サーバー・レベルまたはセル・レベルでの生成プログラム・バインディングの鍵情報構成

これらのバインディングがアプリケーション・レベルで定義されていない場合は、デフォルトの生成プログラムの鍵情報を使用して、署名または暗号化情報構成によって使用される鍵を指定します。 署名および暗号化情報構成は同じ鍵情報を共有することが可能です。これが両方が同じレベルで定義される理由です。 WebSphere® Application Server はこれらのバインディングのデフォルト値を提供します。 ただし、管理者は実稼働環境に応じてこれらの値を変更する必要があります。

以下のステップを完了して、サーバーまたはセル・レベルで生成プログラム・バインディングの鍵情報を構成します。

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
    2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  2. 「Default generator bindings」の下で「Key information」をクリックします。
  3. 新規」をクリックして鍵情報構成を作成し、「削除」をクリックして既存の構成を削除するか、または既存の鍵情報構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key information name」フィールド内に鍵構成の固有の名前を入力します。 例えば、sig_keyinfo と指定します。
  4. 「Key information type」フィールドから鍵情報タイプを選択します。 WebSphere Application Server は、以下の鍵情報タイプをサポートします。
    鍵 ID
    この鍵情報タイプは、鍵 ID の作成方法で二者が同意した場合に使用されます。 例えば、X.509 証明書のフィールドは、X.509 プロファイルに従って鍵 ID のために使用できます。
    鍵の名前
    この鍵情報タイプは、送信側と受信側が鍵の名前で同意している場合に使用されます。
    セキュリティー・トークン参照
    この鍵情報タイプは通常、X.509 証明書がデジタル・シグニチャー用に使用される場合に使用されます。
    組み込みトークン
    この鍵情報タイプは、組み込み要素内にセキュリティー・トークンを組み込むために使用されます。
    X509 発行者名および発行者シリアル番号
    この鍵情報タイプは、X.509 証明書を、その発行者名および発行者シリアル番号で指定します。
    デジタル・シグニチャー用に X.509 証明書を使用している場合は、「Security token reference」を選択します。 これらのステップでは、「Security token reference」がこのフィールドで選択されていることが前提です。
    重要: この鍵情報タイプは、コンシューマー用に指定された鍵情報タイプと一致している必要があります。
  5. 「Key locator reference」メニューから鍵ロケーター参照を選択します。 これらのステップで、鍵ロケーター参照は sig_klocator という名前であることが前提です。 鍵ロケーター参照は、デジタル・シグニチャー用の鍵を生成するために使用する鍵ロケーターの名前です。 このフィールド内で鍵ロケーターを選択する前に、構成する必要があります。 鍵ロケーターの構成について詳しくは、サーバーまたはセル・レベルでの鍵ロケーターの構成を参照してください。
  6. Get keys」をクリックして、鍵名参照のリストを表示します。Get keys」をクリックしたあとで、sig_klocator 要素内で定義された鍵の名前が、「Key name reference」メニューに表示されます。 鍵ロケーター参照を変更する場合は、「Get keys」を再度クリックして、新しい鍵ロケーターに関連した鍵の名前のリストを表示する必要があります。
  7. 「Key name reference」メニューから鍵名参照を選択します。 鍵名参照は、デジタル・シグニチャーの生成または暗号化のために使用される鍵の名前を指定します。 「Key name reference」メニューは、「Key locator reference」フィールド内で選択された鍵ロケーターのために定義された鍵の名前のリストを表示します。 例えば、「signerkey」を選択します。 signerkey は sig_klocator 鍵ロケーターに定義された鍵の名前であることを前提としています。
  8. 「Token reference」フィールドからトークン参照を選択します。 トークン参照は、構成済みトークン生成プログラムの名前を参照します。 デプロイメント記述子内でセキュリティー・トークンが必要な場合は、トークン参照属性が必要です。 「Key information type」フィールドで「Security token reference」を選択する場合、トークン参照が必要で、X.509 トークン生成プログラムを指定することができます。 X.509 トークン生成プログラムを指定するには、X.509 トークン生成プログラムを構成しておく必要があります。 X.509 トークン生成プログラムを構成するには、サーバー・レベルまたはセル・レベルのトークン生成プログラムの構成を参照してください。 残りのステップでは、gen_tcon という名前の X.509 トークン生成プログラムがすでに構成済みであることが前提です。
  9. オプション: 「Encoding method」フィールドからエンコード方式を選択します。 このフィールドは、鍵 ID のエンコード・フォーマットを指定します。 エンコード方式属性は、鍵情報タイプとして「Key identifer」を選択する場合に有効です。 WebSphere Application Server は、以下のエンコード方式をサポートします。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
  10. オプション: 「Calculation method」フィールドから計算方法を選択します。 計算方法は、鍵 ID で使用される計算アルゴリズムを指定します。 この属性は、鍵情報タイプとして「Key identifier」を選択する場合に有効です。 WebSphere Application Server は以下の計算方法をサポートします。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
  11. オプション: 「ネームスペース URI」フィールドから、セキュリティー・トークンの値タイプの URI を指定します。 ネームスペース URI は鍵 ID によって参照されます。 この属性は、鍵情報タイプとして「Key identifier」を選択する場合に有効です。 X.509 証明書トークンが指定されている場合は、ネームスペース URI を指定する必要はありません。 別のトークンが指定されている場合は、ネームスペース URI を指定する必要があります。 例えば、Lightweight Third Party Authentication (LTPA) トークンには、http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を指定できます。
  12. オプション: 「Local name」フィールド内でセキュリティー・トークンの値タイプのローカル名を指定します。 ローカル名は鍵 ID によって参照されます。 この属性は、鍵情報タイプとして「Key identifier」を選択する場合に有効です。 WebSphere Application Server は、以下のローカル名をサポートします。
    X.509 証明書トークンの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 内の X.509 証明書の場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 内の X.509 証明書と CRL のリストの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA の場合
    LTPA
  13. OK」と「保管」をクリックして、構成を保管します。
サーバー・レベルまたはセル・レベルで生成プログラム・バインディングの鍵情報が構成されました。
コンシューマーのための類似の鍵情報構成を指定する必要があります。
関連タスク
サーバー・レベルまたはセル・レベルでのコンシューマー・バインディングの鍵情報構成
サーバーまたはセル・レベルでの鍵ロケーターの構成
サーバー・レベルまたはセル・レベルのトークン生成プログラムの構成

フィードバック