アプリケーション・レベルでのコンシューマー・バインディングの鍵情報構成

「Key information」パネル内の「Key locator reference」および「Token reference」フィールドによって参照される鍵ロケーターおよびトークン・コンシューマーを構成します。
このタスクは、アプリケーション・レベルで要求コンシューマー (サーバー・サイド) と応答コンシューマー (クライアント・サイド) バインディングの鍵情報を構成するために必要なステップを提供します。 コンシューマー・サイドの鍵情報は、受信メッセージ内のデジタル・シグニチャーを検証するため、またはメッセージの暗号化されたパーツを暗号化解除するために使用される鍵についての情報を指定するために使用されます。 以下のステップを完了して、アプリケーション・レベルでコンシューマー・バインディングの鍵情報を構成します。
  1. 管理コンソールで「Key information configuration」パネルを位置指定します。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
    2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
    3. 「追加プロパティー」の下で、要求コンシューマーと応答コンシューマー・バインディングの鍵情報にアクセスできます。
      • 要求コンシューマー (受信側) バインディングについては、「Web services: Server security bindings」をクリックします。 「Request consumer (receiver) binding」の下で、「Edit custom」をクリックします。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Response consumer (receiver) binding」の下で、「Edit custom」をクリックします。
    4. 「Required properties」の下で、「Key information」をクリックします。
    5. 新規」をクリックして鍵情報構成を作成し、「削除」をクリックし構成の隣のボックスを選択して既存の構成を削除するか、既存の鍵情報構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key information name」フィールド内に名前を入力します。 例えば、con_signkeyinfo と指定します。
  2. 「Key information type」フィールドから鍵情報タイプを選択します。 鍵情報タイプは、<ds:KeyInfo> 要素内の <wsse:SecurityTokenReference> 要素を使用してセキュリティー・トークンを参照する、異なるメカニズムを指定します。 WebSphere® Application Server は、以下の鍵情報タイプをサポートします。
    鍵 ID
    このセキュリティー・トークンは、一意的にトークンを識別する隠された値を使用して参照されます。<KeyIdentifier> 要素値を生成するために使用されるアルゴリズムは、トークン・タイプによります。 例えば、『Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280』内で定義される公開鍵の ID を使用できます。 この鍵情報タイプでは、Simple Object Access Protocol (SOAP) メッセージ内に以下の <KeyInfo> 要素が生成されます。
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
          /oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">/62wXO...
          </wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    鍵の名前
    セキュリティー・トークンは、トークン内の ID 表明に一致する名前を使用して参照されます。 結果として、指定された名前と一致するセキュリティー・トークンが複数になる場合は、この鍵タイプを使用しないことをお勧めします。 この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>

    通常、http://www.w3.org/2000/09/xmldsig#hmac-sha1 のような Key-Hashing Message Authentication Code (HMAC) デジタル・シグニチャー・アルゴリズムを使用する場合、鍵の名前を使用します。

    セキュリティー・トークン参照
    セキュリティー・トークンは、URI を使用して直接参照されます。 この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI='#SomeCert'
           ValueType="http://docs.oasis-open.org/wss/2004/01/
              oasis-200401-wss-x509-token-profile-1.0#X509v3" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo> 
    重要:Web services Interoperability Organization (WS-I) Basic Security Profile Version 1 draft』で 説明され、前の例で示されているように、SECURE_ENVELOPE 内の wsse:Reference 要素は ValueType 属性でなければなりません。
    組み込みトークン
    セキュリティー・トークンは、<SecurityTokenReference> 要素内に直接組み込まれます。この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             …
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    X509 発行者名および発行者シリアル番号
    セキュリティー・トークンは、X.509 証明書の発行者名および発行者シリアル番号によって参照されます。 この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    鍵情報の各タイプについては、http://www.oasis-open.org/home/index.php の『Web services security』の下にある 『Web Services Security: SOAP Message Security 1.0 (WS-Security 2004) OASIS standard』で 説明されています。
  3. 「Key locator reference」フィールドから鍵ロケーター参照を選択します。 このフィールドの値は、WebSphere Application Server が、デジタル・シグニチャーおよび暗号化に使用される鍵の位置指定のために使用する鍵ロケーターに対する参照です。 鍵ロケーターを選択する前に、鍵ロケーターを構成する必要があります。 鍵ロケーターの構成について詳しくは、アプリケーション・レベルでのコンシューマー・バインディングの鍵ロケーター構成を参照してください。
  4. 「Token reference」フィールドからトークン参照を選択します。 トークン参照は、メッセージ内のセキュリティー・トークンを処理するために使用されるトークン・コンシューマーに対する参照を指定します。 ただし、WebSphere Application Server は、「Key information type」フィールド内でセキュリティー・トークン参照または組み込みトークンが選択された場合のみ、このフィールドを必要とします。 トークン参照を指定する前に、トークン・コンシューマーを構成する必要があります。 トークン・コンシューマーの構成について詳しくは、アプリケーション・レベルでのトークン・コンシューマーの構成を参照してください。

    この鍵情報構成にトークン・コンシューマーが必要でない場合は、「(なし)」を選択します。

  5. OK」と「保管」をクリックして、この構成を保管します。
アプリケーション・レベルで生成プログラム・バインディングの鍵情報が構成されました。
生成プログラム・バインディングの鍵情報が構成されていない場合。 生成プログラムのための類似の鍵情報構成を指定する必要があります。 コンシューマーと生成プログラム両方の鍵情報を構成したあとで、鍵情報タスク内で指定される鍵情報を参照する署名情報または暗号化情報を構成します。
関連タスク
アプリケーション・レベルでの生成プログラム・バインディングの鍵情報構成
アプリケーション・レベルでのコンシューマー・バインディングの署名情報構成
アプリケーション・レベルでのコンシューマー・バインディングの鍵ロケーター構成
アプリケーション・レベルでのトークン・コンシューマーの構成

フィードバック