アプリケーション・レベルでの生成プログラム・バインディングの鍵ロケーター構成

デフォルトの生成プログラムの鍵ロケーター情報は、署名と暗号化情報に使用される鍵を位置指定するために使用される鍵ロケーター実装を指定します。 生成プログラムの鍵ロケーター情報は、署名の妥当性検査または暗号化に使用される鍵を位置指定するために使用される鍵ロケーター実装を指定します。 WebSphere® Application Server は、バインディングのデフォルト値を提供します。 ただし、実稼働環境にはデフォルトを変更する必要があります。

以下のステップを完了して、アプリケーション・レベルで生成プログラム・バインディングの鍵ロケーターを構成します。

  1. 管理コンソールで「Encryption information configuration」パネルを見つけます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
    2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
    3. 「追加プロパティー」の下で、要求生成プログラムと応答生成プログラムのバインディングに関する重要な情報にアクセスできます。
      • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
      • 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。 「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。
    4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
    5. 新規」をクリックして鍵ロケーター構成を作成し、構成の隣のボックスを選択して「削除」をクリックして既存の構成を削除するか、既存の鍵ロケーター構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key locator name」フィールド内に固有の名前を入力します。 例えば、gen_keyloc と指定します。
  2. 「鍵ロケーター・クラス名」フィールド内で、鍵ロケーター・クラス実装のクラス名を指定します。 バージョン 6 アプリケーションと関連した鍵ロケーターは、com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを実装する必要があります。 アプリケーションの要件に従って、クラス名を指定します。 例えば、アプリケーションで、鍵が鍵ストア・ファイルから読み取られる必要がある場合は、com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を指定します。 WebSphere Application Server は、要求生成プログラムまたは応答生成プログラムで使用可能な、 バージョン 6 アプリケーションの以下のデフォルトの鍵ロケーター・クラス実装を 提供します。
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
    この実装は、指定した鍵ストア・ファイルから鍵を見つけて取得します。
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    この実装は、署名者証明書から公開鍵を使用し、応答ジェネレーターによって使用されます。
  3. 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには公開鍵と秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。 鍵ストアから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。 鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装 を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
    1. 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
    2. 「Key store path」フィールドで鍵ストア・ファイルのロケーションを指定します。
    3. 「タイプ」フィールドから鍵ストア・タイプを選択します。 IBM® によって使用される Java™ Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
      JKS
      Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extensions を使用している場合は、このオプションを使用します。
      PKCS11KS (PKCS11)
      鍵ストアが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。この形式を使用する鍵ストアは、暗号ハードウェアについての RSA 鍵を含んでいるか、 暗号ハードウェアを使用する鍵を暗号化して、保護を確実なものにします。
      PKCS12KS (PKCS12)
      鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
      WebSphere Application Server は、${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。 このファイルのパスワードは「Storepass」で、タイプは「JCEKS」です。
      重要: 実稼働環境でサンプルの鍵ストア・ファイルを使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
  4. OK」をクリックし、次に「保管」をクリックして構成を保管します。
  5. 「追加プロパティー」の下で、「Keys」をクリックします。
  6. 新規」をクリックして鍵構成を作成し、構成の隣のボックスを選択して「削除」をクリックして既存の構成を削除するか、既存の鍵構成の名前をクリックしてその設定を編集します。 このエントリーは、鍵ストア・ファイル内の鍵オブジェクトの名前を指定します。 新しい構成を作成する場合は、「Key name」フィールド内に固有の名前を入力します。 デジタル・シグニチャーでは、鍵の名前は要求ジェネレーターまたは応答ジェネレーターの署名情報によって使用され、メッセージをデジタル署名するために使用する鍵を決定します。

    鍵の名前には完全修飾識別名を使用する必要があります。 例えば、CN=Bob,O=IBM,C=US を使用します。

    重要: 実稼働環境でサンプルの鍵ファイルを使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
  7. 「Key alias」フィールド内で別名を指定します。 鍵の別名は鍵ロケーターによって使用され、鍵ストア内の鍵オブジェクトを検索します。
  8. 「Key password」フィールド内でパスワードを指定します。 パスワードは鍵ストア・ファイル内で鍵オブジェクトにアクセスするのに使用されます。
  9. OK」をクリックし、次に「保管」をクリックして構成を保管します。
アプリケーション・レベルで生成プログラム・バインディングの鍵ロケーターが構成されました。
コンシューマーのための類似の鍵情報構成を指定する必要があります。
関連タスク
アプリケーション・レベルでのコンシューマー・バインディングの鍵ロケーター構成

フィードバック