このタスクでは、アセンブリー・ツールを使用して、アプリケーション・レベルでコンシューマー・バインディングの
コレクション証明書ストアを指定するステップについて説明します。
コレクション証明書ストアは、受け取った SOAP メッセージ内に組み込まれた X.509 証明書を検証するために使用される、
ルート以外の認証局 (CA) 証明書および証明書失効リスト (CRL) の集合です。
応答コンシューマーはクライアント向けに、要求コンシューマーはサーバー向けに、それぞれ構成されます。以下のステップでは、ステップ 2 でクライアント・サイドのバインディング、
またはステップ 3 でサーバー・サイドのバインディングのいずれかを構成する必要があります。
- 「ウィンドウ」>「パースペクティブを開く」>「J2EE」の順にクリックします。
- オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、クライアント・サイドのバインディングを見つけます。 「Client Deployment Descriptor」ウィンドウが表示されます。
この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。
以下のステップを実行して、クライアント・サイドのバインディングを検索します。
- 「Web サービス」>「クライアント」セクションの順に展開して、
Web サービスの名前をダブルクリックします。
- 「WS Binding」タブをクリックして、「Security Response
Consumer Binding Configuration」セクションを展開します。
- オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、サーバー・サイドのバインディングを検索します。 「Web Services Editor」ウィンドウが表示されます。
この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。
以下のステップを実行して、サーバー・サイドのバインディングを検索します。
- 「Web サービス」>「サービス」セクションの順に展開して、
Web サービスの名前をダブルクリックします。
- 「Binding Configurations」タブをクリックして、「Request Consumer Binding Configuration Details」セクションを展開します。
- 「Certificate Store List」>「Collection Certificate Store」とセクションを展開し、
「追加」をクリックします。
- 「名前」フィールドで、固有の証明書ストア名を指定します。 例えば、cert1 のように指定します。コレクション証明書ストアの名前は、
それが定義されるレベルで固有のものでなければなりません。
例えば、この名前は
アプリケーション・レベルで固有でなければなりません。
「certificate store name」フィールドで指定される名前は、
事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。
WebSphere®
Application Server は、近接性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが証明書ストア cert1 を参照する場合、WebSphere Application Server は、
アプリケーション・レベルの cert1 を最初に探します。
これが検出されない場合、サーバー・レベルで探し、
最終的にはセル・レベルで探します。
- 「プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。 IBMCertPath 証明書パス・プロバイダーがサポートされています。
別の証明書パス・プロバイダーを使用する場合、
ソフトウェア開発キット (SDK) の java.security ファイル内にあるプロバイダー・リストで
プロバイダー実装を定義する必要があります。
- X509 証明書の下で「追加」をクリックし、X.509 証明書への完全修飾パスを指定するか、既存の証明書パス項目の名前をクリックして編集するか、「除去」をクリックして削除します。 コレクション証明書ストアは、
着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
パス名の一部として USER_INSTALL_ROOT 変数を使用することができます。例えば、${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer と指定できます。
ただし、実動用としてこの X.509 証明書パスを使用しないでください。WebSphere
Application Server 環境を実動させる前に、認証局からユーザー独自の X.509 証明書を
取得してください。
WebSphere Application Server 管理コンソールで、「環境」>
「WebSphere 変数」をクリックして、USER_INSTALL_ROOT 変数を構成します。
- CRL の下で「追加」をクリックして、証明書失効リスト (CRL) への完全修飾パスを指定するか、既存の CRL 項目をクリックして編集するか、「除去」をクリックして削除します。
ポータビリティーの観点から、証明書失効リストへ相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。例えば、
USER_INSTALL_ROOT 変数を使用して、
${USER_INSTALL_ROOT}/mycertstore/mycrl などのパスを定義する場合があります。
WebSphere Application Server 管理コンソールでサポートされている変数のリストについては、「環境」
>「WebSphere 変数」をクリックします。
以下のリストに、CRL の使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合、該当する場合は、ルート証明書権限および各中間証明書の CRL を追加します。
CRL が証明書コレクション・ストア内にある場合、発行者の CRL に対して、チェーン内の
すべての証明書の失効状況が確認されます。
- CRL ファイルが更新されると、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、
古い CRL と置き換える必要があります。コレクション証明書ストア内の CRL の有効期限が切れると、証明書パス (CertPath) のビルドが失敗します。
- 「OK」をクリックして、構成を保管します。