[ISM]Oracle HTTP ServerでSSLを使用時の設定[Unix]

ドキュメント情報

概要

[ISM]Oracle HTTP ServerでSSLを使用時の設定[Unix]

内容

Target - ISM 間のデータ転送プロトコルとしてhttps を使用する時、またはクライアントマシン-ISM 間の接続にhttpsを
使用する時には以下の設定変更が必要です。


1.ISM 側の設定
  1-1.Apache プロセスとジョブISMService_Alive.sub の停止
      注意：
      設定作業中にISMService_Alive.sub によるApache プロセスの起動が実行されないようにします。

      $ istctl downapache
      $ jobctl modify set sts="disable" match job="'ISMService_Alive.sub'"
      $ jobctl reload

  1-2.PISO 設定ファイルを変更
      Apache SSL モードの起動・停止用コマンドを有効にするため、設定ファイルを以下のように変更して保存します。

      設定ファイル：$IST_HOME/admin/istctl.env

      (変更前)
              LET ISTCTL_UPAPACHE = TRUE
              LET ISTCTL_DOWNAPACHE = TRUE
              LET ISTCTL_UPSSLAPACHE = FALSE
              LET ISTCTL_DOWNSSLAPACHE = FALSE
      (変更後)
              LET ISTCTL_UPAPACHE = FALSE
              LET ISTCTL_DOWNAPACHE = FALSE
              LET ISTCTL_UPSSLAPACHE = TRUE
              LET ISTCTL_DOWNSSLAPACHE = TRUE

      本作業により起動・停止のコマンドは次のように変わります。(*従来のコマンドはご利用いただけません。)
      起動：istctl upsslapache
      停止：istctl downsslapache

  1-3.Apache 設定ファイルを変更
      Apache設定ファイル内の以下3箇所を変更します。

      Apache設定ファイル：$APACHE_HOME/conf/httpd.conf

     (1)モジュール"mod_ossl.so" をロードするために、以下のように変更します。
        変更内容としてはコメントを外すのみです。
        また ISM へ導入済みの Oracle バージョンにより変更内容が異なります。

        Oracle Database 10g の場合(ISM 4.x からのアップグレード環境)
        変更前：
                <IfDefine SSL>
                # LoadModule ossl_module libexec/mod_ossl.so
                </IfDefine>
        変更後：
                <IfDefine SSL>
                LoadModule ossl_module libexec/mod_ossl.so
                </IfDefine>

        Oracle Database 11gの場合(ISM 5.x を新規インストールした環境)
        変更前：
                <IfDefine SSL>
                # LoadModule ossl_module "${ORACLE_INSTANCE}/oracleWT/ohs/modules/mod_ossl.so"
                </IfDefine>
        変更後:
                <IfDefine SSL>
                LoadModule ossl_module "${ORACLE_INSTANCE}/oracleWT/ohs/modules/mod_ossl.so"
                </IfDefine>

     (2) SSL 設定ファイルssl.conf をインクルードするためにコメントを外す、または行を追加します。
        以下変更例は、行を追加時の例となります。
        変更前:
                # Include the SSL definitions and Virtual Host container
        変更後:
                # Include the SSL definitions and Virtual Host container 
                include "${APACHE_HOME}/conf/ssl.conf"

     (3) OHS Listen Port をコメントに設定し、http を無効にします。
        変更前:
                # OHS Listen port
                Listen 7777
        変更後:
                # OHS Listen port
                #Listen 7777

  1-4.ssl設定ファイルの変更
        ssl設定ファイル内の該当箇所を確認します。変更されていない場合には以下の内容で変更して
        保存します。
      
         ssl設定ファイル：$APACHE_HOME/conf/ssl.conf
      
     (1)ポート番号を指定します。

        例) ポート番号"4443" を使用する場合
                Listen 4443
        ※Oracle Database 10g の場合( ISM 4.x からのアップグレード環境 )は上記の代わりに
        下記を記述願います。
                Listen 4443
                <VirtualHost _default_:4443>
                Port 4443

     (2)ログファイル"ssl_engine_log" と"ssl_request_log" のローテーションを行うため
        以下の２箇所を変更します。
        変更後の値が記述されている場合は変更の必要はありません。
        変更前、変更後の値がどちらも存在しない場合は変更後の値を追記してください。

        (2-1)
          変更前:
                SSLLog "$APACHE_HOME/logs/ssl_engine_log"
          変更後:
            新規インストール環境の場合
                ErrorLog "|${APACHE_HOME}/oracleWT/bin/rotatelogs ${APACHE_HOME}/logs/ssl_engine_log 43200"

            アップグレード環境の場合
                SSLLog "|${APACHE_HOME}/bin/rotatelogs ${APACHE_HOME}/logs/ssl_engine_log 43200"

        (2-2)
          変更前:
                CustomLog "$APACHE_HOME/logs/ssl_request_log"\"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
          変更後:
            新規インストール環境の場合
                CustomLog "|${APACHE_HOME}/oracleWT/bin/rotatelogs ${APACHE_HOME}/logs/ssl_request_log 43200"\
                "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

            アップグレード環境の場合
                CustomLog "|${APACHE_HOME}/bin/rotatelogs ${APACHE_HOME}/logs/ssl_request_log 43200"\
                "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

     (3)ISM 5.0.0.0, ISM 5.0.0.1, ISM 5.0.0.2 を初期導入した環境では
        SSLCipherSuite 設定値に誤った暗号スイート名が含まれた状態となっています。
          (誤) TLS_RSA_WITH_AES_128_CBC_SHA → (正) SSL_RSA_WITH_AES_128_CBC_SHA
          (誤) TLS_RSA_WITH_AES_256_CBC_SHA → (正) SSL_RSA_WITH_AES_256_CBC_SHA

        SSLCipherSuite 設定値の該当部分を適切な暗号スイート名に変更します。
          変更前:
                SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA
          変更後:
                SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,SSL_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_AES_256_CBC_SHA

  1-5.Apache-SSL の起動とジョブISMService_Alive.sub の開始
      以下のコマンドを実行します。
      $ istctl upsslapache
      $ jobctl modify set sts="enable" match job="'ISMService_Alive.sub'"
      $ jobctl reload


ここまでの設定でクライアントマシン とISM 間のhttps 接続が可能です。
Target と ISM 間のデータ転送プロトコルとしてhttps を使用する場合には、以下の手順「2.Target側の設定」を
実行する必要があります。


2.Target側の設定

  2-1.全プロセスの停止
      $ istctl downistcmon stopall
      
  2-2.転送プロトコルをhttps へ変更
      $ istctl setconfig

  2-3.STEP 1 ISM 設定 を選択して、以下のように変更します。
      変更前:
              PROTCOL : http
              PORT No.: 7777

      変更後:
              PROTCOL : https
              PORT No.: 4443

  2-4.全プロセスの起動
       $ istctl startall upistcmon

履歴

2014/12/17 本文書を公開
2016/01/06 ssl設定ファイルのポート指定例を修正。
2017/01/25 Platformの追加
2017/03/22 1-3(2)注意事項内の 環境変数$OHS_HOME/Oracle_WT/ohsを修正,1-4(2)へ注意事項を追記
2018/02/28 1-2コマンドの注意事項を追記
2019/02/04 oracle_WTをoracleWTに変更,関連情報に00378追加
2020/01/24 ssl.conf 内の$APACHE_HOME の指定方法修正 MY_APACHE_HOME の記載を${APACHE_HOME}として修正 (#18324)
2020/05/20 1-4.ssl設定ファイルの変更 へ 「(3)ISM 5.0.0.0, ISM 5.0.0.1, ISM 5.0.0.2 を初期導入した環境」についての記載を追加 (#18463)

このKnowledgeを評価する