クライアントおよびサーバーの両方の構成で、暗号トークンのサポートを構成できます。
Java クライアント・アプリケーションを構成するには、sas.client.props 構成ファイルを使用します。
WebSphere Application Server を構成するには、URL http://server_hostname:port_number/ibm/console を指定して、管理コンソールを開始します。
始める前に
デフォルトでは、sas.client.props ファイルは、
WebSphere Application Server インストール済み環境の
profile_root/properties/ ディレクトリーに置かれています。
暗号デバイスをインストールするには、ご使用のデバイスに付属されている資料の説明に従ってください。
IBM 暗号ハードウェア・デバイスの場合、インストールの説明は
セキュリティー: 学習用リソース
の『管理』セクションにあります。
注:
「グローバル・セキュリティー」管理コンソール・パネルで連邦情報処理標準 (FIPS) オプションが使用可能になっている場合、暗号トークン装置を使用することはできません。
重要: 暗号トークン装置を使用した鍵管理に iKeyman を使用するには、
app_server_root/java/jre/lib/security/java.security ファイルを編集する必要があります。
com.ibm.crypto.pkcs11.provider.IBMPKCS11 を含む行のコメントを外します。
WebSphere Application Server のランタイムは、ハードウェア暗号サポートに IBMPKCS11 プロバイダーではなく IBMPKCS11Impl プロバイダーを使用します。
IBMPKCS11Impl プロバイダーについて詳しくは、
DeveloperWorks の「Security Information」(Web サイト) を参照してください。
この Web サイトで、
該当の Java 2 Platform, Standard Edition (J2SE) 版を選択して、
IBMPKCS11Impl 資料をお読みください。Intel 32 ビット・デバッグ・プラットフォーム、
z/OS64、および AMD 64 用の J2SE 1.4.2 は、この資料の対象外です。
注: Solaris オペレーティング環境で暗号トークン装置を使用するには、
app_server_root/java/jre/lib/security/java.security ファイルを編集する必要があります。
com.ibm.crypto.pkcs11.provider.IBMPKCS11 を含む行のコメントを外します。デフォルトでは、アルゴリズム MD4 が IBMPKCS11 プロバイダーにないため、その行はコメント化されています。
プロシージャー
- 暗号トークンを使用するようにクライアントを構成するには、
sas.client.props ファイルを編集して、以下のプロパティーを設定します。
鍵ストアとして暗号トークンのみを使用する場合は、Secure Sockets Layer (SSL) の構成の
「KeyStore File Name」、「KeyStore
File Password」、「TrustStore File Name」、および「TrustStore File Password」の各フィールドをブランクにしてください
(またはプロパティー名の前に番号記号 (# ) を使用して、com.ibm.ssl.trustStore、com.ibm.ssl.trustStorePassword、com.ibm.ssl.keyStore、
および com.ibm.ssl.keyStorePassword の各プロパティーをコメント化してください)。
- com.ibm.ssl.tokenType
- 暗号トークンにインプリメントされる組み込みの鍵ストア・ファイルのタイプを指定します。
(例えば、com.ibm.ssl.tokenType=PKCS¥#11 など)。
有効な値は、PKCS¥#7、PKCS¥#11、PKCS¥#12、
および MSCAPI です。
- com.ibm.ssl.tokenLibraryFile
- PKCS#7 トークンおよび PKCS#12 トークンの場合はトークン・ファイル名を指定し、PKCS#11 および MSCAPI トークンの場合は、ライブラリー名を指定します。
暗号トークン・デバイスがインストールされていることと、
作成した暗号トークンを使用して正しく機能していることを確認してください。
- com.ibm.ssl.tokenPassword
- 暗号トークンをアンロックするパスワードを指定します。
- 暗号デバイスを使用するようにサーバーを構成します。
鍵ストアとして暗号トークンのみを使用する場合は、SSL の構成の
「KeyStore File Name」、「TrustStore File Password」、
「TrustStore File Name」、「TrustStore File Password」の各フィールドをブランクにしてください。
「Security」>「SSL」>「alias」をクリックすると、既存の構成を変更することができます。
別名を指定し、「暗号トークン」オプションを選択する必要があります。
次の指示では、新規暗号デバイスのための WebSphere Application Server の構成方法を説明しています。
- 管理コンソールを開始するには、http://server_hostname:port_number/ibm/console
を指定します。
- 「セキュリティー」>「SSL」とクリックして、
「SSL 構成レパートリー」パネルを開きます。
既存の SSL レパートリー項目を変更してハードウェア暗号装置を使用するように変換するか、あるいは新規構成の新規 SSL レパートリー項目を作成するかを決定する必要があります。
前者のアプローチは、構成内の他の場所で別名参照を変更する必要は一切ないため、最も容易です。
各プロトコルは、既に既存のエイリアスを参照しているため、新規の構成を選択します。
後者は、新規のエイリアスによって参照される必要のあるすべての場所を変更しない可能性があるため、若干難しくなります。
ただし、暗号トークン装置を実際に使用するプロトコルを、より細かく制御することができます。
特定のプロトコルで暗号トークン装置を使用する場合は、その暗号トーク
ン装置に対する新規 SSL レパートリーを作成し、その後、新規 SSL レパー
トリーのエイリアスを、特定のプロトコルの SSL 構成に関連付けます。
- デフォルトを使用しない場合は、「新規 JSSE レパートリー」をクリックして、新規 SSL 設定エイリアスを作成します。
- 新規暗号装置の「エイリアス」フィールドにエイリアス名を入力します。
暗号装置を構成すると、エイリアスが Secure Sockets Layer (SSL) 構成レパートリー・パネルに表示されるようになります。このパネルにアクセスするには、
「セキュリティー」>「SSL」をクリックします。
- 「暗号トークン」チェック・ボックスを選択し、「OK」をクリックします。
「暗号トークン - 一般プロパティー」パネルが表示されます。
- 「トークン・タイプ」への情報の記入を完了して、
暗号トークンにインプリメントされる組み込み鍵ストア・ファイルのタイプを指定します。
有効な値は、PKCS#7、PKCS#11、PKCS#12、または MSCAPI です。
-
「ライブラリー・ファイル」に情報を入力して、暗号デバイス・ドライバーのパスを指定します。
暗号トークン・デバイスがインストールされていることと、新規の暗号トークンを使用して正しく機能することを
確認してください。
- 「パスワード」に情報を入力して、
暗号デバイスをアンロックするためのパスワードを指定します。
- 「OK」をクリックします。
このアクションによって、このエイリアスの「SSL 構成レパートリー - 一般プロパティー」パネルが戻されます。
- オプションで暗号トークン装置の特定のトークン・スロットを構成するには、「SSL 構成レパートリー - 一般プロパティー」パネルから「カスタム・プロパティー」をクリックします。
新規のプロパティー名 com.ibm.ssl.tokenSlot、および、スロット番号 (例えば 0) を含めたプロパティー値を追加します。
オプションで、構成スロット内で特定のインバウンド証明書エイリアス (サーバー・トランスポート用に選択されたエイリアス) の選択を構成するには、新規プロパティー名 com.ibm.ssl.keyStoreServerAlias、および、iKeyMan によってスロットを表示したときに表示される証明書エイリアス名と同じプロパティー値を追加します。
オプションで、構成スロット内で特定のアウトバウンド証明書エイリアス (クライアント・トランスポート用に選択されたエイリアス) の選択を構成するには、新規プロパティー名 com.ibm.ssl.keyStoreClientAlias、および、例えば iKeyMan によってスロットを表示したときに表示される証明書エイリアス名と同じプロパティー値を追加します。
「OK」をクリックして「カスタム・プロパティー」パネルを終了し、「SSL 構成レパートリー - 一般プロパティー」パネルに戻ります。
- SSL 構成がトランスポートに関連付けられている場合は、適切な署名者がトラストストアまたは暗号トークン装置に追加されており、構成されているすべてのサーバーに接触することができることを確認します。
例えば、任意の Common Secure Interoperability バージョン 2 (CSIv2)
アウトバウンド・トランスポートは、接続先のすべての CSIv2 インバウンド・トランスポートの署名者を所有します。
すべての CSIv2 インバウンド鍵ストア (または暗号トークン装置) は、CSIv2 アウトバウンド・トラストストア (または暗号トークン装置) に対する署名者として、抽出および追加された個人証明書の公開鍵を所有している必要があります。
- 以下のセクションでは、WebSphere Application Server 構成における SSL 構成レパートリー・エイリアスの使用場所をリストしています。
HTTP および Java Message Service (JMS) を含む、新規 Network Input Output (NIO) チャネル・チェーンを使用するトランスポートの場合は、各サーバーの以下のロケーションから、エイリアスを変更することができます。
オブジェクト・リクエスト・ブローカー (ORB) SSL トランスポートの場合は、以下のロケーションにある SSL 構成レパートリー・エイリアスを変更することができます。
これらは、WebSphere Application Server および WebSphere Application Server Express のサーバー・レベル、および WebSphere Application Server Network Deployment のセル・レベルの構成です。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 インバウンド・トランスポート」をクリックします。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で「認証プロトコル」>「CSIv2 アウトバウンド・トランスポート」とクリックします。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、
「認証プロトコル」>「SAS インバウンド・トランスポート」をクリックします。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下で、「認証プロトコル」>「SAS アウトバウンド・トランスポート」とクリックします。
SOAP Java Management Extensions (JMX) 管理トランスポートの場合は、
「
サーバー」>「
アプリケーション・サーバー」>「
server_name」をクリックして、SSL 構成レパートリー・エイリアスを変更することができます。
-
「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。
- 「追加プロパティー」の下の「JMX コネクター」>「SOAPConnector」とクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
- sslConfig プロパティーで新規エイリアスを指し示す場合は、「sslConfig」をクリックしてから、「値」フィールドでエイリアスを選択します。
Lightweight Directory Access Protocol (LDAP) SSL トランスポートの場合は、「セキュリティー」>「グローバル・セキュリティー」とクリックして、SSL 構成レパートリー・エイリアスを変更することができます。「ユーザー・レジストリー」の下の「LDAP」をクリックします。
- このエイリアスの SSL 設定の構成を終了します。ハードウェア暗号トークンを使用している場合は、タイプ IBMJSSE2 の Java Secure Sockets Extension
(JSSE) プロバイダーを使用する必要があります。IBMPKCS11Impl プロバイダーは IBMJSSE2 とともに使用する場合にのみ、正常に動作します。
- これで、「SSL 構成レパートリー」パネルのエイリアスの構成が終了しました。次に、そのエイリアスを使用する必要がある各プロトコルに、エイリアスを関連付ける必要があります。
既存のエイリアスを編集した場合は、既に SSL プロトコルに関連付けられているため、変更を行う必要はありません。
ただし、新規エイリアスを作成し、この既存のエイリアスの関連付けを再調整する場合は、次のステップに進んでください。
- ステップ a. から l. までを繰り返して、既存の SSL 構成レパートリーを編集するか、あるいは新規の SSL 構成レパートリーを作成して、IBMJSSE2 プロバイダーによって使用される暗号トークン構成を作成します。
- 「OK」をクリックして、このエイリアスの SSL 構成レパートリーの編集を完了します。
結果
SSL によって使用される暗号機能のための暗号トークン装置の利点を活用するように、WebSphere Application Server 構成は構成されています。 この構成によって、ネットワークを介して転送されるデータの保護に SSL が使用される場合に、ソフトウェアの暗号化の際のシステム・パフォーマンスを向上させることができます。
例
WebSphere Application Server は、暗号トークンを SSL 接続用の鍵ストア・ファイルとして使用します。
次の作業
サーバー構成が変更された場合は、構成済みサーバーを再始動する必要があります。