このタスクを開始する前に、「Key information」パネル内の「Key locator reference」および「Token reference」フィールドによって参照される鍵ロケーターおよびトークン・コンシューマーを構成します。
このタスクは、アプリケーション・レベルで要求ジェネレーター (クライアント・サイド) と応答ジェネレーター (サーバー・サイド) バインディングの鍵情報を構成するために必要なステップを提供します。
鍵情報は、デジタル・シグニチャーおよび暗号化用に鍵を生成するために必要な構成を指定するために使用されます。
署名情報および暗号化情報構成は鍵情報を共有することが可能です。これが両方が同じレベルで定義される理由です。
以下の情報を完了して、アプリケーション・レベルで生成プログラム・バインディングの鍵情報を構成します。
- 管理コンソールで「Key information configuration」パネルを位置指定します。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
- 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
- 「追加プロパティー」の下で、要求生成プログラムと応答生成プログラムのバインディングに関する重要な情報にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。
「Request generator (sender) binding」の下で、「Edit custom」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web services: Server security bindings」をクリックします。
「Response generator (sender) binding」の下で、「Edit custom 」をクリックします。
- 「Required properties」の下で、「Key information」をクリックします。
- 「新規」をクリックして鍵情報構成を作成し、既存の構成の隣のボックスを選択して「削除」をクリックして構成を削除するか、既存の署名情報構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key information name」フィールド内に名前を入力します。
例えば、gen_signkeyinfo と指定します。
- 「Key information type」フィールドから鍵情報タイプを選択します。 鍵情報タイプは、セキュリティー・トークンの参照方法を指定します。
WebSphere® Application Server は、以下の鍵情報タイプをサポートします。
- 鍵 ID
- このセキュリティー・トークンは、一意的にトークンを識別する隠された値を使用して参照されます。<KeyIdentifier> 要素値を生成するために使用されるアルゴリズムは、トークン・タイプによります。
例えば、<KeyIdentifier> 要素値の生成には、セキュリティー・トークンの重要要素のハッシュが使用されます。この鍵情報タイプでは、Simple Object Access Protocol (SOAP) メッセージ内に以下の <KeyInfo> 要素が生成されます。
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 鍵の名前
- セキュリティー・トークンは、トークン内の ID 表明に一致する名前を使用して参照されます。
結果として、指定された名前と一致するセキュリティー・トークンが複数になる場合は、この鍵タイプを使用しないことをお勧めします。
この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
- セキュリティー・トークン参照
- セキュリティー・トークンは、URI を使用して直接参照されます。
この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 組み込みトークン
- セキュリティー・トークンは、<SecurityTokenReference> 要素内に直接組み込まれます。この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- X509 発行者名および発行者シリアル番号
- セキュリティー・トークンは、X.509 証明書の発行者名および発行者シリアル番号によって参照されます。
この鍵情報タイプでは、SOAP メッセージ内に以下の <KeyInfo> 要素が生成されます。
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
鍵情報の各タイプについては、http://www.oasis-open.org/home/index.php
の『Web services security』の下にある
『Web Services Security: SOAP Message Security 1.0 (WS-Security 2004) OASIS standard』で
説明されています。
- 「Key locator reference」フィールドから鍵ロケーター参照を選択します。 この参照は、WebSphere Application Server が、デジタル・シグニチャーおよび暗号化に使用される鍵の位置指定のために使用する鍵ロケーターを指定します。
鍵ロケーターを選択する前に、鍵ロケーターを構成しておく必要があります。
鍵ロケーターの構成について詳しくは、以下の項目を参照してください。
- 「Get keys」をクリックして、鍵名参照のリストを表示します。 「Get keys」をクリックしたあとで、sig_klocator 要素内で定義された鍵の名前が、「Key name reference」メニューに表示されます。 鍵ロケーター参照を変更する場合は、「Get keys」を再度クリックして、新しい鍵ロケーターに関連した鍵の名前のリストを表示する必要があります。
- 「Key name reference」フィールドから鍵名参照を選択します。 この参照は、デジタル・シグニチャーの生成と暗号化のために使用される鍵の名前を指定します。
提供された鍵の名前のリストは、鍵ロケーター参照で指定された鍵ロケーターから取得されます。
- 「Token reference」フィールドからトークン参照を選択します。 トークン参照は、セキュリティー・トークンを処理するために使用されるトークン生成プログラムの名前を指定します。
ただし、WebSphere Application Server は、「Key information type」フィールド内でセキュリティー・トークン参照または組み込みトークンが選択された場合のみ、このフィールドを必要とします。
トークン参照を指定する前に、トークン生成プログラムを構成する必要があります。
トークン生成プログラムの構成について詳しくは、アプリケーション・レベルでのトークン生成プログラムの構成を参照してください。
- オプション: このパネルで鍵情報タイプとして鍵 ID を選択する場合、エンコード方式、計算方法、値タイプのネームスペース URI、値タイプのローカル名を指定する必要があります。
- 「Encoding method」フィールドからエンコード方式を選択します。 エンコード方式は、鍵 ID のエンコード・フォーマットを指定します。
WebSphere
Application Server は、以下のエンコード方式をサポートします。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- 「Calculation method」フィールドから計算方法を選択します。 WebSphere Application Server は以下の計算方法をサポートします。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- 「ネームスペース URI」フィールド内の値タイプのネームスペース Uniform Resource Identifier (URI) を指定します。 このフィールドで、鍵 ID によって参照されるセキュリティー・トークンの値タイプのネームスペース URI を指定します。
X.509 証明書トークンを指定する場合、このオプションを指定する必要はありません。別のトークンを指定したい場合は、値タイプの修飾名 (QName) の URI を指定する必要があります。
- 値タイプのローカル名を指定します。 この名前は、鍵 ID によって参照されるセキュリティー・トークンの値タイプのローカル名です。
このローカル名が対応するネームスペース URI と共に使用される場合は、情報は値タイプ修飾名または QName と呼ばれます。
X.509 証明書トークンを指定する場合、事前定義ローカル名を使用する
ことをお勧めします。事前定義されたローカル名を指定する場合は、値タイプのネームスペース URI を指定する必要はありません。
ただし、事前定義されたローカル名のいずれかを使用しない場合は、Uniform Resource Identifier (URI) とローカル名の両方を指定する必要があります。 WebSphere Application Server は、以下の事前定義ローカル名を提供します。
- X.509 証明書トークン
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 内の X.509 証明書
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 内の X509 証明書および CRL のリスト
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- 「OK」をクリックし、次に「保管」をクリックして構成を保管します。
アプリケーション・レベルで生成プログラム・バインディングの鍵情報が構成されました。
コンシューマーのための類似の鍵情報構成を指定する必要があります。