はじめに
プロビジョニング直後のマーケットプレイス版Oracle WebCenter Content For OCI(以下、WCC for OCI)は、自己署名証明書が使われており、ブラウザでアクセスするとセキュリティの警告が表示されます
この記事では、プロビジョニングした直後に https://<ロードバランサのパブリックIPアドレス>:16200/cs/ へアクセスした際、セキュリティ警告が表示されない自己署名証明書を作成し、WCC for OCI環境へ適用する手順を紹介します。
本番環境でWCC For OCIを利用する場合は、自己署名証明書ではなく、信頼できるCA証明書を使用してください
前提条件
- WCC For OCIのバージョン14.1.2.0.0_25.10.1のプロビジョニングが完了し、すべてのサーバーが起動済であること
- OpenSSLがインストールされていること
1. SAN情報を追加した自己署名証明書の作成
以下の記事を参考に、Subject Alternate Name(SAN) 情報を追加した自己署名証明書を作成します
1. 証明書作成時のSANに登録するためのファイルを作成する
SAN情報を記載したテキストファイル(ここではsan.txt)を作成します。IPアドレスには、WCC For OCIのロードバランサのパブリックIPアドレスXXX.XXX.XXX.XXXを記載します。なお、今回はカスタムドメインを利用しないため、DNSにはダミーのホスト名を入力してます
$ cat san.txt
subjectAltName = DNS:wccmp1412.example.com, IP:XXX.XXX.XXX.XXX
san.txtに設定するロードバランサのパブリックIPアドレスXXX.XXX.XXX.XXXは、利用するWCC For OCI環境にあわせて記載してください
2. 秘密鍵を作成する
秘密鍵を作成します。鍵の名前は任意ですが、ここではwccmp1412.keyとします
$ openssl genrsa -out wccmp1412.key 2048
3. 証明書署名要求(CSR)を作成する
前の手順で作成した秘密鍵wccmp1412.keyを利用し、証明書署名要求(CSR:Certificate Signing Request) を作成します。CSRのファイル名はwccmp1412.csrとします
$ openssl req -new -key wccmp1412.key -out wccmp1412.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:jp
State or Province Name (full name) [Some-State]:tokyo
Locality Name (eg, city) []:minato
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Demo
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:wccmp1412
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
4. SAN情報を追加した自己署名証明書を作成する
前の手順で作成したsan.txt、wccmp1412.key、wccmp1412.csrを利用して、SAN情報を追加した自己署名証明書を作成します。証明書のファイル名はwccmp1412.crtとします
$ openssl x509 -req -days 3650 -signkey wccmp1412.key -in wccmp1412.csr -out wccmp1412.crt -extfile san.txt
Certificate request self-signature ok
subject=C=jp, ST=tokyo, L=minato, O=Demo, CN=wccmp1412
5. 確認
作成された証明書wccmp1412.crtの内容を確認します
$ openssl x509 -in wccmp1412.crt -text -noout
X509v3 Subject Alternative NameのIP Address:にsan.txtで記入したロードバランサのバブリックIPアドレスXXX.XXX.XXX.XXXが設定されていることを確認します
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:wccmp1412.example.com, IP Address:XXX.XXX.XXX.XXX
2. ロードバランサに自己署名証明書をインポートする
2.1 証明書の追加
OCIコンソールを利用し、WCC For OCIのロードバランサのロード・バランサ管理対象証明書に、SAN情報を追加した自己署名証明書をインポートします
-
OCIコンソールでWCC For OCIのロードバランサを開きます
-
証明書と暗号をクリック
-
ロード・バランサ管理対象証明書の証明書の追加をクリック
-
以下を参考に必要事項を入力し、証明書を追加します
-
証明書名: 任意の名前を入力。ここでは
wccmp1412.certを入力 - SSL証明書の指定: SSL証明書ファイルの選択を選択
-
SSL証明書: 作成済の証明書ファイル
wccmp1412.crtを選択 - 秘密キーの指定: 有効を選択
- 秘密キーの指定: 秘密キー・ファイルの選択を選択
-
秘密キー: 作成済の秘密鍵
wccmp1412.keyを選択
-
証明書名: 任意の名前を入力。ここでは
-
作業リクエストが送信されます。しばらくすると、証明書のインポートが完了します。閉じるをクリックします
-
ロード・バランサ管理対象証明書に
wccmp1412.certが追加されます
2.2. ロードバランサのリスナーの証明書を変更する
引き続き、OCIコンソールを利用し、WCC Content Server(デフォルトのポート番号:16200)のリスナーの証明書を、先ほど追加した自己署名証明書に変更します
-
OCIコンソールでWCC For OCIのロードバランサを開きます
-
リスナーをクリック
-
ポート番号16200の
<Prefix>-cs-lsnrの編集をクリックします(ここではwccmp1412-cs-lsnr)
-
証明書名で、先ほど追加した自己署名証明書(ここでは
wccmp1412.cert)を選択します -
変更の保存をクリックします
-
作業リクエストが送信されます。しばらくすると、リスナーの編集が完了します
3 ブラウザに証明書を追加し、確認する
Webブラウザ側にもロードバランサに追加した自己署名証明書をインポートします。ここではGoogle Chromeへのインポート方法を紹介します
以下はChromeのバージョン140.0.7339.208(Official Build) (arm64)での手順です。最新のバージョンとは異なる場合もあります
-
Chromeを起動し、設定を開きます
-
プライバシーとセキュリティ→セキュリティ→証明書の管理をクリックします
-
証明書マネージャが開きます。ローカル証明書→自分でインストールをクリックします
-
信頼できる証明書のインポートをクリックし、自己署名証明書(ここでは
wccmp1412.crt)をインポートします
-
Chromeブラウザを再起動します
-
WCC Content ServerのURL
https://<ロードバランサのパブリックIPアドレス>:16200/cs/を開きます -
セキュリティの警告が出ないことを確認します
おわりに
この作業は、あくまでもセキュリティの警告を消すためだけの設定です。本番環境としてWCC For OCIを利用する場合は、自己署名証明書ではなく、信頼できるCA証明書の利用を推奨します。
詳細は以下ドキュメントをご確認ください