WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

アプリケーション・レベルでのコンシューマー・バインディングのコレクション証明書ストアの構成

コレクション証明書ストアは、ルート以外の認証局 (CA) 証明書および証明書取り消しリスト (CRL) の集合です。 この CA 証明書および CRL の集合は、 デジタル署名された Simple Object Access Protocol (SOAP) メッセージの有効なシグニチャーの検査で使用します。

このタスクについて

コレクション証明書ストアは、ルート以外の認証局 (CA) 証明書および証明書失効リスト (CRL) の集合で、デジタル署名された Simple Object Access Protocol (SOAP) メッセージの有効なシグニチャーの検査で使用できます。 以下のステップを実行して、 コンシューマー・バインディングのコレクション証明書をアプリケーション・レベルで構成します。

プロシージャー

  1. 管理コンソールで 「collection certificate store」構成パネルを見付けます。
    1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
    2. 「関連項目」の下で「EJB モジュール」または「Web モジュール」>「URI_name」とクリックします。
    3. 「追加プロパティー」の下で、応答コンシューマーおよび要求コンシューマー・バインディングのコレクション証明書ストア情報にアクセスすることができます。
      • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
      • 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
    4. 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
  2. 新規」をクリックしてコレクション証明書ストア構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存のコレクション証明書ストア構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「Certificate store name」フィールドに名前を入力します。

    コレクション証明書ストアの名前は、 アプリケーション・サーバーのレベルに対して固有でなければなりません。 例えば、コレクション証明書ストアをアプリケーション・レベルで作成する場合は、 ストア名はアプリケーション・レベルに対して固有でなければなりません。 「Certificate store name」フィールドで指定された名前は、 事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。 WebSphere Application Server は、 接近性に基づいてコレクション証明書ストアを検索します。

    例えば、アプリケーション・バインディングが、 cert1 という名前のコレクション証明書ストアを参照する場合、 Application Server は、サーバー・レベルを検索する前に、 アプリケーション・レベルで cert1 を検索します。

  3. 「証明書ストア・プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。 WebSphere Application Server は、 IBMCertPath 証明書ストア・プロバイダーをサポートします。 別の証明書ストア・プロバイダーを使用する場合は、 install_dir/java/jre/lib/security/java.security ファイル内にある プロバイダー・リストでプロバイダー実装を定義する必要があります。 ただし、 そのプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートすることを確認してください。
  4. OK」および「保管」をクリックして、構成を保管します。
  5. 証明書ストア構成の名前をクリックします。 証明書ストア・プロバイダーを指定した後、 証明書失効リストの場所または X.509 証明書のいずれかを指定する必要があります。 ただし、証明書失効リストおよび X.509 証明書を両方とも証明書ストア構成に対して指定することができます。
  6. 「追加プロパティー」の下の「Certificate revocation lists」をクリックします。
  7. 新規」をクリックして証明書失効リストのパスを指定するか、 「削除」をクリックして既存のリスト参照を削除するか、 あるいは既存の参照名をクリックしてパスを編集します。 WebSphere Application Server が 無効な証明書のリストを見付けることができる場所への完全修飾パスを指定する必要があります。 移植性という理由から、 証明書失効リスト (CRL) への相対パスを指定する場合は、 WebSphere Application Server 変数を使用することをお勧めします。 WebSphere Application Server Network Deployment 環境で作業をしている場合は、この推奨事項が特に重要です。 例えば、USER_INSTALL_ROOT 変数を使用して、 $USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義する場合があります。 サポートされている変数のリストについては、 管理コンソールで「環境」>「WebSphere 変数」とクリックします。 以下のリストに、証明書失効リストの使用に関する推奨事項を示します。
    • CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が 発行者の CRL に対して検査されます。
    • CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
    • CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。 コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
  8. OK」および「保管」をクリックして、構成を保管します。
  9. 「コレクション証明書ストア」構成パネルに戻ります。 「collection certificate store」パネルを見付けるには、 この項目の最初のいくつかのステップを参照してください。
  10. 「追加プロパティー」の下の「X.509 certificates」をクリックします。
  11. 新規」をクリックして X.509 証明書の新規構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の X.509 証明書構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「Certificate store name」フィールドに名前を入力します。
  12. 「X.509 certificate path」フィールドにパスを指定します。 このエントリーは、X.509 証明書の場所への絶対パスです。 コレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。

    USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。 例えば、USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer と入力できます。 この証明書パスは、実動用には使用しないでください。 WebSphere Application Server 環境を実動させる前に、 認証局からユーザー独自の X.509 証明書を取得する必要があります。

    管理コンソールで「環境」>「WebSphere 変数」とクリックして、 「USER_INSTALL_ROOT」変数を構成します。

  13. OK」をクリックしてから「保管」をクリックして、構成を保管します。

結果

これで、コンシューマー・バインディングのコレクション証明書ストアが構成されました。

次の作業

この証明書ストア構成を参照するトークン・コンシューマーの構成を行う必要があります。



関連タスク
アプリケーション・レベルでのジェネレーター・バインディングのコレクション証明書ストアの構成
JAX-RPC を使用したプラットフォーム・レベルでの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/twbs_colcertstconsapp.html