アプリケーション・レベルでのコンシューマー・バインディングの署名情報構成

サーバー・サイドの拡張子ファイルおよびクライアント・サイドのデプロイメント記述子拡張子ファイル内で、署名されるメッセージのパーツを指定する必要があります。 また、WebSphere® Application Server 管理コンソール内の「署名情報」パネル上の鍵情報参照によって参照される鍵情報を構成する必要があります。
このタスクは、アプリケーション・レベルでサーバー・サイドの要求コンシューマーとクライアント・サイドの応答コンシューマー・バインディングの署名情報を構成するために必要なステップを説明します。 WebSphere Application Server は、コンシューマー・サイドの署名情報を使用して、メッセージ・パーツが署名されていることを検証することによって、受信した Simple Object Access Protocol (SOAP) メッセージの整合性を検証します。 以下のステップを完了して、アプリケーション・レベルでバインディング・ファイルの「サーバー・サイドの要求コンシューマー」セクションと「クライアント・サイドの応答コンシューマー」セクションの署名情報を構成します。
  1. WebSphere Application Server 管理コンソールにアクセスします。 管理コンソールにアクセスするには、ポート番号を変更していない限り、Web ブラウザーで http://localhost:9060/ibm/console と入力します。
  2. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  3. 「関連項目」の下で「Web モジュール」または 「EJB モジュール」>「URI_name」をクリックします。
  4. サーバー・セキュリティーのバインディングまたはクライアント・セキュリティーのバインディングにアクセスします。
    • 要求コンシューマー署名情報を構成するには、「Web services: Server security bindings」をクリックします。 「Request consumer (receiver) binding」の下で、「Edit custom」をクリックします。
    • 応答コンシューマー署名情報を構成するには、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Response consumer (receiver) binding」の下で、「Edit custom」をクリックします。
  5. 「Required properties」の下で、「署名情報」をクリックします。
  6. 新規」をクリックして署名情報構成を作成し、「削除」をクリックして既存の構成を削除するか、既存の署名情報構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Signing information name」フィールド内に名前を入力します。
  7. 「Signature method」フィールドから署名方法アルゴリズムを選択します。 署名方法は、バインディング・ファイル内の正規化された <SignedInfo> 要素を <SignatureValue> 要素に変換するために使用されるアルゴリズムです。 コンシューマー用に指定されたアルゴリズムは、要求コンシューマーまたは応答コンシューマー構成のいずれかですが、要求ジェネレーターまたは応答ジェネレーター構成のいずれかである生成プログラム用に指定されたアルゴリズムと一致している必要があります。 WebSphere Application Server は、以下の事前構成されたアルゴリズムをサポートします。
  8. 「Canonicalization method」フィールドから正規化方式を選択します。 正規化方式アルゴリズムは、デジタル・シグニチャー署名操作の一部として取り込まれる前に、<SignedInfo> 要素を正規化するために使用されます。 生成プログラム用に指定する正規化アルゴリズムは、コンシューマー用のアルゴリズムと一致する必要があります。 WebSphere Application Server は、以下の事前構成されたアルゴリズムをサポートします。
  9. 「Key information signature type」フィールドから鍵情報署名タイプを選択します。 鍵情報署名タイプは、SOAP メッセージ内の <KeyInfo> 要素がデジタル署名される方法を指定します。 WebSphere Application Server は、以下の署名タイプをサポートします。
    None
    鍵を署名しないことを指定します。
    Keyinfo
    KeyInfo 要素全体が署名されることを指定します。
    Keyinfochildelements
    KeyInfo 要素の子要素を署名することを指定します。

    前の署名タイプの 1 つを指定しない場合は、WebSphere Application Server はデフォルトで keyinfo を使用します。 コンシューマー用の鍵情報署名タイプは、生成プログラム用の署名タイプと一致する必要があります。

  10. 「追加プロパティー」の下で、「Key information references」をクリックします。
    1. 新規」をクリックして鍵情報参照を作成するか、既存のエントリー名をクリックしてその構成を編集します。 「Key information references」パネルが表示されます。
    2. 「名前」フィールド内で名前を入力します。
    3. 「Key information reference」フィールド内で鍵情報参照を選択します。 この参照は、この署名情報構成によって使用される鍵情報を指定する鍵情報構成名です。
  11. 「署名情報」パネルに戻ります。 「追加プロパティー」の下で、「Part references」をクリックします。 「Part references」パネル上で、デプロイメント記述子拡張子ファイル内で定義されたメッセージ・パーツへの参照を指定できます。
    1. 新規」をクリックして新規のパーツ参照を作成するか、既存のパーツ参照の名前をクリックしてその構成を編集します。 「Part reference」パネルが表示されます。
    2. 「パーツ名」フィールド内で名前を入力します。 この名前は、デプロイメント記述子拡張子ファイル内の必要な保全性構成の名前で、デジタル署名する必要のあるメッセージ・パーツを指定します。
    3. 「Digest method algorithm」フィールドからダイジェスト・メソッド・アルゴリズムを選択します。 WebSphere Application Server は、以下の事前構成アルゴリズム http://www.w3.org/200/09/xmldsig#sha1 をサポートします。
  12. 「追加プロパティー」の下で、「Transforms」をクリックします。
    1. 新規」をクリックして新規の変換を作成するか、既存の変換の名前をクリックしてその構成を編集します。
    2. 「Transform name」フィールドに名前を入力します。
    3. 「Transform algorithm」フィールドから変換アルゴリズムを選択します。 WebSphere Application Server は、以下の事前構成されたアルゴリズムをサポートします。
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      コンシューマー用に選択した変換アルゴリズムは、生成プログラム用に選択した変換アルゴリズムと一致する必要があります。 署名情報内の各パーツ参照に対して、ダイジェスト・メソッド・アルゴリズムと変換アルゴリズムの両方を指定します。

  13. 「OK」をクリックします。
  14. パネルの上部にある「保管」をクリックして、構成を保管します。
これらのステップを完了すると、コンシューマーの署名情報が構成されました。
生成プログラムのための類似の署名情報構成を指定する必要があります。
関連タスク
アプリケーション・レベルでの生成プログラム・バインディングの署名情報構成

フィードバック