My Oracle Support Banner

Oracle HTTP Server 12.1.3 の SSL FIPS 140-2 標準のサポートについて (Doc ID 2197787.1)

Last updated on MARCH 20, 2020

適用範囲:

Oracle HTTP Server - バージョン 12.1.3.0.0 から 12.1.3.0.0 [リリース 12c]
Oracle Fusion Middleware - バージョン 12.1.3.0.0 から 12.1.3.0.0 [リリース 12c]
この文書の内容はすべてのプラットフォームに適用されます。

詳細

Oracle HTTP Server 12.1.3のSSL FIPS 140-2標準について

FIPS 140-2 標準の基準に準拠しOracle HTTP Server (OHS) 12.1.3を構成を行うには、基本的に、"SSLFIPS On"の設定と認証、プロトコルと暗号の構成要件を満たす必要があります。パッチは正しく設定し、セキュリティの問題を修正し、コードがFIPS 140-2に準拠していることを確認するために提供されています。

これはOHS 12.1.3 ディストリビューションメディアからインストールされたOHS 12.1.3のリリース後のサーティフィケイションです。OHSが統合されている他の環境は含まれていません。周囲のコンポーネントには、FIPS 140-2規格を満たすための要件もあります。

以下の情報よりOHS 12.1.3のパッチと構成要件を確認してください。既知の問題 "<Note:2051048.1> Oracle HTTP Server 12.1.3 Will Not Start With FIPS Mode Turned On"を優先してください。類似の問題については、このドキュメントの最後にある既知の問題を参照してください。

アクション

必要なパッチ

Oracle HTTP Server 12.1.3 へパッチを適用する検証は以下のプラットフォームにて行いました:

Linux x86-64, Windows 64-bit, Solaris SPARC 64, Solaris x86-64, HP Itanium 64, and IBM AIX 64

orapki の使用および ssl.conf/admin.conf を構成する手順の前に、以下の順序で下記のパッチを適用する必要があります:

 

コンポーネント
パッチ My Oracle Support上のパッチの説明 追加コメント
一般/OUI/Inventory <Patch 19360945> OPATCH 13.2.0.0.0 FAILS TO GET PRODUCT DIRECTORIES FOR A GIVEN SYMBOL

- 以前リリースされたため、既に適用済の可能性があります。"opatch lsinventory"で確認してください。

- OPatchを利用し全てのパッチを適用する前に、"<Note 1627836.1> Oracle Fusion Middleware 12c (12.1.2+)でOUI NextGen OPatch 13の使用について"をご参考ください。

Oracle HTTP Server (OHS) * <Patch 27244723> MERGE REQUEST ON TOP OF 12.1.3.0.0 FOR BUGS 26398022 19901079 20222451 25191174(CPUJan2018)


- OHS用のためCPUJan2018 およびその以降。SSLFIPS サーティフィケイションの修正、セキュリティの修正とその他の2つ SSLSessionCache 事象は Note 2000409.1 に記載されています。 *

SSL/ネットワーキング(OSS)* <Patch 27369653>

MERGE REQUEST ON TOP OF 12.1.3.0.0 FOR BUGS 26591558 26318200 (CPUApr2018)

- SSL/ネットワーキング (OSS)用のCPUApr2018 またはその以降は、 SSLFIPS認証とNote 2138219.1に公開されている SSLSessionCache / LIBAPRUTIL コアダンプ問題の修正が含まれています。*

* OHS と SSL/ネットワーキングは二つ別々のコンポーネントであるため、セキュリティの脆弱性ための Critical Patch Update (CPU) プログラムでは別々のパッチリリースを持っています。今後、SSLFIPSに必要な修正がマージされ、Critical Patch Updateに組み込まれますので、最新CPUを適用する必要があります。最新の情報を確認する

 

構成手順

Oracle HTTP Server (OHS) 12.1.3 に FIPS 140-2 (aka SSLFIPS) を使用するための手順は、将来的に Oracleドキュメントで更新される予定です。

内部バグ:
<BUG 23522548> - UPDATES REQUIRED TO OHS 12.1.3 FIPS DOCUMENTATION

 

新しい SSLFIPS モード構成は、以下のドキュメントに記載されています:

Fusion Middleware Oracle HTTP Serverの管理12c (12.1.3)
- Oracle HTTP Server 12c (12.1.3)の新機能
- SSL FIPSモードはSSLFIPSディレクティブとして構成可能
http://docs.oracle.com/cd/E57014_01/webtier/HSADM/whats_new.htm#CHDIHCJE

上記のドキュメントは、古いドキュメントの記載を上書きしました。 上記ドキュメントを参考する場合のポイントとステップ:


1)上記のドキュメントの以下の内容は既に利用できません:

"Oracle HTTP Server Windowsプラットフォームに対するFIPSのサポートは、現在のリリースでは利用できません。"

上記のパッチを適用した後、Windows では、FIPSをサポートしています。

 

2) SSLFIPSモードでサポートされている暗号スイートは次のとおりです:

SSL_RSA_WITH_3DES_EDE_CBC_SHA* 以下の更新を確認してください。
SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
RSA_WITH_AES_128_CBC_SHA256
RSA_WITH_AES_256_CBC_SHA256
RSA_WITH_AES_128_GCM_SHA256
RSA_WITH_AES_256_GCM_SHA384
ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE_RSA_WITH_3DES_EDE_CBC_SHA* 以下の更新を確認してください。
ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE_RSA_WITH_AES_256_CBC_SHA

注意: ボールド体で表記している暗号は、本来 OHS 12.1.3 ドキュメントの不足の部分です。


3) SSLFIPSモードを構成する際に、認証局からの標準 RSA 証明書または新しい ECC 証明書を実装することは可能です。構成時に以下を注意してください:

 

 4) 2018年1月21日更新: 以下は Critical Patch Update October 2017に合わせてリリースされました。上記のテーブルにより新しい累積 January 2018 パッチを含みますが、常に最新のものを適用し、Critical Patch Updateから追加の指示に従ってサーバーを保護する必要があります。既存の構成済みのインスタンスにあるSSLCipherSuiteを調整する場合、以下SSL関連文書をご確認ください:

Note 2320456.1 - Security Patch Updatesを適用後、Oracle HTTP Serverをセキュアにするために必要な SSL 設定

 

既知問題

1. 問題:

OHSサーバーログ(<OHS_instance>.log)に次のメッセージを出力し、OHS サーバーの起動が失敗します:

"A full restart is needed when wallet file changed on-the-fly!""

解決策:

AES暗号化によるウォレットは、SSLFIPS ON (FIPS モードon) の状況で利用されていないため発生します。Oracle HTTP Server の SSLFIPS モードを有効にするため、AES暗号化 (compat_v12) ヘーダーで作成されたウォレットが必要となります。ウォレットは異なる場所に構成される可能性があるため、すべてを確認してください。Oracleウォレットは、通常、ssl.confおよびadmin.confで構成されますが、環境およびカスタム構成に応じて、他の場所に配置することもできます。

AES暗号化の新しいウォレットを作成し、または、既存のウォレットをAES暗号化に転換する場合、Oracle Fusion Middleware管理者ガイドの以下のセクションをご参照ください:

"orapki"
  http://docs.oracle.com/cd/E57014_01/core/ASADM/walletmgr.htm#CJGHJEGJ

"AES暗号化によるOracleウォレットの作成"
  http://docs.oracle.com/cd/E57014_01/core/ASADM/walletmgr.htm#CFAFAIHJ

"AES暗号化を使用するように既存のウォレットを変換"
  http://docs.oracle.com/cd/E57014_01/core/ASADM/walletmgr.htm#CFAHBBGI

 2. 問題:

Oracle Cloud Control 13c (Oracle HTTP Server 12.1.3も共にインストールされる)をインストールしました。本文書および Note 2202569.1, "EM 13c, 12c: How to Configure the Enterprise Manager Management Service (OMS) with Secure Socket Layer (SSL) Certificates"の必要な手順に従いました。Oracle Management Server (OMS)の OHS が SSLFIPS を使用するように構成された後、OHS のエラーログに以下の結果が出力されます:

"caught SIGTERM, shutting down" and "A full restart is needed when wallet filechanged on-the-fly!"

回答:

本文書にて、Oracle HTTP Server は FIPS 140-2 用のためサーティファイされています。動作保証のテストおよび承認は、OHS 12.1.3をインストールする可能性がある他の製品との統合環境が含まれません。他の製品では、FIPS 140-2仕様に準拠していないウォレット、キーストア、暗号またはプロトコル構成のいずれかを使用することがあります。OEM Cloud Control 13c 環境について、FIPS準拠に対する動作をテストやサーティファイされていません。これは製品ロードマップにあり、ER Bug 23017209 FIPS 140 COMPLIANCE EVALUATION AND CERTIFICATION OF ENTERPRISE MANAGER より追跡されています。

OHS、WLS、DBなどのEMスタック内のコンポーネントがFIPS用に設定されていて、問題が発生した場合、完全なEMスタックがテストされ、FIPSに準拠することがサーティファイされるまで、設定を元に戻す必要があります。詳細については、EMチームにお問い合わせください。

コンタクト

To view full details, sign in with your My Oracle Support account.

Don't have a My Oracle Support account? Click to get started!


本書の内容
詳細
 Oracle HTTP Server 12.1.3のSSL FIPS 140-2標準について
アクション
 必要なパッチ
 Oracle HTTP Server 12.1.3 へパッチを適用する検証は以下のプラットフォームにて行いました:
 構成手順
 既知問題
コンタクト
参照情報

My Oracle Support provides customers with access to over a million knowledge articles and a vibrant support community of peers and Oracle experts.