WebLogic サーバー (Windows) に SSL 証明書をインストールする - Certificate Management Service

Web サイトが暗号化されていない HTTP プロトコルを使用している場合、ユーザーデータは送信中に盗難に対して脆弱になり、ブラウザに「保護されていない通信」という警告が表示されることがあります。これは、ユーザーの信頼とビジネスのセキュリティを損なう可能性があります。Windows WebLogic Server に SSL 証明書をデプロイすることで、暗号化された HTTPS 通信を有効にできます。このトピックでは、Windows 上で実行される WebLogic サーバーに SSL 証明書をデプロイする方法と、インストールを検証する方法について説明します。

使用上の注意

開始する前に、次の要件を満たしていることを確認してください。

証明書のステータス: 信頼できる認証局によって発行された SSL 証明書を持っている必要があります。証明書の有効期限が近づいているか、すでに期限切れの場合は、まず SSL 証明書を更新する必要があります。
ドメイン名の一致: 証明書が保護したいすべてのドメイン名と一致していることを確認してください。ドメイン名を追加または変更するには、公式証明書の購入またはドメイン名の追加と置換ができます。
- 完全一致ドメイン名: 指定されたドメインにのみ適用されます。
  - example.com は example.com のみを保護します。
  - www.example.com は www.example.com のみを保護します。
- ワイルドカードドメイン名: その第 1 レベルのサブドメインにのみ適用されます。
  - *.example.com は www.example.com や a.example.com などの第 1 レベルのサブドメインに適用されます。
  - *.example.com は、ルートドメイン example.com や a.b.example.com などの複数レベルのサブドメインを保護しません。
説明
複数レベルのサブドメインを照合するには、ドメイン名のバインド フィールドに、a.b.example.com などの正確なドメイン、または *.b.example.com などの対応するワイルドカードドメインを含める必要があります。
サーバー権限: 管理者 アカウントまたは管理者権限を持つアカウントを使用する必要があります。
ドメイン名の名前解決: ドメインの DNS レコードが構成され、サーバーのパブリック IP アドレスに解決されます。
環境の依存関係: このトピックでは、Windows Server 2022 と WebLogic 14c (14.1.2.0) を例として使用します。WebLogic のインストールディレクトリの例は C:\wls141200 です。
説明
デプロイメント手順は、オペレーティングシステムまたは Web サーバーのバージョンによって異なる場合があります。

プロシージャ

ステップ 1: SSL 証明書の準備

SSL 証明書管理ページに移動します。対象の証明書の操作列で、[その他] をクリックします。証明書の詳細ページで、ダウンロード タブをクリックし、サーバータイプ が [JKS] である証明書をダウンロードします。
展開されたパッケージには、証明書ファイル(.jks 拡張子と完全な証明書チェーン) と証明書パスワードファイル(jks-password.txt) が含まれています。
説明
証明書を申請する際に OpenSSL や Keytool などのツールを使用して証明書署名リクエスト (CSR) を生成した場合、ツールは秘密鍵ファイルをローカルマシンにのみ保存し、ダウンロードした証明書パッケージには含めません。秘密鍵を紛失した場合、証明書は使用できなくなります。新しい公式証明書を購入し、新しい CSR と秘密鍵を生成する必要があります。
証明書と秘密鍵ファイルをサーバー上の安全な外部ディレクトリにアップロードします。このトピックでは、D:\cert をパスの例として使用します。
説明
以下の手順では、Alibaba Cloud ECS インスタンスを例として使用します。他の種類のサーバーについては、公式ドキュメントをご参照ください。
1. ECS コンソール - インスタンスに移動します。上部のナビゲーションバーで、対象のリージョンとリソースグループを選択します。
2. 対象インスタンスの詳細ページで、[リモート接続] をクリックし、[Workbench 経由で接続] を選択します。プロンプトに従ってサーバーデスクトップにログインします。
3. サーバーの左下隅にある [スタート] メニューをクリックし、[この PC]、[コンピューター]、または [ファイルエクスプローラー] を開きます。
4. [リダイレクトされたドライブとフォルダー] で、[Workbench On ***] をダブルクリックします。ローカルマシンから証明書ファイルをこのフォルダーにドラッグします。次に、フォルダーを右クリックして [更新] を選択します。
5. 証明書ファイルを D:\cert ディレクトリにコピーします。
  重要
  [リダイレクトされたドライブとフォルダー] ディレクトリはファイル転送専用であり、ストレージとして使用しないでください。Workbench は、インスタンスに再接続するかインスタンスを終了すると、スペースを節約するためにこのディレクトリからアップロードされたすべてのファイルを自動的にクリアします。

ステップ 2: システムとネットワーク環境の構成

セキュリティグループでポート 443 を開きます。
重要
サーバーがクラウドプラットフォームにデプロイされている場合は、そのセキュリティグループが TCP ポート 443 でのインバウンドアクセスを許可していることを確認してください。そうしないと、インターネットからサービスにアクセスできません。以下の手順では、Alibaba Cloud ECS を例として使用します。他のクラウドプラットフォームについては、公式ドキュメントをご参照ください。
1. ECS インスタンスページに移動し、対象の ECS インスタンスが配置されているリージョンを選択し、インスタンス名をクリックしてインスタンスの詳細ページに移動します。
2. [セキュリティグループ] > [すべてのイントラネットインバウンドルール] をクリックし、次の設定のルールが存在することを確認します: [認証ポリシー] が [許可] に設定され、[プロトコルタイプ] が TCP、[宛先ポート範囲] が HTTPS (443)、[認証オブジェクト] が [任意 (0.0.0.0/0)] に設定されています。
3. 上記のルールが存在しない場合は、「セキュリティグループルールを追加する」をご参照のうえ、対象のセキュリティグループに対応するルールを追加してください。
サーバーのファイアウォールでポート 443 を開きます。
1. Windows サーバーにログインし、左下隅の [スタート] メニューをクリックして、[コントロールパネル] を開きます。
2. [システムとセキュリティ] > [Windows ファイアウォール] > [ファイアウォールの状態の確認] をクリックします。
3. 次の図に示すように、ファイアウォールがオフになっている場合は、これ以上の操作は必要ありません。
4. ファイアウォールがオンになっている場合は、次の手順に従って HTTPS ルールを許可します。
  1. 左側のナビゲーションウィンドウで、[詳細設定] > [受信の規則] をクリックし、[プロトコル] が TCP、[ローカルポート] が 443、[操作] が [ブロック] の受信規則があるかどうかを確認します。
  2. そのようなルールが存在する場合は、右クリックして [プロパティ] を選択します。[全般] タブで、設定を [接続を許可する] に変更し、[適用] をクリックします。
  3. ファイアウォールの構成の詳細については、「ファイアウォールルールを構成する」をご参照ください。

ステップ 3: WebLogic サーバーに証明書をデプロイする

デフォルトのローカルアドレス http://localhost:7001/rconsole に移動し、管理者ユーザー名とパスワードを入力して、[WebLogic Remote Console] にログインします。
- WebLogic Server 14.1.2.0.0 以降、従来の管理コンソールはサポートされなくなり、[WebLogic Remote Console] に置き換えられました。
- WebLogic のバージョンが 14.1.2.0.0 より前の場合は、http://localhost:7001/console に直接アクセスして管理コンソールに入ることができます。構成手順は似ており、このトピックを参照して構成を完了できます。
説明
運用上のニーズに応じて、次のいずれかの方法で [WebLogic Remote Console] にアクセスできます。詳細なインストールと使用方法については、公式ドキュメント「WebLogic Remote Console の開始」をご参照ください。
1. サーバーへのホスト型デプロイメント: この例では、[WebLogic Remote Console] はホスト型アプリケーションとして WebLogic Server にデプロイされ、ブラウザから直接アクセスできます。
  1. ローカルアクセス: http://localhost:7001/rconsole に直接アクセスします。
  2. リモートアクセス: コンソールにリモートでアクセスする場合は、WebLogic サーバーでポート 7001 を開く必要があります。
2. スタンドアロンインストール: [WebLogic Remote Console] デスクトップアプリケーションをインストールし、ユーザー名とパスワードで新しい管理者接続を作成してアクセスすることもできます。
[環境] > [サーバー] > [AdminServer] に移動して、サーバー構成ページを開きます。[SSL リッスンポートが有効] チェックボックス (②) を選択し、[SSL リッスンポート] (③) を 443 に設定し、[保存] (④) をクリックして変更を一時的に保存します。
重要
このトピックの例では、デフォルトの管理サーバーである [AdminServer] を使用します。設定を構成するときは、ビジネスサーバーの名前を選択してください。
[セキュリティ] > [キーストア] を選択します。図のように設定を構成し、[保存] (⑦) をクリックして変更をステージングします。
1. [キーストア] (3) で、[カスタム ID と Java 標準信頼] を選択します。
2. [カスタム ID キーストア] (④): JKS ファイルへのパスを入力します。このトピックでは、パスの例は D:\cert\example.com.jks です。
3. [カスタム ID キータイプ] には、[JKS] と入力します。
4. カスタムアイデンティティキーストアのパスフレーズ (⑥): jks-password.txt に格納されている JKS キーストアのパスフレーズを入力します。
[セキュリティ] > [SSL] を選択します。次の図のように設定を構成します。次に、[保存] (⑤) をクリックして構成の変更をステージングします。
1. [秘密鍵のエイリアス] (③): JKS 証明書のエイリアスを入力します。
  説明
  - シングルドメイン証明書の場合、秘密鍵のエイリアスはドメイン名と同じです。たとえば、example.com の秘密鍵のエイリアスはデフォルトで example.com です。
  - ワイルドカードドメイン名証明書の場合、秘密鍵のエイリアスはデフォルトでプライマリドメイン名です。たとえば、*.example.com の秘密鍵のエイリアスは example.com です。
2. [秘密鍵のパスフレーズ] (④): JKS 証明書のパスワードを入力します。これは jks-password.txt ファイルにあります。
  説明
  これは通常、カスタム ID キーストアのパスフレーズと同じで、jks-password.txt ファイル内のパスワードです。
次の図に示すように、構成を変更した後、ページの右上隅にあるアイコンをクリックします。次に、[変更のアクティブ化] をクリックします。変更はサーバーを再起動した後に有効になります。

ステップ 4: デプロイメントの検証

Web ブラウザーで HTTPS 経由でドメインにアクセスしてください。たとえば、https://yourdomain です。 yourdomain を実際のドメインに置き換えてください。
ブラウザのアドレスバーにロックアイコンが表示された場合、証明書は正常にデプロイされています。アクセスエラーが発生した場合やロックアイコンが表示されない場合は、ブラウザのキャッシュをクリアするか、シークレット (プライバシー) モードで再試行してください。
バージョン 117 以降、Chrome のアドレスバーのアイコンは新しいアイコンに置き換えられました。このアイコンをクリックすると、ロック情報を表示できます。

説明

問題が解決しない場合は、トラブルシューティングについて「よくある質問」セクションをご参照ください。

本番環境への移行

本番環境にデプロイする際は、セキュリティ、安定性、および保守性を向上させるために、以下のベストプラクティスに従ってください。

非管理者ユーザーとして実行:
アプリケーション専用の低権限のシステムユーザーを作成します。管理者権限を持つアカウントでアプリケーションを実行しないでください。
説明
推奨されるアプローチは、ゲートウェイレイヤーで SSL を構成することです。これには、Server Load Balancer (SLB) や Nginx などのリバースプロキシに証明書をデプロイすることが含まれます。ゲートウェイは HTTPS トラフィックを終端し、復号化された HTTP トラフィックをバックエンドアプリケーションに転送します。
認証情報管理の外部化:
パスワードやその他の機密情報をコードや構成ファイルにハードコーディングしないでください。環境変数、Vault、またはクラウドプロバイダーのキー管理サービスを使用して認証情報を注入します。
HTTP から HTTPS へのリダイレクトの強制:
すべての HTTP トラフィックを HTTPS にリダイレクトして、中間者攻撃を防ぎます。
最新の TLS プロトコルの構成:
サーバー構成で古い安全でないプロトコル (SSLv3、TLSv1.0、TLSv1.1 など) を無効にします。TLSv1.2 と TLSv1.3 のみを有効にします。
証明書の監視と更新の自動化:
証明書をデプロイした後、ドメイン監視を有効にします。Alibaba Cloud は証明書の有効期間を自動的にチェックし、有効期限が切れる前に更新リマインダーを送信して、タイムリーな更新とサービスの中断の回避を支援します。詳細な手順については、「パブリックドメイン名監視の購入と有効化」をご参照ください。

よくある質問

インストールまたは更新後に証明書が機能しない、または HTTPS にアクセスできないのはなぜですか？

一般的な原因は次のとおりです。

サーバーのセキュリティグループまたはファイアウォールでポート 443 が開いていません。「システムとネットワーク環境の構成」をご参照ください。
アクセスしているドメイン名が証明書の ドメイン名のバインド に含まれていません。詳細については、「ドメイン名の一致」をご参照ください。
WebLogic 構成への変更がコミットされていないため、有効になっていません。詳細な手順については、「変更をコミットしてすべての構成を自動的に有効にする」をご参照ください。
証明書ファイルが正しく置き換えられていないか、WebLogic 構成で証明書パスが正しく指定されていません。WebLogic 構成と証明書ファイルが最新で有効であることを確認してください。
他のサービスでの証明書の欠落: ドメインがコンテンツ配信ネットワーク (CDN)、Server Load Balancer (SLB)、Web Application Firewall (WAF) などのサービスを使用している場合、証明書はそれらのサービスにもインストールする必要があります。セットアップを完了するには、「トラフィックが複数の Alibaba Cloud サービスを通過する場合の証明書のデプロイ場所」をご参照ください。
複数のサーバーへの不完全なデプロイメント: ドメインの DNS が複数のサーバーに解決される場合、証明書はそれらすべてにインストールする必要があります。

説明

さらなるトラブルシューティングについては、「ブラウザのエラーメッセージに基づく証明書デプロイの問題の解決」および「SSL 証明書デプロイのトラブルシューティングガイド」をご参照ください。

WebLogic にインストールされている SSL 証明書を更新または置換するにはどうすればよいですか？

まず、サーバー上の元の証明書ファイル (.jks と .txt) をバックアップします。次に、Certificate Management Service コンソールにログインし、新しい証明書ファイルをダウンロードして、対象のサーバーにアップロードして元のファイルを上書きします。パスとファイル名が同じであることを確認してください。最後に、WebLogic サービスを再起動して、新しい証明書を有効にします。

WebLogic コンソールで変更をコミットするとエラーが発生するのはなぜですか？

次の設定を確認してください。

JKS パス:
キーストア構成で入力された JKS ファイルパスがサーバー上の絶対パスであり、WebLogic プロセスがファイルを読み取る権限を持っていることを確認します。
パスワード:
すべてのパスワードが jks-password.txt ファイルの内容と同一であり、余分なスペースや改行がないことを確認します。