コレクション証明書ストアは、非ルートの認証局 (CA) の証明書および証明書失効リスト (CRL) のコレクションです。
この CA 証明書および CRL のコレクションは、デジタル署名されている Simple Object Access Protocol (SOAP) メッセージの署名が有効であるかを確認するために使用されます。以下のステップを実行し、
アプリケーション・レベルでコンシューマー・バインディングのコレクション証明書を構成してください。
- WebSphere® Application
Server 管理コンソールで、「collection certificate store configuration」パネルを見つけます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
- 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
- 「追加プロパティー」の下で、「Collection certificate store」をクリックします。
- 「新規」をクリックして、コレクション証明書ストア構成を作成し、
「削除」をクリックして、既存の構成を削除するか、または既存のコレクション証明書ストア構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「Certificate store name」フィールドに名前を入力します。
コレクション証明書ストアの名前は、アプリケーション・サーバーのレベルに固有でなければなりません。
例えば、アプリケーション・レベルのコレクション証明書ストアを作成する場合は、ストア名はアプリケーション・レベルに固有でなければなりません。
「Certificate store name」フィールドで指定される名前は、その他の構成によって使用され、事前定義されたコレクション証明書ストアを参照します。
WebSphere Application Server は、近接性に基づいて、コレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが cert1 というコレクション証明書ストアを参照している場合、
Application Server はサーバー・レベルを検索する前に、アプリケーション・レベルで cert1 を検索します。
- 「Certificate store provider」フィールドで証明書ストア・プロバイダーを指定します。 WebSphere Application Server は、IBMCertPath 証明書ストア・プロバイダーをサポートします。
別の証明書ストア・プロバイダーを使用するには、install_dir/java/jre/lib/security/java.security ファイル内のプロバイダー・リストでプロバイダー実装を定義する必要があります。
ただし、ご使用のプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートしている必要があります。
- 「OK」と「保管」をクリックして、構成を保管します。
- ご使用の証明書ストア構成の名前をクリックします。 証明書ストア・プロバイダーを指定後、
証明書失効リストまたは X.509 証明書の場所を指定する必要があります。
ただし、証明書ストア構成に証明書失効リストと X.509 証明書の両方を指定することができます。
- 「追加プロパティー」の下で、「Certificate revocation lists」をクリックします。
- 「新規」をクリックして、証明書失効リスト・パスを指定し、
「削除」をクリックして、既存のリスト参照を削除するか、または既存の参照の名前をクリックしてパスを編集します。 WebSphere Application Server が無効な証明書リストを見つけることができる場所に対する完全修飾パスを指定する必要があります。
移植性の理由で、WebSphere Application Server 変数を使用して、証明書失効リスト (CRL) に対する相対パスを指定することを推奨します。
この推奨事項は、WebSphere Application
Server Network Deployment 環境で作業を行っているときに特に重要です。例えば、USER_INSTALL_ROOT 変数を使用し、
$USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義することができます。サポートされる変数リストの場合、
WebSphere Application
Server 管理コンソールで「環境」>「WebSphere 変数」をクリックします。以下のリストでは、証明書失効リストを使用するための推奨事項を記載します。
- CRL がコレクション証明書ストアに追加される場合、該当する場合は、ルート証明書権限および各中間証明書の CRL を追加します。
CRL が証明書コレクション・ストア内にある場合、発行者の CRL に対して、チェーン内の
すべての証明書の失効状況が確認されます。
- CRL ファイルが更新されると、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、
古い CRL と置き換える必要があります。コレクション証明書ストア内の CRL の有効期限が切れると、証明書パス (CertPath) のビルドが失敗します。
- 「OK」と「保管」をクリックして、構成を保管します。
- 「Collection certificate store configuration」パネルに戻ります。 本項の最初のいくつかのステップを参照し、「collection certificate store」パネルを探します。
- 「追加プロパティー」の下で、「X.509 certificates」をクリックします。
- 「新規」をクリックして、X.509 証明書の新規構成を作成し、
「削除」をクリックして、既存の構成を削除するか、または既存の X.509 証明書構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「Certificate store name」フィールドに名前を入力します。
- 「X.509 certificate path」フィールドでパスを指定します。 このエントリーは、X.509 証明書の場所に対する絶対パスです。
コレクション証明書ストアを使用して、着信 X.509 フォーマット・セキュリティー・トークンの証明書パスを確認します。
パス名の一部として USER_INSTALL_ROOT 変数を使用することができます。例えば、USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer と入力することができます。
この証明書パスを実動に使用しないでください。WebSphere Application
Server 環境を実動させる前に、認証局からご自身の X.509 証明書を取得する必要があります。
WebSphere Application
Server 管理コンソールで「環境」>「WebSphere 変数」をクリックして、
USER_INSTALL_ROOT 変数を構成します。
- 「OK」をクリックしてから「保管」をクリックし、構成を保管します。
これで、コンシューマー・バインディングのコレクション証明書ストアを構成しました。
この証明書ストア構成を参照するトークン・コンシューマー構成を構成する必要があります。