SSL 認証

WebSphere Business Integration Event Broker の SSL 認証は、相互のユーザー確認のための質問への応答パスワード認証として知られる、認証プロトコルをサポートします。これは、SSL が必要とする公開鍵暗号が、対称秘密鍵暗号に置き換えられる、業界標準 SSL プロトコルの非標準変形です。 このプロトコルは、管理者に対して安全かつ便利である一方、特に公開鍵暗号インフラストラクチャーが すでに他の目的でデプロイされている場合、定義されたとおりに業界標準 SSL プロトコルを使用する ほうがよいでしょう。 SSL の標準化されたバージョンは以下の 2 つです。

非対称 SSL

これは、ほとんどの Web ブラウザーで使用されます。 このプロトコルでは、ブローカーは公開/秘密鍵のペアを持ち、クライアントはブローカーの 公開鍵を知っています。SSL プロトコルは、クライアントがセキュア・セッション鍵により暗号化 されたパスワードを送信して自分自身をブローカーに認証する前に、公開鍵暗号を使用して クライアントにブローカーが認証されるセキュア接続を確立します。

対称 SSL

これは、参加者の両方が公開/秘密鍵のペアを持っています。 SSL プロトコルは、公開鍵暗号を使用して相互認証を達成します。

どちらのインスタンスでも、SSL 認証は SSL プロトコルを接続の存続時間中ずっと保持できるわけではありません。 これは、すべてのメッセージで保護オーバーヘッドを起こす可能性があるためです。 SSL プロトコルは、相互認証を達成し、 メッセージ保護 (メッセージ保護 を参照) が使用する可能性のある共用秘密セッションを確立するのに十分な長さの時間、有効になっています。その後、メッセージは、決められたトピックに指定された保護レベルにしたがって個別に保護されます。

SSL プロトコル・インプリメンテーションでは、ブローカーの秘密鍵の X.509 V3 認証を含み、 またクライアントの公開鍵と他のブローカーも含む可能性のある、公開鍵暗号化標準 (PKCS) ファイルを必要とします。 鍵リング・ファイルと呼ばれるこのファイルには、ブローカーおよびブローカーの証明書を発行し、 署名した信頼できる認証局 (CA) の証明書が最低 1 つ入っているべきです。 SSL の R 形式の場合、鍵リング・ファイルには、クライアントおよび認証が必要になる他のブローカーの 公開鍵、およびこれらの公開鍵をサポートする証明書が入っているかもしれません。 しかし、SSL プロトコルでは公開鍵と証明書の交換が必要なので、 その認証が完了するのを確認するのに十分な共通に信頼できる権限がある限り、 鍵リング・ファイルをこの方法で完全にプライム状態にする必要はありません。

規則にしたがって、鍵リング・ファイルは 2 番目のファイルに保管されるパスフレーズによって暗号化され、保護されます。 パスフレーズ・ファイルは、権限を持たない監視者に公開されないよう、 オペレーティング・システムのメカニズムを使用して注意深く保護することが必要です。 パスフレーズを知る監視者は、鍵リング・ファイルの秘密も知ることができます。 しかし、この方法で保護される必要があるのはパスフレーズ・ファイルのみで、 鍵リング・ファイルはパスフレーズによって保護されます。 機密なのは秘密鍵だけです。 鍵リング・ファイルの他の情報、たとえばブローカーの証明書などは、 セキュリティーの譲歩をしなくても公開できます。

関連概念
セキュリティー

関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
SSL 認証のインプリメント

関連資料
管理用タスクでのセキュリティーの要件