鍵ロケーターを構成する前に、どの鍵情報構成がこの鍵ロケーターを参照するかを知っておく必要があります。
例えば、この鍵ロケーターを STRREF 鍵情報タイプに対して構成する場合は、
鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.X509TokeyKeyLocator を選択します。
WebSphere® Application
Server バージョン 6 では、
デフォルトの鍵ロケーター実装を使用することも、
独自の実装を作成することもできます。
カスタムの鍵ロケーターは、com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを実装する必要があります。この実装を使用すると、任意のデータ・ソース内の鍵を探し出すことができます。
以下のステップに従って、コンシューマー用の鍵ロケーターを、アセンブリー・ツールを使用して構成します。
鍵ロケーターの目的は、鍵または証明書を検出することです。
コンシューマー・サイドの鍵ロケーター情報は、
受信した SOAP メッセージにおけるデジタル・シグニチャーの検証や、
メッセージの暗号化された部分の暗号化解除に使用する鍵を見つけるために使用されます。
応答コンシューマーはクライアント向けに、要求コンシューマーはサーバー向けに、それぞれ構成されます。以下のステップでは、ステップ 2 でクライアント・サイドのバインディング、
またはステップ 3 でサーバー・サイドのバインディングのいずれかを構成する必要があります。
- 「ウィンドウ」>「パースペクティブを開く」>「J2EE」の順にクリックします。
- オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、クライアント・サイドのバインディングを見つけます。 「Client Deployment Descriptor」ウィンドウが表示されます。
この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。
以下のステップを実行して、クライアント・サイドのバインディングを検索します。
- 「Web サービス」>「クライアント」セクションの順に展開して、
Web サービスの名前をダブルクリックします。
- 「WS Binding」タブをクリックして、「Security Response
Consumer Binding Configuration」セクションを展開します。
- オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、サーバー・サイドのバインディングを検索します。 「Web Services Editor」ウィンドウが表示されます。
この Web サービスには、ユーザーが構成する必要があるバインディングが含まれています。
以下のステップを実行して、サーバー・サイドのバインディングを検索します。
- 「Web サービス」>「サービス」セクションの順に展開して、
Web サービスの名前をダブルクリックします。
- 「Binding Configurations」タブをクリックして、「Request Consumer Binding Configuration Details」セクションを展開します。
- 「鍵ロケーター」セクションを展開して、新規項目を追加する場合は「追加」をクリックし、
選択した項目を編集する場合は「編集」をクリックします。
- 「Key locator name」フィールドで、この構成の名前を指定します。 この構成名は、「Key Information」ダイアログの「鍵ロケーター」フィールドで参照されます。
- 「Key locator class」フィールドで、鍵ロケーターの実装を選択します。 この鍵ロケーターを参照する鍵情報構成と一致する鍵ロケーター・クラスを選択してください。
例えば、受信した Simple Object Access Protocol (SOAP) メッセージに、
シグニチャーの検証に必要な X.509 証明書が含まれている場合は、
鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator を選択します。
シグニチャー検証または暗号化解除に必要な鍵を、
鍵ストア・ファイルを使用して指定する必要がある場合は、
鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator を選択します。
鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator は、
コンシューマー・サイドでは使用されません。
通常は、応答ジェネレーター構成で、
要求メッセージの署名者の鍵を使用して応答メッセージを暗号化するために使用されます。
- 鍵ストアをこの鍵ロケーター用に構成する必要がある場合は、
「Use key store」オプションを選択します。 鍵ストア情報を鍵ロケーター用に構成する必要があるかどうかは、
鍵ロケーター・クラスとアプリケーション構成によって決まります。
例えば、前のステップで鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator を選択した場合は、この鍵ロケーターに対して鍵ストア情報を構成してください。
- 「Key store storepass」フィールドに鍵ストアのパスワードを指定します。 鍵ストアの storepass は、鍵ストア・ファイルへのアクセスに必要なパスワードです。
- 「Key store path」フィールドで、鍵ストア・ファイルへのパスを指定します。 鍵ストア・パスは、鍵ストアが置かれているディレクトリーです。アプリケーションをどこにデプロイする場合でも、サーバーが鍵ストア・ファイルを検出できるようにしておいてください。
- 「Key store type」フィールドから、鍵ストアのタイプを選択します。 選択する鍵ストア・タイプは、「Key store path」フィールドで指定された鍵ストア・ファイルと一致している必要があります。以下の鍵ストアのタイプがサポートされています。
- JKS
- Java™ Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- Java Cryptography Extensions を使用している場合は、このオプションを使用します。
- PKCS11
- 鍵ストアが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。この形式を使用する鍵ストアは、暗号ハードウェアについての RSA 鍵を含んでいるか、
暗号ハードウェアを使用する鍵を暗号化して、保護を確実なものにします。
- PKCS12
- 鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
- 「鍵」フィールドの下にある「追加」をクリックして、
前のステップで指定した鍵ストア・ファイルから鍵項目を追加します。 この鍵は、シグニチャー検証または暗号化解除に使用されます。
ここで指定する鍵は、
生成プログラムのデジタル署名または暗号化に使用される鍵と一致している必要があります。
以下のステップに従って、鍵項目を追加します。
- 「別名」フィールドで、この鍵の別名を指定します。
- 「Key pass」フィールドで、この鍵に関連付けるパスワードを指定します。 このパスワードによって、この鍵で指定される鍵ペアの秘密鍵が保護されます。
- 「Key name」フィールドで鍵の名前を指定します。 鍵の名前は、鍵の所有者の識別名 (DN) を指定します。
- 「OK」をクリックして、鍵ロケーターの構成を保管します。