはありません。
後処理
本処理に使用したファイルとディレクトリを削除してください。
e.g.
/tmp/mkwallet.sh
/tmp/wrl/*
/tmp/rootwrl/*
なお、PISO4.x ISMに同梱されている Oracle Wallet Management は
SHA-2の自己署名証明書作成に対応しておりません。
別途、SHA-2方式の証明書を用意頂き、使用することは可能です。
|
||||||||||||||||||||||||||
履歴2009/09/18 本文書を公開 2011/01/11 添付mkwallet.zipをRSA key長を2048bitに対応したサーバー証明書に置換え 2014/02/25 自前証明書を自己証明書に修正 2016/10/28 SHA-2方式の追記 2018/01/16 関連情報URL一部変更 2019/01/08 タイトルにバージョン名を追加 |
||||||||||||||||||||||||||
このKnowledgeを評価する個人情報保護のため、個人情報の記入はご遠慮ください。
|
||||||||||||||||||||||||||