サーバーまたはセル・レベルのバインディングでのコレクション証明書ストアの構成

コレクション証明書ストアは、妥当性検査を待つ、非トラステッドの中間証明書ファイルを含みます。 妥当性検査は、デジタル署名された Simple Object Access Protocol (SOAP) メッセージの署名が有効かどうか確認し、 証明書が証明書失効リスト (CRL) にあるかを確認して、証明書が期限切れでないか、証明書が信頼された署名者から発行されたものであるかを確認します。

以下のステップを実行して、サーバー・レベルでコレクション証明書を構成します。

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
    2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  2. 「追加プロパティー」の下で、「Collection certificate store」をクリックします。
  3. 新規」をクリックして、コレクション証明書ストア構成を作成し、 「削除」をクリックして、既存の構成を削除するか、または既存のコレクション証明書ストア構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「Certificate store name」フィールドに名前を入力します。例えば、 ご使用の証明書ストアを sig_certstore という名前にすることができます。

    コレクション証明書ストアの名前は、アプリケーション・サーバーのレベルに固有でなければなりません。 例えば、サーバー・レベルのコレクション証明書ストアを作成する場合は、ストア名はサーバー・レベルに固有でなければなりません。 「Certificate store name」フィールドで指定される名前は、その他の構成によって使用され、事前定義されたコレクション証明書ストアを参照します。 WebSphere® Application Server は、近接性に基づいて、コレクション証明書ストアを検索します。

    例えば、アプリケーション・バインディングが cert1 というコレクション証明書ストアを参照している場合、 Application Server はサーバー・レベルを検索する前に、アプリケーション・レベルで cert1 を検索します。

  4. 「Certificate store provider」フィールドで証明書ストア・プロバイダーを指定します。 WebSphere Application Server は、IBMCertPath 証明書ストア・プロバイダーをサポートします。 別の証明書ストア・プロバイダーを使用するには、install_dir/java/jre/lib/security/java.security ファイル内のプロバイダー・リストでプロバイダー実装を定義する必要があります。 ただし、ご使用のプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートしている必要があります。
  5. OK」と「保管」をクリックして、構成を保管します。
  6. ご使用の証明書ストア構成の名前をクリックします。 証明書ストア・プロバイダーを指定後、 証明書失効リストまたは X.509 証明書の場所を指定する必要があります。 ただし、証明書ストア構成に証明書失効リストと X.509 証明書の両方を指定することができます。
  7. 「追加プロパティー」の下で、「Certificate revocation lists」をクリックします。 生成プログラム・バインディングでは、証明書失効リスト (CRL) が生成されたセキュリティー・トークンに組み込まれている場合、それを使用します。 例えば、セキュリティー・トークンは、CRL を使用して PKCS#7 フォーマットでラップされることがあります。 証明書失効リストについて詳しくは、証明書失効リストを参照してください。
  8. 新規」をクリックして、証明書失効リスト・パスを指定し、 「削除」をクリックして、既存のリスト参照を削除するか、または既存の参照の名前をクリックしてパスを編集します。 WebSphere Application Server が無効な証明書リストを見つけることができる場所に対する完全修飾パスを指定する必要があります。 WebSphere Application Server は、証明書失効リストを使用して、送信側の証明書の有効性を確認します。

    移植性の理由で、WebSphere Application Server 変数を使用して、証明書失効リストに対する相対パスを指定することを推奨します。 この推奨事項は、WebSphere Application Server Network Deployment 環境で作業を行っているときに特に重要です。

    例えば、 USER_INSTALL_ROOT 変数を使用し、 $USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義することができます。 ここで、mycertstore は証明書ストアの名前を表し、mycrl1 は証明書失効リストを表します。 サポートされる変数リストの場合、 WebSphere Application Server 管理コンソールで「環境」>「WebSphere 変数」をクリックします。以下のリストでは、証明書失効リストを使用するための推奨事項を記載します。
    • CRL がコレクション証明書ストアに追加される場合、該当する場合は、ルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストア内にある場合、発行者の CRL に対して、チェーン内の すべての証明書の失効状況が確認されます。
    • CRL ファイルが更新されると、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
    • CRL の期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、 古い CRL と置き換える必要があります。コレクション証明書ストア内の CRL の有効期限が切れると、証明書パス (CertPath) のビルドが失敗します。
  9. OK」をクリックし、次に「保管」をクリックして構成を保管します。
  10. 「Collection certificate store configuration」パネルに戻ります。 このパネルにアクセスするには、以下のステップを実行します。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
    2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
    3. 「追加プロパティー」の下で、「Collection certificate store」>「certificate_store_name」の順にクリックします。
  11. 「追加プロパティー」の下で、「X.509 certificates」をクリックします。 X.509 証明書の構成は、着信 X.509 フォーマットのセキュリティー・トークンの証明書パス検証に使用される中間証明書ファイルを指定します。
  12. 新規」をクリックして、X.509 証明書の構成を作成し、 「削除」をクリックして、既存の構成を削除するか、または既存の X.509 証明書構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「Certificate store name」フィールドに名前を入力します。
  13. 「X.509 certificate path」フィールドでパスを指定します。 このエントリーは、X.509 証明書の場所に対する絶対パスです。 コレクション証明書ストアは、着信 X.509 フォーマットのセキュリティー・トークンの証明書パスを検証するのに使用されます。

    USER_INSTALL_ROOT 変数をパス名の一部として使用できます。 例えば、$USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer と入力することができます。 この証明書パスを実動に使用しないでください。WebSphere Application Server 環境を実動させる前に、認証局からご自身の X.509 証明書を取得する必要があります。

    WebSphere Application Server 管理コンソールで「環境」>「WebSphere 変数」をクリックして、 USER_INSTALL_ROOT 変数を構成します。

  14. OK」をクリックしてから「保管」をクリックし、構成を保管します。
  15. 「Collection certificate store collection」パネルに戻り、「ランタイムの更新」をクリックして、 ws-security.xml ファイルにある、デフォルトのバインディング情報で Web サービス・セキュリティー・ランタイムを更新します。 「ランタイムの更新」をクリックすると、他の Web サービスに行われる構成の変更も Web サービス・セキュリティーのランタイムで更新されます。
これで、サーバーまたはセル・レベルのコレクション証明書ストアを構成しました。
関連概念
証明書失効リスト

フィードバック