ドキュメント情報
|
||||||||||||||||||||||||||
概要[ISM]Oracle HTTP ServerでSSLを使用時の設定[Windows] |
||||||||||||||||||||||||||
内容
注意:
本文書の記載は PISO ISM 5.0.0.1 (Windows x64) を対象としています。
PISO ISM 5.0.0.0 (Windows x64):
- 製品付属の Oracle HTTP Server が ISM 5.0.0.0 の動作環境となる
Windows Server 2008 R2 上での SSL 接続をサポートしていません。
- https を使用する場合は個別対応 (#15752) が必要となります。
詳細についてはお問い合わせください。
PISO ISM 5.0.0.1 (Windows x64):
- 本文書の記載手順による SSL 接続設定が可能です。
PISO ISM 5.1.1.0 (Windows x64):
- 製品付属の Oracle HTTP Server で SSL 接続設定を行った場合
HTTP Server プロセスが異常停止する問題が確認されています。
- https 通信されたい場合は、Apache 2.4化の作業が必須となり、
個別対応 (#15752) が必要となります。
詳細についてはお問い合わせください。
PISO ISM 5.1.2.0 (Windows x64) 以降:
- 製品付属の Apache HTTP Server で SSL の使用が可能です。
詳細についてはインストールマニュアルを参照してください。
Target - ISM 間のデータ転送プロトコルとしてhttpsを使用する時、または
クライアントマシン-ISM 間の接続にhttpsを使用する時には以下の設定変更が必要です。
1.ISM 側の設定
1-1.Apache プロセスとジョブISMService_Alive.sub の停止
注意:
設定作業中にISMService_Alive.subによるApacheプロセスの起動が実行されない
ようにします。
> istctl downapache
> jobctl modify set sts="disable" match job="'ISMService_Alive.sub'"
> jobctl reload
1-2.PISO 設定ファイルを変更
Apache SSLモードの起動・停止用コマンドを有効にするため、設定ファイルを以下のように変更して保存します。
設定ファイル:(PISO インストールディレクトリ)\admin\istctl.env
(変更前)
LET ISTCTL_UPAPACHE = TRUE
LET ISTCTL_DOWNAPACHE = TRUE
LET ISTCTL_UPSSLAPACHE = FALSE
LET ISTCTL_DOWNSSLAPACHE = FALSE
(変更後)
LET ISTCTL_UPAPACHE = FALSE
LET ISTCTL_DOWNAPACHE = FALSE
LET ISTCTL_UPSSLAPACHE = TRUE
LET ISTCTL_DOWNSSLAPACHE = TRUE
注意事項:下記のように # によるコメントアウトでの行追加をしないようお願いいたします。
# LET ISTCTL_UPAPACHE = TRUE
# LET ISTCTL_DOWNAPACHE = TRUE
# LET ISTCTL_UPSSLAPACHE = FALSE
# LET ISTCTL_DOWNSSLAPACHE = FALSE
本作業により起動・停止のコマンドは次のように変わります。(*従来のコマンドはご利用いただけません。)
起動:istctl upsslapache
停止:istctl downsslapache
1-3.Apache 設定ファイルを変更
Apache設定ファイル内の以下3箇所を変更します。
Apache設定ファイル:%APACHE_HOME%\conf\httpd.conf
(1)モジュール"mod_ossl.so" をロードするために、以下のように変更します。
変更前:
<IfDefine SSL>
# LoadModule ossl_module "${ORACLE_INSTANCE}\oracleWT\ohs\modules\mod_ossl.so"
</IfDefine>
変更後:
<IfDefine SSL>
LoadModule ossl_module "${OHS_HOME}/Oracle_WT/ohs/modules/mod_ossl.so"
</IfDefine>
(2) SSL 設定ファイル"ssl.conf"をインクルードするためにコメントを外す、または行を追加します。
以下変更例は、行を追加時の例となります。
変更前:
# Include the SSL definitions and Virtual Host container
変更後:
# Include the SSL definitions and Virtual Host container
include "${APACHE_HOME}/conf/ssl.conf"
(3) OHS Listen Port をコメントに設定し、http を無効にします。
変更前:
# OHS Listen port
Listen 7777
変更後:
# OHS Listen port
#Listen 7777
1-4.ssl設定ファイルの変更
ssl設定ファイル内の該当箇所を確認します。変更されていない場合には以下の内容で
変更して保存します。
ssl設定ファイル:%APACHE_HOME%\conf\ssl.conf
(1)ポート番号を指定します。
例) ポート番号"4443" を使用する場合
Listen 4443
※Oracle 10g の場合は上記の代わりに
Port 4443
と記述してください。
(2)ログファイル"ssl_engine_log" と"ssl_request_log" のローテーションを行うため
以下の2箇所を変更します。
変更後の値が記述されている場合は変更の必要はありません。
変更前、変更後の値がどちらも存在しない場合は変更後の値を追記してください。
(2-1)
変更前:
SSLLog "%APACHE_HOME%\logs\ssl_engine_log"
変更後:
ErrorLog "|${OHS_HOME}/Oracle_WT/ohs/bin/rotatelogs ${APACHE_HOME}/logs/ssl_engine_log 43200"
(2-2)
変更前:
CustomLog "%APACHE_HOME%\logs\ssl_request_log"\"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
変更後:
CustomLog "|${OHS_HOME}/Oracle_WT/ohs/bin/rotatelogs ${APACHE_HOME}/logs/ssl_request_log 43200"\
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
(3)ISM 5.0.0.0, ISM 5.0.0.1, ISM 5.0.0.2 を初期導入した環境では
SSLCipherSuite 設定値に誤った暗号スイート名が含まれた状態となっています。
(誤) TLS_RSA_WITH_AES_128_CBC_SHA → (正) SSL_RSA_WITH_AES_128_CBC_SHA
(誤) TLS_RSA_WITH_AES_256_CBC_SHA → (正) SSL_RSA_WITH_AES_256_CBC_SHA
SSLCipherSuite 設定値の該当部分を適切な暗号スイート名に変更します。
変更前:
SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA
変更後:
SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,SSL_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_AES_256_CBC_SHA
1-5.WindowsサービスへApacheの再登録
(1)Apacheサービスのアンインストール
以下のコマンドを実行します。
> %OHS_HOME%\Oracle_WT\ohs\bin\Apache.exe -n Apache -k uninstall
Removing the Apache service
The Apache service has been removed successfully.
(2)アンインストールの確認をします。
> sc qc Apache
[SC] OpenService FAILED 1060:
指定されたサービスはインストールされたサービスとして存在しません。
(3)Apacheサービスを再インストールします。
> %OHS_HOME%\Oracle_WT\ohs\bin\Apache.exe -n Apache -D SSL -k install -f %APACHE_HOME%\conf\httpd.conf
(4)再インストールの確認をします。
> echo %ERRORLEVEL%
0 と表示されることを確認します。
1-6.Apache-SSL の起動とジョブISMService_Alive.sub の開始
以下のコマンドを実行します。
> istctl upsslapache
> jobctl modify set sts="enable" match job="'ISMService_Alive.sub'"
> jobctl reload
ここまでの設定でクライアントマシン とISM 間のhttps 接続が可能です。
Target と ISM 間のデータ転送プロトコルとしてhttps を使用する場合には、以下の手順「2.Target側の設定」を
実行する必要があります。
2.Target側の設定
2-1.全プロセスの停止
> istctl downistcmon stopall
2-2.転送プロトコルをhttps へ変更
> istctl setconfig
2-3.STEP 1 ISM 設定 を選択して、以下のように変更します。
変更前:
PROTOCOL: http
PORT No.: 7777
変更後:
PROTOCOL: https
PORT No.: 4443
2-4.全プロセスの起動
> istctl startall upistcmon
|
||||||||||||||||||||||||||
履歴2014/12/17 本文書を公開 2016/01/06 ssl設定ファイルのポート指定例を修正。 2018/02/28 1-2コマンドの注意事項を追記。 2019/02/01 関連情報に文書番号を追加,リンク先の修正。 2019/06/10 ISM5.1.2.0リリースに伴うSSL設定の文書見直し(対応バージョン、https対応状況を追記) 2019/10/04 PISO ISM 5.1.1.0 (Windows x64) に Apache 2.4化が必須な旨、記載追加 (#18096) 2020/03/02 httpd.conf ssl.conf 内の %APACHE_HOME%,%OHS_HOME% の記述方法について記載追加 (#18536) 2020/05/20 1-4.ssl設定ファイルの変更 へ「(3)ISM 5.0.0.0, ISM 5.0.0.1, ISM 5.0.0.2 を初期導入した環境」についての記載を追加 (#18464) |
||||||||||||||||||||||||||
このKnowledgeを評価する個人情報保護のため、個人情報の記入はご遠慮ください。
|
||||||||||||||||||||||||||