Webサーバ証明書インストール手順(Oracle Application Server10g)
※別ツールで作成されたPKCS#12形式証明書をインポートする場合

本手順が必要なケース

Oracle Wallet Managerより作成されたCSRの内容でEINS/PKI+ パブリックWebサーバ証明書を申請したことで 以下のエラーメッセージが出力された場合、OpenSSLなどのサードパーティ製ツールで作成されたCSRでWebサーバ証明書を申請します。

Webサーバ証明書の発行後、本手順に従って、Webサーバ証明書、中間認証局証明書、秘密鍵からPKCS#12形式の証明書を作成後、Oracle Application Serverへ証明書をインストールします。
※PKCS#12形式の証明書を作成するにはOpenSSLが必要です。

証明書ファイルの作成

(1) Webサーバ証明書ファイルをダウンロードします。

お送りした申込専用アクセスキーでログインいただき、申込一覧よりダウンロード対象のWebサーバ証明書を選んでダウンロードしてください。
ファイル名はserver.cerとして保存します。

(2) 中間認証局証明書ファイルをリポジトリからダウンロードして保存してください。

パブリック証明書をご利用になる場合
リポジトリより中間認証局証明書をダウンロードします。
・2022年5月1日より以降に申請:こちら
・2022年4月28日より以前に申請:こちら

中間認証局証明書の内容についてテキストエディタに貼りつけて、chain.cerという名称でファイルを保存します。

(3) ルート認証局証明書を以下のURLからダウンロードして保存してください。

こちらの手順を参考に、ルート認証局証明書を取得してください。

テキストの内容についてテキストエディタに貼りつけて、root.txtという名称でファイルを保存します。

(4) Webサーバ証明書の秘密鍵について

お客様が証明書発行申請時に保持されているものです。
秘密鍵の内容についてテキストエディタに貼りつけて、private.keyという名称でファイルを保存します。

(5) 証明書ファイルを保存します。

(1)~(4)で作成した証明書ファイルをクライアントの任意のディレクトリに保存します。

ewallet.p12の作成

 以下4つのファイルを結合してPKCS#12形式の1つのファイルにします。ファイルの名称をewallet.p12にします。

・ルート認証局証明書(root.txt)
・中間認証局証明書(chain.cer)
・Webサーバ証明書(server.cer)
・秘密鍵(private.key)

(1) root.txtのテキストの内容をコピーします。

(2) chain.cerをテキストエディタで開きます。

(3) (2)で開いたchain.cerの上部にroot.txtの内容を貼り付けます。

(4) chain.cerの名称をca.cerに変更して保存します。

(5) コマンドプロンプトにおいて以下を実行し、ディレクトリを移動します。

> cd C:\OpenSSL-Win32\bin

(6) 以下のコマンドを実行して、各証明書をPKCS12形式で結合します。

> openssl pkcs12 -export -inkey private.key -in server.cer -certfile ca.cer
Enter Export Password:(パスワードを入力)
Verifying – Enter Export Password:(確認用パスワードを入力)

※入力されたパスワードにつきましては、この後のOracle Application Serverへ登録した証明書の確認、及びSSLWalletPasswordの生成で必要となりますので、忘れないように大切に管理してください。

証明書ファイルの確認

Oracle Application Serverへの登録前にewallet.p12に格納されている証明書の内容に問題がないかどうか確認をします。

(1) Oracle Application Serverが動作しているサーバにログインをします。

(2) 以下のフォルダを作成して、作成したewallet.p12を配置します。

C:\checkcert

(3) [スタート]メニュー→[全てのプログラム]→[oracle-(管理名)]→[統合管理ツール]を選択し、「Wallet Manager」を起動します。

(4) 「Wallet」から「開く」をクリックし、ewallet.p12を保存したディレクトリを指定します。



(5) ewallet.p12作成時に設定したパスワードを入力します。

(6) Wallet Managerの画面が出力されます。証明書:[待機中]を選択します。

(7) Webサーバ証明書の内容が表示されます。内容に間違いがないことを確認してください。

(8) 「Wallet」から[信頼できる証明書]→[Security Communication RootCA2]を確認します。

(9) ルート証明書の内容が表示されます。内容に間違いがないことを確認してください。

(10) 「Wallet」から[信頼できる証明書]→。[EINS/PKI Public Certification Authority V3]を確認してください。

(11) 中間証明書の内容が表示されます。内容に間違いがないことを確認してください

証明書の導入

(1) 以下のコマンドを実行して、Oracle Application Serverを停止します。

実行コマンド:

> ORACLE_HOME\opmn\bin\opmnctl stopall

(2) Windowsエクスプローラから、これまで使用していたewallet.p12ファイルが配置されている以下のフォルダを開きます。

ORACLE_HOME\Apache\Apache\conf\ssl.wlt\(任意のフォルダ名)

(3) 現在使用されているewallet.p12をリネームしてバックアップします。

(4) 今回新しく作成したewallet.p12を配置します。

ORACLE_HOME\Apache\Apache\conf\ssl.wlt\(任意のフォルダ名)\ewallet.p12

Apacheの設定

(1) コマンドプロンプトにおいて以下を実行し、SSLWalletPasswordを生成します。

実行コマンド:

> cd ORACLE_HOME\Apache\Apache\bin\

> osslpassword -p CSR作成時パスワード OSログオンユーザ名

例:

SSLWalletPassword(上記赤枠内の文字列)は、Apache設定変更に必要になります。忘れないように大切に管理してください。

(2) ORACLE_HOME\Apache\Apache\conf\ssl.confをエディタで開き、次のパラメータを変更します。

例:

設定内容 ディレクティブ パラメータ(例)
Walletファイル SSLWallet ORACLE_HOME\Apache\Apache\conf\ssl.wlt\
(ewallet.p12保存先)
Walletパスワード SSLWalletPassword 作成したパスワード

※SSLWalletFileで指定するパスは、ewallet.p12ファイルを保存したパスにあわせてください。

(3) ORACLE_HOME\opmn\conf\opmn.xmlをエディタで開き、start-modeの値をssl-enabledに変更します。

設定内容 パラメータ
SSLの有効 <data id=”start-mode” value=”ssl-enabled“/>

Webサ―バの起動

(1) Oracle HTTP サーバを起動します。

実行コマンド:

> ORACLE_HOME\opmn\bin\opmnctl startall

(2) SSL接続の確認を行ないます。

ブラウザを起動し、「https:// 」から開始するURLにアクセスして画面が表示されることをご確認ください。 また、下図のようなブラウザの鍵マークのアイコンをクリックし、証明書ファイルが正常に表示されることをご確認ください。



以上で、証明書のインストールは完了です。

証明書・秘密鍵のバックアップ

Oracle Application Server 10gの証明書・秘密鍵ファイルは、次のディレクトリに保存されています。

保存先:ORACLE_HOME\Apache\Apache\conf\ssl.wlt\(任意のフォルダ名)\ewallet.p12

Webサーバがなんらかの原因により障害となった場合に証明書・秘密鍵を復旧させるためにするために必要となりますので、別の媒体にコピーして保存してください。 また、セキュリティ上最も重要な情報が含まれていますので、メールで送付するなど、外部へ流出することがないように充分にご注意ください。