Web サービス・セキュリティーのデフォルト構成

WebSphere® Application Server バージョン 6 では、WebSphere Application Server 管理コンソールで構成できるさまざまなサンプル構成を提供します。 指定する構成は、セルまたはサーバー・レベルに反映されます。 これらの構成はサンプル用であり、テストのためにのみ提供するものであるため、実稼働環境で使用しないでください。 これらのサンプル構成を変更するには、WebSphere Application Server が提供する管理コンソールを使用することを推奨します。

Web サービス・セキュリティーが有効になっているアプリケーションでは、デプロイメント記述子とバインディングを正しく構成する必要があります。 WebSphere Application Server バージョン 6 では、アプリケーション・デプロイメントを容易にするため、アプリケーションがデフォルト・バインディングの 1 セットを共有します。 サーバー・レベルのデフォルト・バインディング情報は、アプリケーション・レベルのバインディング情報によってオーバーライドされます。 Application Server は、サーバー・レベルでアプリケーションのバインディング情報を検索する前に、アプリケーション・レベルで検索します。

本項には、デフォルト・バインディング、鍵ストア、鍵ロケーター、コレクション証明書ストア、トラスト・アンカー、トラステッド ID エバリュエーターのサンプルが含まれています。

デフォルトの生成プログラム・バインディング

WebSphere Application Server バージョン 6 では、デフォルトの生成プログラム・バインディングのサンプル・セットを提供します。 デフォルトの生成プログラム・バインディングには、署名情報と暗号化情報が含まれます。

署名情報構成のサンプルは gen_signinfo と呼ばれ、以下の構成を含みます。
  • gen_signinfo 構成に以下のアルゴリズムを使用します。
    • シグニチャー方式: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化方式: http://www.w3.org/2001/10/xml-exc-c14n#
  • gen_signkeyinfo 署名鍵情報を参照します。以下の情報は、gen_signkeyinfo 構成に関連します。
    • gen_signpart というパーツ参照構成を含みます。 パーツ参照は、デフォルト・バインディングでは使用されません。署名情報は、デプロイメント記述子内の Integrity または Required Integrity 要素すべてに適用し、その情報はネーミングにのみ使用されます。 以下の情報は、gen_signpart 構成に関連します。
      • transform1 という変換構成を使用します。以下の変換は、デフォルトの署名情報のために構成されます。
        • http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用します
        • http://www.w3.org/2000/09/xmldsig#sha1 ダイジェスト方式を使用します
    • セキュリティー・トークン参照を使用します。これは、構成済みデフォルト鍵情報です。
    • SampleGeneratorSignatureKeyStoreKeyLocator 鍵ロケーターを使用します。 この鍵ロケーターについて詳しくは、鍵ロケーターのサンプルを参照してください。
    • gen_signtgen トークン生成プログラムを使用します。これには、以下の構成が含まれています。
      • 署名者の X.509 トークンを生成する X.509 トークン生成プログラムを含みます。
      • gen_signtgen_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • X.509 コールバック・ハンドラーを使用します。コールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアを呼び出します。
      • 鍵ストアのパスワードは、client です。
      • トラステッド証明書の別名は soapca です。
      • 個人証明書の別名は soaprequester です。
      • 鍵パスワード・クライアントは、中間認証局 Int CA2soapca が交代で発行します。
暗号化情報構成のサンプルは gen_encinfo と呼ばれ、以下の構成を含みます。
  • gen_encinfo 構成に以下のアルゴリズムを使用します。
    • データ暗号化方式: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 鍵暗号化方式: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • gen_enckeyinfo 暗号鍵情報を参照します。以下の情報は、gen_enckeyinfo 構成に関連します。
    • 鍵 ID をデフォルトの鍵情報として使用します。
    • SampleGeneratorEncryptionKeyStoreKeyLocator 鍵ロケーターへの参照を含みます。 この鍵ロケーターについて詳しくは、鍵ロケーターのサンプルを参照してください。
    • gen_signtgen トークン生成プログラムを使用します。これには、以下の構成があります。
      • 署名者の X.509 トークンを生成する X.509 トークン生成プログラムを含みます。
      • gen_enctgen_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • X.509 コールバック・ハンドラーを使用します。コールバック・ハンドラーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 鍵ストアを呼び出します。
      • 鍵ストアのパスワードは、storepass です。
      • 秘密鍵 CN=Group1 には、別名 Group1 と鍵パスワード keypass があります。
      • 公開鍵 CN=Bob, O=IBM, C=US には、別名 bob と鍵パスワード keypass があります。
      • 秘密鍵 CN=Alice, O=IBM, C=US には、別名 alice と鍵パスワード keypass があります。

デフォルト・コンシューマー・バインディング

WebSphere Application Server バージョン 6 では、デフォルト・コンシューマー・バインディングのサンプル・セットを提供します。 デフォルト・コンシューマー・バインディングには、署名情報と暗号化情報が含まれます。

署名情報構成のサンプルは con_signinfo と呼ばれ、以下の構成を含みます。
  • con_signinfo 構成に以下のアルゴリズムを使用します。
    • シグニチャー方式: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化方式: http://www.w3.org/2001/10/xml-exc-c14n#
  • con_signkeyinfo 署名鍵情報の参照を使用します。以下の情報は、con_signkeyinfo 構成に関連します。
    • con_signpart というパーツ参照構成を含みます。 パーツ参照は、デフォルト・バインディングでは使用されません。署名情報は、 デプロイメント記述子内の Integrity または RequiredIntegrity 要素すべてに適用し、その情報はネーミングにのみ使用されます。 以下の情報は、con_signpart 構成に関連します。
      • reqint_body_transform1 という変換構成を使用します。以下の変換は、デフォルトの署名情報のために構成されます。
        • http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用します。
        • http://www.w3.org/2000/09/xmldsig#sha1 ダイジェスト方式を使用します。
    • セキュリティー・トークン参照を使用します。これは、構成済みデフォルト鍵情報です。
    • SampleX509TokenKeyLocator 鍵ロケーターを使用します。 この鍵ロケーターについて詳しくは、鍵ロケーターのサンプルを参照してください。
    • con_signtcon トークン・コンシューマー構成を参照します。以下の情報は、con_signtcon 構成に関連します。
      • デフォルトの署名情報のためにコンシューマーとして構成されている、X.509 トークン・コンシューマーを使用します。
      • signtconsumer_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • 以下の情報を参照する system.wssecurity.X509BST という JAAS 構成を含みます。
      • トラスト・アンカー: SampleClientTrustAnchor
      • コレクション証明書ストア: SampleCollectionCertStore
暗号化情報構成は con_encinfo と呼ばれ、以下の構成を含みます。
  • con_encinfo 構成に以下のアルゴリズムを使用します。
    • データ暗号化方式: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 鍵暗号化方式: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • con_enckeyinfo 暗号鍵情報を参照します。この鍵は実際にメッセージの暗号化解除を行います。 以下の情報は、con_enckeyinfo 構成に関連します。
    • デフォルトの暗号化情報のために鍵情報として構成される鍵 ID を使用します。
    • SampleConsumerEncryptionKeyStoreKeyLocator 鍵ロケーターへの参照を含みます。 この鍵ロケーターについて詳しくは、鍵ロケーターのサンプルを参照してください。
    • con_enctcon トークン・コンシューマー構成を参照します。以下の情報は、con_enctcon 構成に関連します。
      • デフォルトの暗号化情報のために構成されている、X.509 トークン・コンシューマーを使用します。
      • enctconsumer_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • system.wssecurity.X509BST という JAAS 構成を含みます。

鍵ストア構成のサンプル

WebSphere Application Server は、以下の鍵ストアを提供します。 iKeyman ユーティリティーまたは鍵ツールを使用することによって、Application Server の外でこれらの鍵ストアを操作することができます。

iKeyman ユーティリティーは、次のディレクトリーにあります。
  • Windows®: install_dir/bin/ikeyman
  • Unix: install_dir¥bin¥ikeyman.sh
鍵ツールは、次のディレクトリーにあります。
  • Windows: install_dir/java/jre/bin/keytool
  • Unix: install_dir¥java¥jre¥bin¥keytool.sh
以下の鍵ストア・サンプルは、テスト用ですので、実稼働環境で使用しないでください。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • 鍵ストア・フォーマットは JKS です。
    • 鍵ストアのパスワードは、client です。
    • トラステッド証明書の別名は soapca です。
    • 個人証明書には、中間認証局 Int CA2soapca が交代で発行する別名 soaprequester と鍵パスワード client があります。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • 鍵ストア・フォーマットは JKS です。
    • 鍵ストアのパスワードは、server です。
    • トラステッド証明書の別名は soapca です。
    • 個人証明書には、中間認証局 Int CA2soapca が交代で発行する別名 soapprovider と鍵パスワード server があります。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • 鍵ストア・フォーマットは JCEKS です。
    • 鍵ストアのパスワードは、storepass です。
    • CN=Group1 DES 秘密鍵には、別名 Group1 と鍵パスワード keypass があります。
    • CN=Bob, O=IBM, C=US 公開鍵には、別名 bob と鍵パスワード keypass があります。
    • CN=Alice, O=IBM, C=US 秘密鍵には、別名 alice と鍵パスワード keypass があります。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • 鍵ストア・フォーマットは JCEKS です。
    • 鍵ストアのパスワードは、storepass です。
    • CN=Group1 DES 秘密鍵には、別名 Group1 と鍵パスワード keypass があります。
    • CN=Bob, O=IBM, C=US 秘密鍵には、別名 bob と鍵パスワード keypass があります。
    • CN=Alice, O=IBM, C=US 公開鍵には、別名 alice と鍵パスワード keypass があります。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • 中間証明書は soapca によって署名され、soaprequester および soapprovider に署名します。

鍵ロケーターのサンプル

鍵ロケーター

鍵ロケーターは、デジタル・シグニチャー、暗号化、および暗号化解除用の鍵を見つける場合に使用されます。 これらの鍵ロケーター構成のサンプルの変更方法については、以下の項目を参照してください。
SampleGeneratorSignatureKeyStoreKeyLocator
この鍵ロケーターは、SOAP メッセージに署名する場合に生成プログラムによって使用されます。 署名鍵の名前は SOAPRequester で、署名鍵の名前として署名情報で参照されます。 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアと com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストアの鍵ロケーターを使用するように構成されてます。
SampleConsumerSignatureKeyStoreKeyLocator
この鍵ロケーターは、SOAP メッセージ内のデジタル・シグニチャーを確認する場合にコンシューマーが使用します。 署名鍵は SOAPProvider で、署名鍵の名前として署名情報で参照されます。 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 鍵ストアと com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストアの鍵ロケーターを使用するように構成されてます。
SampleGeneratorEncryptionKeyStoreKeyLocator
この鍵ロケーターは、SOAP メッセージを暗号化する場合に生成プログラムによって使用されます。 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 鍵ストアと com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストアの鍵ロケーターを使用するように構成されています。
SampleConsumerEncryptionKeyStoreKeyLocator
この鍵ロケーターは、暗号化された SOAP メッセージを暗号化解除する場合にコンシューマーによって使用されます。${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアと com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストアの鍵ロケーターを使用するように構成されています。
SampleX509TokenKeyLocator
この鍵ロケーターは、X.509 証明書内のデジタル証明書を確認する場合にコンシューマーが使用します。 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアと com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストアの鍵ロケーターを使用するように構成されています。

コレクション証明書ストアのサンプル

コレクション証明書ストアは、証明書パスを確認する場合に使用されます。 このコレクション証明書ストア・サンプルの変更方法については、以下の項目を参照してください。
SampleCollectionCertStore
このコレクション証明書ストアは、署名者証明書パスを確認する場合に応答コンシューマーと要求ジェネレーターによって使用されます。

トラスト・アンカーのサンプル

トラスト・アンカーは、署名者証明書のトラストを確認する場合に使用されます。 トラスト・アンカー構成のサンプルの変更方法については、以下の項目を参照してください。

トラステッド ID エバリュエーターのサンプル

トラステッド ID エバリュエーターは、ID 表明で識別を表明する前に、トラストを確立する場合に使用されます。 トラステッド ID エバリュエーター構成のサンプルの変更方法については、サーバーまたはセルのレベルでのトラステッド ID エバリュエーターの構成を参照してください。
SampleTrustedIDEvaluator
このトラステッド ID エバリュエーターは、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 実装を使用します。 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator のデフォルトの実装には、トラステッド ID のリストがあります。 このリストは、トラステッド ID として鍵および値として trustedId_* でプロパティーとして定義されます。
WebSphere Application Server 管理コンソールでサーバー・レベルのこの情報を定義するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web services: Default bindings for Web services security」をクリックします。
  3. 追加プロパティーの下で、「Trusted ID evaluators」>「SampleTrustedIDEvaluator」をクリックします。
関連タスク
アプリケーション・レベルでの生成プログラム・バインディングの鍵ロケーター構成
アプリケーション・レベルでのコンシューマー・バインディングの鍵ロケーター構成
サーバーまたはセル・レベルでの鍵ロケーターの構成
アプリケーション・レベルでの生成プログラム・バインディング用コレクション証明書ストアの構成
アプリケーション・レベルでのコンシューマー・バインディング用コレクション証明書ストアの構成
サーバーまたはセル・レベルのバインディングでのコレクション証明書ストアの構成
アプリケーション・レベルでの生成プログラム・バインディングのトラスト・アンカーの構成
アプリケーション・レベルでのコンシューマー・バインディングのトラスト・アンカーの構成
サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成
サーバーまたはセルのレベルでのトラステッド ID エバリュエーターの構成

フィードバック