アプリケーション・レベルでの生成プログラム・バインディングのトラスト・アンカーの構成

ここでは、生成プログラム・バインディングのトラスト・アンカーをアプリケーション・レベルで構成する方法について説明します。 サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。 アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。 サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成を参照してください。

アプリケーション・レベルの トラスト・アンカーは、Application Server ツールキットまたは WebSphere® Application Server 管理コンソールを使用して構成することができます。 ここでは、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。

トラスト・アンカーは、署名者の証明書を妥当性検査するトラステッド・ルート証明書を含む、鍵ストアを指定します。 これらの鍵ストアは、 要求ジェネレーターおよび応答ジェネレーター (Web サービスがクライアントとして機能する場合) によって、 デジタル・シグニチャーの署名者証明書を生成するために使用されます。 鍵ストアは、デジタル・シグニチャーの妥当性検査の保全性を保つために重要なものです。 これらが改ざんされると、デジタル・シグニチャー検査の結果が疑わしくなり、信頼性が薄れます。 したがって、これらの鍵ストアを保護することをお勧めします。 要求ジェネレーターに対して指定されているバインディング構成は、 応答ジェネレーターのバインディング構成と一致している必要があります。

クライアント上の要求ジェネレーターの トラスト・アンカー構成は、サーバー上の要求コンシューマーの構成と一致している必要があります。 また、サーバー上の応答ジェネレーターのトラスト・アンカー構成は、 クライアント上の応答コンシューマーの構成と一致している必要があります。

アプリケーション・レベルで生成プログラム・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。

  1. WebSphere Application Server 管理コンソールのトラスト・アンカー・パネルを見つけます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
    2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
    3. 「追加プロパティー」の下で、以下のバインディングのトラスト・アンカー構成にアクセスすることができます。
      • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
      • 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。 「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。
    4. 「追加プロパティー」の下で、「Trust anchors」をクリックします。
    5. 新規」をクリックしてトラスト・アンカー構成を作成するか、「削除」をクリックして 既存の構成を削除するか、既存のトラスト・アンカー構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、 「Trust anchor name」フィールドに固有の名前を入力します。
  2. 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには公開鍵と秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。 鍵ストアから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。 鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装 を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
    1. 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
    2. 「Key store path」フィールドで鍵ストア・ファイルのロケーションを指定します。
    3. 「Key store type」フィールドから鍵ストア・タイプを選択します。 IBM® によって使用される Java™ Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
      JKS
      Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extensions を使用している場合は、このオプションを使用します。
      PKCS11KS (PKCS11)
      鍵ストアが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。この形式を使用する鍵ストアは、暗号ハードウェアについての RSA 鍵を含んでいるか、 暗号ハードウェアを使用する鍵を暗号化して、保護を確実なものにします。
      PKCS12KS (PKCS12)
      鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
      WebSphere Application Server は、${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。 このファイルのパスワードは「Storepass」で、タイプは「JCEKS」です。
      重要: 実稼働環境でこれらの鍵ストア・ファイルを使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
このタスクはアプリケーション・レベルで生成プログラム・バインディングのトラスト・アンカーを構成します。
コンシューマーに対しても、同様のトラスト・アンカー構成を指定する必要があります。

フィードバック