WS-Security ポリシーの作成
ポリシーを作成し、トークンを追加するには、WebSphere Message Broker Explorer を使用して、以下のステップを実行します。
- ブローカー (MB8BROKER) を右クリックして、「プロパティー」>「セキュリティーおよびポリシー」を選択し、「ポリシー・セット」をクリックします。
- 左のメニューで「ポリシー・セット」を選択し、「追加」をクリックしてデフォルト名で新規項目を作成します。
ポリシー・セットを名前変更するには、それを選択して新しい名前を「下のフィールドを使用して、このポリシー・セットを名前変更します」の下に入力します。
それから「名前変更」をクリックします。
- 「下のボタンを使用して、このポリシー・セットに対するポリシー・タイプの追加および削除をします」の下の「WS-Security の追加」をクリックします。
- ご使用のポリシー・セットを展開します。
WS-Security を展開します。
「メッセージ・レベル保護」を選択します。
「メッセージ・レベルの保護」チェック・ボックスを選択します。
「セキュリティー・ヘッダー内にタイム・スタンプを組み込みます」を選択します。
「セキュリティー・ヘッダーのレイアウト」を「厳格 - 宣言は使用に先行しなければならない」に設定します。
- 「メッセージ・レベル保護」を展開します。
「トークン」を選択します。(2 つのトークンが必要です。1 つはプロバイダーの証明書を表すもの、1 つはコンシューマーの証明書を表すものです。)
- 「追加」をクリックして、「非対称トークン」を追加します。
「トークン名」に、initToken を入力します。
「トークンのタイプ」を「起動側」に設定します。
「WS-Security のバージョン」を 1.0 に設定します。
「X.509 のタイプ」を 「X.509 バージョン 3」に設定します。
- 2 番目のトークンを追加するには、「追加」をクリックします。
「トークン名」に、名前 recipToken を入力します。
「トークンのタイプ」を「受信側」に設定します。
「WS-Security のバージョン」を 1.0 に設定します。
「X.509 のタイプ」を 「X.509 バージョン 3」に設定します。
トークン名 |
トークンのタイプ |
WS-Security のバージョン |
X.509 バージョンのタイプ |
initToken |
起動側 |
1.0 |
X.509 バージョン 3 |
recipToken |
受信側 |
1.0 |
X.509 バージョン 3 |
- 「メッセージ・レベル保護」の下で、「アルゴリズム」を選択します。
「アルゴリズム・スイート」を Basic128Rsa15 に設定します。
残りの値は、デフォルトのままにしておきます。
- 「メッセージ・パート保護」を選択します。
- 「名前とセキュリティー・タイプ、SOAP メッセージ、メッセージ本体」表で、
以下の表に示されているように、「追加」をクリックしてパートを作成します。
名前 |
セキュリティー・タイプ |
SOAP メッセージ |
メッセージ本体 |
app_encparts_response |
暗号化 |
応答 |
Yes |
app_signparts_response |
シグニチャー |
応答 |
Yes |
app_encparts_request |
暗号化 |
要求 |
Yes |
app_signparts_request |
シグニチャー |
要求 |
Yes |
- 「メッセージ・パート保護」を展開します。
QName を選択して、QName をセットアップします。
(ポリシーのこのセクションでは、WS-Addressing ヘッダーにサインが必要なことを指定します。
WS-Addressing は 2 つのアドレッシング・ネーム・スペースを使用するので、応答用および要求用に 2 つの項目が必要となります。)
- 「QNames」表で、以下の表に示されているように、「追加」をクリックして QNames を作成します。
名前 |
ローカル・パート |
ネーム・スペース |
app_signparts_response |
<空> |
http://schemas.xmlsoap.org/ws/2004/08/addressing |
app_signparts_response |
<空> |
http://www.w3.org/2005/08/addressing |
app_signparts_request |
<空> |
http://schemas.xmlsoap.org/ws/2004/08/addressing |
app_signparts_request |
<空> |
http://www.w3.org/2005/08/addressing |
- 「メッセージ・パーツ保護」の下で「XPath」を選択し、XPath 式をセットアップします。
(必要な XPath 式はすべて、ブローカー内に作成されます。
ポリシーのこのセクションでは、どのパートにサインが必要か、また、事前定義された XPath 式を使用して、どのパートに暗号化が必要かが指定されます。
メッセージの特定のパートを変更する場合は、独自の XPath を記述できます。)
- 「XPath 式」表で、以下の表に示されているように、「追加」をクリックして XPath をステップ 10 で作成した各パートに関連付けます。
名前 |
XPath |
app_encparts_response |
エンベロープ、ヘッダー、セキュリティー、シグニチャー |
app_signparts_response |
エンベロープ、ヘッダー、セキュリティー、タイム・スタンプ |
app_encparts_request |
エンベロープ、ヘッダー、セキュリティー、シグニチャー |
app_signparts_request |
エンベロープ、ヘッダー、セキュリティー、タイム・スタンプ |
- 「終了」をクリックして、作成したポリシーを保存します。
これで、セキュリティー・ポリシーのセットアップが完了しました。
クライアントとサーバーは同じポリシーを使用して、それらが相互運用可能となるようにします。
ポリシーを作成および適用するために「サンプルの拡張」に戻る
「Address Book サンプルの拡張」に戻る
サンプルのホームに戻る