WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

要求署名用クライアントの構成: デジタル・シグニチャー・メソッドの選択

要求署名用クライアントを構成するには、クライアントを構成するときにデジタル署名するメッセージ・パーツを指定します。

始める前に

重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。 この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
次のステップを実行する前に、以下のいずれかのトピックに目を通して、アセンブリー・ツールに含まれる Web サービス・クライアント・エディターの「セキュリティー拡張」タブおよび「ポート・バインディング」タブについて十分理解してください。 これら 2 つのタブは、Web サービス・セキュリティー拡張および Web サービス・セキュリティー・ バインディングをそれぞれ構成するために使用します。 クライアントによって送信されるメッセージのどのパーツにデジタル署名しなければならないかを 指定する必要があります。 詳しくは、要求署名用クライアントの構成: デジタル署名メッセージ・パーツ を参照してください。

このタスクについて

以下のステップを実行して、クライアントを要求署名用に構成するときに、どのメッセージ・パーツにデジタル署名するかを指定します。

プロシージャー

  1. アセンブリー・ツールを起動します。 アセンブリー・ツールの詳細については、 アセンブリー・ツール を参照してください。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「その他」>「J2EE」とクリックします。
  3. アプリケーション・クライアント・プロジェクト」>「application_name」>「appClientModule」>「META-INF」とクリックします。
  4. application-client.xml ファイルを右マウス・ボタンでクリックし、 「開く」>「デプロイメント記述子エディター」と選択し、「WS Binding」タブを クリックします。 クライアント・デプロイメント記述子が表示されます。
  5. Security request sender binding configuration」>「署名情報」と展開します。
  6. 編集」を選択して、署名情報を表示し、 「Signature method algorithm」フィールドからデジタル・シグニチャー・メソッドを選択します。 以下の表で、この情報の目的を説明しています。これらの定義の一部は、XML-Signature 仕様 (Web サイト http://www.w3.org/TR/xmldsig-core にあります) を基にしています。
    名前 目的
    正規化方式アルゴリズム シグニチャー操作の一部としてダイジェストされる前に、<SignedInfo> エレメントを正規化します。
    ダイジェスト方式アルゴリズム <DigestValue> エレメントを生成するために、 変換の適用後にデータに適用されます (指定されている場合)。 <DigestValue> エレメントの署名は、 リソース・コンテンツを署名者鍵に結合します。クライアント要求送信側構成用に選択したアルゴリズムは、サーバー要求受信側構成で選択したアルゴリズムと一致している必要があります。
    シグニチャー方式アルゴリズム 正規化された <SignedInfo> エレメント を <SignatureValue> エレメントに変換します。 クライアント要求送信側構成用に選択したアルゴリズムは、サーバー要求受信側構成で選択したアルゴリズムと一致している必要があります。
    署名鍵名 署名鍵ロケーターに関連付けされた鍵記入項目です。 鍵記入項目とは、鍵の別名のことです。この別名は鍵ストアにあり、これを使用して要求に署名します。
    署名鍵ロケーター 別名および証明書が存在する正しい鍵ストアを検出する、 鍵ロケーターのインプリメンテーション・クラスを参照します。
  7. オプション: FIPS 準拠アルゴリズムのみを「Digest method algorithm」および「Signature method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で稼働させる場合のオプションです。

結果

重要: クライアントおよびサーバーの署名情報が正しく構成されているにもかかわらず、 クライアントの実行時に Soap body not signed エラーを受信した場合には、 アクターを構成する必要がある場合があります。アセンブリー・ツールの Web サービス・クライアント・エディター において、クライアント上の以下の場所でアクターを構成できます。
  • Security extensions」>「Client service configuration details」とクリックして、「アクター URI」フィールドにアクター情報を指示します。
  • Security extensions」>「Request sender configuration」>「詳細」とクリックして、「アクター」フィールドで actor 情報を示します。
要求を処理して応答を戻すサーバー上の Web サービスについて、 同じアクター・ストリングを構成する必要があります。アクターの構成は、 アセンブリー・ツールの Web サービス・エディターの以下の場所で 行います。
  • Security extensions」>「Server service configuration」とクリックします。
  • Security extensions」>「Response sender service configuration details」>「詳細」とクリックして、「アクター」フィールドで actor 情報を指示します。

クライアントおよびサーバー上のアクター情報は、両方ともまったく同一のストリングである 必要があります。クライアントおよびサーバーの 「アクター」フィールドが一致する場合には、 要求または応答はダウンストリームに転送されることなく、処理されます。 他の Web サービスのゲートウェイとして動作する Web サービスがある場合は、「アクター」フィールドが異なる場合があります。 ただし、そのような Web サービスがない場合には、 アクター情報がクライアントとサーバーで一致していることを必ず確認してください。Web サービスがゲートウェイとして機能しており、 それらの Web サービスに、そのゲートウェイを介して渡される要求として構成された同じアクターがない場合には、 Web サービスはクライアントからのメッセージを処理しません。 代わりに、これら Web サービスは、その要求をダウンストリームへ送信します。 正しいアクター・ストリングを含む ダウンストリーム・プロセスによって、要求が処理されます。応答でも同じ状況が発生します。 したがって、該当するクライアントとサーバーの 「アクター」フィールドが同期化されていることを確認することが重要です。

クライアントがメッセージをサーバーに送信する時に、どのメソッドをメッセージのデジタル署名に使用するかを指定しました。

次の作業

メッセージをデジタル・シグニチャーするようにクライアントを構成すると、 デジタル・シグニチャーを検証するようにサーバーを構成する必要があります。 詳しくは、要求デジタル・シグニチャー検証用サーバーの構成: メッセージ・パーツの検証 を参照してください。



関連概念
XML デジタル・シグニチャー
要求送信側
要求受信側
セキュリティー・トークン
鍵ロケーター
関連タスク
アセンブリー・ツールを使用したクライアント・セキュリティー・バインディングの構成
管理コンソールを使用してサーバー上のセキュリティー・バインディングをクライアントとして動作するように構成する
要求署名用クライアントの構成: デジタル署名メッセージ・パーツ
要求デジタル・シグニチャー検証用サーバーの構成: メッセージ・パーツの検証
アセンブリー・ツールを使用した鍵ロケーターの構成
管理コンソールを使用した鍵ロケーターの構成
XML ディジタル・シグニチャーを使用したバージョン 5.x アプリケーションの Web サービスの保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/twbs_confclreqsignmeth.html