アプリケーション・レベルでのコンシューマー・バインディングのトラスト・アンカーの構成

ここでは、コンシューマー・バインディングのトラスト・アンカーをアプリケーション・レベルで構成する方法について説明します。 サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。 アプリケーション・レベルで定義された トラスト・アンカーは、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。 サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成を参照してください。

アセンブリー・ツール または WebSphere® Application Server 管理コンソールを使用してコンシューマー・バインディングのトラスト・アンカーを構成できます。 ここでは、WebSphere Application Server 管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。

トラスト・アンカーは、 署名者証明書パスを検証するトラステッド・ルート認証局 (CA) の証明書を含む鍵ストアを指定します。 これらの鍵ストアは、Simple Object Access protocol (SOAP) メッセージで X.509 証明書を検証するために、要求コンシューマー (ibm-webservices-bnd.xmi ファイルで定義される) および 応答コンシューマー (Web サービスがクライアントとして動作している場合、ibm-webservicesclient-bnd.xmi ファイルで定義される) によって使用されます。 鍵ストアは、デジタル・シグニチャーの妥当性検査の保全性を保つために重要なものです。 鍵ストアが改ざんされると、 デジタル・シグニチャー検査の結果が疑わしくなり、信頼性が薄れます。 したがって、これらの鍵ストアを保護することをお勧めします。 ibm-webservices-bnd.xmi ファイルで要求コンシューマー用に指定されているバインディング構成は、 ibm-webservicesclient-bnd.xmi ファイルで応答コンシューマー用に指定されているバインディング構成と一致している必要があります。 サーバー・サイドの要求コンシューマーのトラスト・アンカー構成は、クライアント・サイドの要求ジェネレーター構成と一致している必要があります。 また、クライアント・サイドの応答コンシューマーのトラスト・アンカー構成は、サーバー・サイドの応答ジェネレーター構成と 一致している必要があります。

アプリケーション・レベルでコンシューマー・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。

  1. WebSphere Application Server 管理コンソールのトラスト・アンカー・パネルを見つけます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
    2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
    3. 「追加プロパティー」の下で、以下のバインディングのトラスト・アンカー構成にアクセスすることができます。
      • 要求コンシューマー (受信側) バインディングについては、「Web services: Server security bindings」をクリックします。 「Request consumer (receiver) binding」の下で、「Edit custom」をクリックします。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「Response consumer (receiver) binding」の下で、「Edit custom」をクリックします。
    4. 「追加プロパティー」の下で、「Trust anchors」をクリックします。
    5. トラスト・アンカー構成を作成する場合は、「新規」をクリックします。 構成の横にあるボックスを選択し、 「削除」をクリックして既存の構成を削除するか、 既存のトラスト・アンカー構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、 「Trust anchor name」フィールドに固有の名前を入力します。
  2. 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 トラスト・アンカー鍵ストア・ファイルには、 デジタル・シグニチャーまたは XML 暗号化に使用される X.509 証明書の妥当性検査に使用される トラステッド・ルート認証局 (CA) 証明書が含まれています。
    1. 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
    2. 「Key store path」フィールドで、鍵ストア・ファイルのロケーションを指定します。
    3. 「Key store type」フィールドから鍵ストア・タイプを選択します。 IBM® によって使用される Java™ Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
      JKS
      Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extensions を使用している場合は、このオプションを使用します。
      PKCS11KS (PKCS11)
      鍵ストア・ファイルが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。このフォーマットを使用する鍵ストア・ファイルには、 暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
      PKCS12KS (PKCS12)
      鍵ストア・ファイルが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
      WebSphere Application Server は、${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。 このファイルのパスワードは「storepass」で、タイプは「JCEKS」です。
      重要: 実稼働環境でこれらの鍵ストア・ファイルを使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
このタスクはアプリケーション・レベルでコンシューマー・バインディングのトラスト・アンカーを構成します。
生成プログラムに対しても、同様のトラスト・アンカー情報を指定する必要があります。
関連タスク
アプリケーション・レベルでの生成プログラム・バインディングのトラスト・アンカーの構成
サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成
関連資料
トラスト・アンカー・コレクショントラスト・アンカー名
トラスト・アンカー構成の設定トラスト・アンカー名

フィードバック