アプリケーション・レベルでコンシューマー・バインディングのトラスト・アンカーを構成できます。
このタスクについて
この項目では、サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。
アプリケーション・レベルで定義された
トラスト・アンカーは、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。
サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、
サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成
を参照してください。
アプリケーション・レベルのトラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。この項目では、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
トラスト・アンカーは、署名者の証明書を妥当性検査するトラステッド・ルート認証局 (CA) 証明書を含む鍵ストアを指定します。
これらの鍵ストアは、要求コンシューマー (ibm-webservices-bnd.xmi ファイルで定義) および
応答コンシューマー (Web サービスがクライアントとして動作する場合、ibm-webservicesclient-bnd.xmi ファイルで定義) によって使用され、SOAP メッセージにおける X.509 証明書の妥当性を検査します。
鍵ストアは、デジタル・シグニチャー検証の保全性のために、きわめて重要です。鍵ストアが改ざんされると、
デジタル・シグニチャー検査の結果が疑わしくなり、信頼性が薄れます。
したがって、これらの鍵ストアを保護することをお勧めします。
ibm-webservices-bnd.xmi ファイルで要求コンシューマー用に指定されているバインディング構成は、
ibm-webservicesclient-bnd.xmi ファイルで応答コンシューマー用に指定されているバインディング構成と一致している必要があります。
サーバー・サイドの要求コンシューマーのトラスト・アンカー構成は、クライアント・サイドの要求ジェネレーター構成と一致している必要があります。
また、クライアント・サイドの応答コンシューマーのトラスト・アンカー構成は、サーバー・サイドの応答ジェネレーター構成と
一致している必要があります。
アプリケーション・レベルでコンシューマー・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。
プロシージャー
- 管理コンソールのトラスト・アンカー・パネルを見つけます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「関連項目」の下で「EJB モジュール」または「Web モジュール」>「URI_name」とクリックします。
- 「追加プロパティー」の下で、以下のバインディングのトラスト・アンカー構成にアクセスすることができます。
- 要求コンシューマー (受信側) バインディングについては、「Web サービス:
サーバー・セキュリティーのバインディング」をクリックします。
「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「Trust anchors」をクリックします。
- トラスト・アンカー構成の処理を行うには、以下のいずれかをクリックしてください。
- 新規
- トラスト・アンカー構成を作成します。
「トラスト・アンカー名」フィールドに固有の名前を入力します。
- 削除
- 既存のトラスト・アンカー構成 (隣のボックスで選択されている) を削除します。
- 既存のトラスト・アンカー構成
- 既存のトラスト・アンカー構成の設定を編集します。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。
トラスト・アンカー鍵ストア・ファイルには、
デジタル・シグニチャーまたは XML 暗号化に使用される X.509 証明書の妥当性検査に使用される
トラステッド・ルート認証局 (CA) 証明書が含まれています。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。
このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 鍵ストア・ファイルのロケーションを、「鍵ストア・パス」フィールドに指定します。
- 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。
IBM で使用されている Java Cryptography Extension (JCE) は以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography Extensions (JCE) を使用していない場合、
かつ鍵ストア・ファイルで Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
- PKCS11KS (PKCS11)
- 鍵ストア・ファイルで PKCS#11 ファイル・フォーマットを使用する場合は、このフォーマットを使用します。
このフォーマットを使用する鍵ストア・ファイルには、
暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
WebSphere Application Server の ${USER_INSTALL_ROOT}/etc/ws-security/samples
ディレクトリーにいくつかのサンプルの鍵ストア・ファイルが用意されています。
例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは storepass で、タイプは JCEKS です。
重要: これらの鍵ストア・ファイルは実稼働環境では使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
結果
アプリケーション・レベルでコンシューマー・バインディングのトラスト・アンカーが
構成されました。
次の作業
ジェネレーターに対しても、同様のトラスト・アンカー情報を指定する必要があります。