アセンブリー・ツールを使用して、アプリケーション・レベルでコンシューマー・バインディングの
コレクション証明書ストアを指定できます。
応答コンシューマーはクライアントに対して構成され、要求コンシューマーはサーバーに対して構成されます。
このタスクについて
このタスクでは、アセンブリー・ツールを使用して、アプリケーション・レベルでコンシューマー・バインディングの
コレクション証明書ストアを指定するステップについて説明します。
コレクション証明書ストア は、受け取った SOAP メッセージ内に組み込まれた X.509 証明書を検証するために使用される、
ルート以外の認証局 (CA) 証明書および証明書失効リスト (CRL) の集合です。
以下のステップを実行します。ステップ 2 でのクライアント・サイドのバインディング、またはステップ 3 でのサーバー・サイドのバインディングを構成する必要があります。
プロシージャー
- アセンブリー・ツールを開始します。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。
「Client Deployment Descriptor」ウィンドウが表示されます。
この Web サービスに、構成が必要なバインディングが含まれています。
以下のステップを実行して、クライアント側のバインディングを見つけます。
- 「Web サービス」 > 「クライアント」セクションを展開し、Web サービスの名前をダブルクリックします。
- 「WS Binding」タブをクリックし、「Security Response
Consumer Binding Configuration」セクションを展開します。
- オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。
「Web Services Editor」ウィンドウが表示されます。
この Web サービスに、構成が必要なバインディングが含まれています。
以下のステップを実行して、
サーバー側のバインディングを見つけます。
- 「Web サービス」>「サービス」セクションを展開し、Web サービスの名前をダブルクリックします。
- 「Binding Configurations」タブをクリックして、
「Request Consumer Binding Configuration Details」セクションを展開します。
- 「Certificate Store List」>「Collection Certificate Store」とセクションを展開し、
「追加」をクリックします。
- 「名前」フィールドで、固有の証明書ストア名を指定します。
例えば、cert1 のように指定します。コレクション証明書ストアの名前は、
それが定義されるレベルで固有のものでなければなりません。例えば、この名前は
アプリケーション・レベルで固有でなければなりません。「certificate
store name」フィールドで指定される名前は、事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。
WebSphere Application Server は、接近性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが証明書ストア cert1 を参照する場合、WebSphere Application Server は、
アプリケーション・レベルの cert1 を最初に探します。これが検出されない場合、サーバー・レベルで探し、
最終的にはセル・レベルで探します。
- 「プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。
IBMCertPath 証明書パス・プロバイダーがサポートされています。別の証明書パス・プロバイダーを使用する場合、
Software Development Kit (SDK) の java.security ファイル内にあるプロバイダー・リストで
プロバイダー・インプリメンテーションを定義する必要があります。
- X509 証明書の下で、「追加」をクリックし、X.509 証明書への完全修飾パスを指定するか、
既存の証明書パス項目の名前をクリックして編集するか、
「除去」をクリックして削除します。 このコレクション証明書ストアは、
着信 X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。
例えば、${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer と指定できます。
ただし、実動用としてこの X.509 証明書パスを使用しないでください。WebSphere Application Server 環境を実動させる前に、
認証局からユーザー独自の X.509 証明書を取得してください。
WebSphere
Application Server 管理コンソールで、「環境」>
「WebSphere 変数」をクリックして、USER_INSTALL_ROOT 変数を構成します。
- CRL の下で「追加」をクリックして、証明書失効リスト (CRL) への完全修飾パスを指定するか、
既存の CRL 項目をクリックして編集するか、
「除去」をクリックして削除します。
移植性という理由から、証明書失効リストへの相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。
例えば、
USER_INSTALL_ROOT 変数を使用して、
${USER_INSTALL_ROOT}/mycertstore/mycrl などのパスを定義する場合があります。WebSphere Application Server 管理コンソールでサポートされている変数のリストについては、「環境」
>「WebSphere 変数」をクリックします。
以下のリストに、CRL の使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。
CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が
発行者の CRL に対して検査されます。
- CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。
コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
- 「OK」をクリックして、構成を保管します。