サーバーまたはセル・レベルでの鍵ロケーターの構成

デフォルトの生成プログラム・バインディングの鍵ロケーター情報は、これらのバインディングがアプリケーション・レベルで定義されていない場合は、署名と暗号化情報に使用される鍵を位置指定するために使用される鍵ロケーター実装を指定します。 デフォルトのコンシューマー・バインディングの鍵ロケーター情報は、これらのバインディングがアプリケーション・レベルで定義されていない場合は、署名の妥当性検査または暗号化解除に使用される鍵を位置指定するために使用される鍵ロケーター実装を指定します。 WebSphere® Application Server は、バインディングのデフォルト値を提供します。 ただし、実稼働環境にはデフォルトを変更する必要があります。

以下のステップを完了して、サーバーまたはセル・レベルで鍵ロケーターを構成します。

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
    2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  2. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。 このロケーション内で、デフォルトの生成プログラムとデフォルトのコンシューマーの両方に、鍵ロケーター構成を構成できます。
  3. 新規」をクリックして鍵ロケーター構成を作成し、「削除」をクリックして既存の構成を削除するか、既存の鍵ロケーター構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key locator name」フィールド内に鍵ロケーター構成の固有の名前を入力します。 例えば、sig_klocator と指定します。
  4. 「鍵ロケーター・クラス名」フィールド内で、鍵ロケーター・クラス実装の名前を指定します。 バージョン 6 アプリケーションと関連した鍵ロケーターは、com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを実装する必要があります。 WebSphere Application Server は、バージョン 6 アプリケーションの以下のデフォルトの鍵ロケーター・クラス実装を提供します。
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
    この実装は、指定された鍵ストア・ファイルから鍵を見つけて取得します。
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    この実装は、署名者の証明書から公開鍵を使用します。 このクラス実装は、応答ジェネレーターによって使用されます。
    com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
    この実装は、デジタル・シグニチャーの妥当性検査および暗号化のために、送信側メッセージから X.509 セキュリティー・トークンを使用します。このクラス実装は、要求コンシューマーおよび応答コンシューマーによって使用されます。

    例えば、構成が署名情報の鍵ロケーターでなければならない場合は、com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator 実装を指定します。

  5. 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには、公開鍵と秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書、などが含まれます。 鍵ストア・ファイルから取得された鍵は、 メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。 鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装 を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
    1. 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
    2. 「Key store path」フィールドで、鍵ストア・ファイルのロケーションを指定します。
    3. 「Key store type」フィールドから鍵ストア・タイプを選択します。 使用される Java™ Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートします。
      JKS
      Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extensions を使用している場合は、このオプションを使用します。
      PKCS11
      鍵ストア・ファイルが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、 暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
      PKCS12
      鍵ストア・ファイルが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
      WebSphere Application Server は、${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。 このファイルのパスワードは「storepass」で、タイプは「JCEKS」です。
      重要: 実稼働環境でこれらの鍵ストア・ファイルを使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
  6. OK」と「保管」をクリックして、構成を保管します。
  7. 「追加プロパティー」の下で、「Keys」をクリックします。
  8. 新規」をクリックして鍵構成を作成し、「削除」をクリックして既存の構成を削除するか、既存の鍵構成の名前をクリックしてその設定を編集します。 このエントリーは、鍵ストア・ファイル内の鍵オブジェクトの名前を指定します。 新しい構成を作成する場合は、「Key name」フィールド内に固有の名前を入力します。

    鍵の名前には完全修飾識別名を使用する必要があります。 例えば、CN=Bob,O=IBM,C=US を使用します。

  9. 「Key alias」フィールド内で別名を指定します。 鍵の別名は鍵ロケーターによって使用され、鍵ストア・ファイル内の鍵オブジェクトを検索します。
  10. 「Key password」フィールド内でパスワードを指定します。 パスワードは鍵ストア・ファイル内で鍵オブジェクトにアクセスするのに使用されます。
  11. OK」をクリックし、次に「保管」をクリックして構成を保管します。
サーバー・レベルまたはセル・レベルで鍵ロケーターが構成されました。
この鍵ロケーターを参照するデフォルトの生成プログラムとデフォルトのコンシューマー・バインディングの鍵情報を構成します。

フィードバック