Secure Socket Layer (SSL) サポートの使用

このトピックでは、IMS リソース・アダプターおよび IMS Connect で Secure Socket Layer (SSL) サポートを使用する方法について説明します。

以下の表では、IMS Connector for Java および IMS Connect SSL サポートを設定および構成する方法について、 概要を説明します。記載されている順序に従って、ステップを実行してください。
SSL クライアント (IMS Connector for Java) SSL サーバー (IMS Connect)
  1. クライアント認証が必要かどうかを決定します。クライアント認証が不要な場合は、ステップ 5 にスキップします。
2. クライアント認証が必要な場合は、署名付き証明書および秘密鍵を取得します。  
3. クライアント認証が必要な場合は、鍵ストアを作成し、クライアントの秘密鍵および証明書を挿入します。詳しくは、以下の説明を参照してください。  
  4. クライアント認証が必要な場合は、IMS Connect で使用する鍵リングにクライアントの公開鍵証明書を挿入します。詳しくは、「IMS Connect 手引きおよび解説書」(SC88-8911) を 参照してください。
5. トラストストア (別の鍵ストア) を作成し、サーバーの公開鍵証明書を挿入します。  
  6. 使用する IMS Connect SSL ポートを決定します。適切な値を使用して IMS Connect および SSL 構成メンバーをセットアップしてください。 構成メンバーのセットアップについて詳しくは、 「IMS Connect 手引きおよび解説書」(SC88-8911) を 参照してください。
7. IMS Connect SSL ポート番号を取得します。  
8. 適切な SSL パラメーターを使用して接続ファクトリーをセットアップします。詳しくは、以下の説明を参照してください。  
9. アプリケーションを SSL 接続ファクトリーにバインドします。  

クライアントの鍵ストアまたはトラストストアの作成

クライアントおよびサーバーが相互に認証するようにするには、 クライアント側とサーバー側の両方で、JKS 鍵ストアまたは SAF 鍵リングに有効な X.509 証明書を設定する必要があります。 IMS Connector for Java および IMS Connect は、その鍵ストアとして JKS 鍵ストアまたは SAF 鍵リングを使用することができます。サーバーによるクライアント認証が不要な場合には、クライアント証明書を作成してそれをサーバーの鍵リングまたは鍵ストアに追加する必要はありません。 鍵ストアの管理に使用できるツールは、いくつかあります。クライアント側とサーバー側の両方に JKS 鍵ストアを設定するには、以下のステップを実行する必要があります。
  • クライアントを設定するには、証明書を作成し、CA (VeriSign など) の署名を付けるか、または OpenSSL などのソフトウェアを使用して独自の CA を作成し、証明書に署名します。
  • 鍵ストアを作成するには、Ikeyman や Keytool などの鍵管理ツールを使用します。鍵ストアを作成したら、クライアント証明書 (使用可能な場合) を鍵ストアにインポートします。
  • トラストストアを作成するには、別の鍵ストアを作成し、サーバー証明書をインポートします。 : 鍵ストアを 1 つのみ作成する場合は、クライアント証明書と同じ鍵ストアにサーバー証明書をインポートします。

SSL 構成

Java クライアント・アプリケーションと IMS Connect の間でセキュア SSL 接続を作成するには、SSL プロパティーを使用します。 IMS Connector for Java に設定する必要がある値の説明については、 『接続プロパティー』を参照してください。

SSL プロパティーは、2 つの方法で設定できます。

  1. Rational Application Developer (開発環境) のツールを使用して、非管理対象アプリケーションで使用する接続プロパティーの値を指定することができます。 また、Rational Application Developer のウィザードを使用して、Rational Application Developer がテスト環境サーバー、または WebSphere Application Server の独立型サーバー・インスタンスに作成した新規接続ファクトリーに接続プロパティーの値を指定することができます。 Rational Application Developer は、WebSphere® Application Server にインストールされた Java™ クライアント・アプリケーションの接続ファクトリー・リソース参照を、接続ファクトリーの JNDI 名 を指定することにより、SSL 構成の接続ファクトリーにマップまたはバインドします。次の図は、IMS™ 接続プロパティー・インターフェースを示しています。

    IMS 接続プロパティー・インターフェースの画面取り

  2. WebSphere Application Server の接続ファクトリーの「カスタム・プロパティー」ページを使用できます。 開発とデプロイメントのプロセスがそれぞれ独立していて、デプロイメント時に接続ファクトリーを構成する場合に、この方法を使用します。

    実行時環境では、クライアントによって作成された接続ファクトリーを使用して、セキュア・ソケット接続が設定されます。以下の図に、SSL に関連するカスタム・プロパティーを示します。
    接続ファクトリー・プロパティー・シートの画面取り

: 通知メッセージおよび警告については、サーバーによって生成された trace.log ファイルを参照してください。

実行時に、Java クライアント・アプリケーションが IMS との対話を実行すると、セキュア (SSL) 接続を介して 対話が IMS Connect に送られます。この後のステップは、Java クライアント・アプリケーションに対して透過的に行われます。IMS リソース・アダプターは SSL プロトコルを使用して、 以下のように IMS Connect と対話します。
  • IMS Connector for Java はクライアントに hello を送信して、接続を開始します。サーバーはサーバー hello および証明書を返します。
  • サーバーがクライアント認証を必要としない場合、クライアントは、トラストストアから得られたサーバーの公開鍵を使用して、サーバーの証明書を認証します。認証に成功すると、SSL ハンドシェークが完了します。セッション鍵が両端で確立されます。
  • サーバーがクライアント認証を必要とする場合、クライアントは、トラストストアから得られたサーバーの公開鍵を使用して、サーバーの証明書を認証します。この認証が正常に行われると、クライアント証明書がクライアントの鍵ストアから送られます。サーバーによってこの証明書が正常に認証されると、SSL ハンドシェークが完了します。セッション鍵が両端で確立されます。
  • これで、クライアントおよびサーバーは暗号化されたデータを送受信する準備ができます。
関連概念
IMS リソース・アダプター・セキュリティー
コンポーネント管理 EIS サインオン
コンテナー管理 EIS サインオン
Secure sockets layer (SSL) の概要
関連タスク
コンポーネント管理 EIS サインオンの構成
コンテナー管理 EIS サインオンの構成
ご利用条件 | フィードバック
(C) Copyright IBM Corporation 2000, 2005. All Rights Reserved.
(C) Copyright IBM Japan 2005.