ここでは、生成プログラム・バインディングのトラスト・アンカーをアプリケーション・レベルで構成する方法について説明します。
サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。
アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。
サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成を参照してください。
アプリケーション・レベルの
トラスト・アンカーは、Application Server ツールキットまたは WebSphere®
Application Server 管理コンソールを使用して構成することができます。
ここでは、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
トラスト・アンカーは、署名者の証明書を妥当性検査するトラステッド・ルート証明書を含む、鍵ストアを指定します。
これらの鍵ストアは、
要求ジェネレーターおよび応答ジェネレーター (Web サービスがクライアントとして機能する場合) によって、
デジタル・シグニチャーの署名者証明書を生成するために使用されます。
鍵ストアは、デジタル・シグニチャーの妥当性検査の保全性を保つために重要なものです。
これらが改ざんされると、デジタル・シグニチャー検査の結果が疑わしくなり、信頼性が薄れます。
したがって、これらの鍵ストアを保護することをお勧めします。
要求ジェネレーターに対して指定されているバインディング構成は、
応答ジェネレーターのバインディング構成と一致している必要があります。
クライアント上の要求ジェネレーターの
トラスト・アンカー構成は、サーバー上の要求コンシューマーの構成と一致している必要があります。
また、サーバー上の応答ジェネレーターのトラスト・アンカー構成は、
クライアント上の応答コンシューマーの構成と一致している必要があります。
アプリケーション・レベルで生成プログラム・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。
- WebSphere Application Server 管理コンソールのトラスト・アンカー・パネルを見つけます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
- 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
- 「追加プロパティー」の下で、以下のバインディングのトラスト・アンカー構成にアクセスすることができます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。
「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。
「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。
- 「追加プロパティー」の下で、「Trust anchors」をクリックします。
- 「新規」をクリックしてトラスト・アンカー構成を作成するか、「削除」をクリックして
既存の構成を削除するか、既存のトラスト・アンカー構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、
「Trust anchor name」フィールドに固有の名前を入力します。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには公開鍵と秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。
鍵ストアから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装
を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 「Key store path」フィールドで鍵ストア・ファイルのロケーションを指定します。
- 「Key store type」フィールドから鍵ストア・タイプを選択します。 IBM® によって使用される Java™ Cryptography
Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- Java Cryptography Extensions を使用している場合は、このオプションを使用します。
- PKCS11KS (PKCS11)
- 鍵ストアが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。この形式を使用する鍵ストアは、暗号ハードウェアについての RSA 鍵を含んでいるか、
暗号ハードウェアを使用する鍵を暗号化して、保護を確実なものにします。
- PKCS12KS (PKCS12)
- 鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
WebSphere Application Server は、
${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。例えば、暗号鍵に
enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは「Storepass」で、タイプは「JCEKS」です。
重要: 実稼働環境でこれらの鍵ストア・ファイルを使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
このタスクはアプリケーション・レベルで生成プログラム・バインディングのトラスト・アンカーを構成します。
コンシューマーに対しても、同様のトラスト・アンカー構成を指定する必要があります。