サーバーが応答メッセージの暗号化に使用する方式を指定できます。
始める前に
重要: バージョン 5.x のアプリケーションとバージョン 6.0.x 以降のアプリケーションとの間には重要な相違点があります。
この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x
以降のアプリケーションには適用されません。
以下のステップを実行する前に、次のいずれかのトピックを読み、アセンブリー・ツール
内の Web サービス・エディターの「
Extensions」タブおよび「
Binding configurations」タブについて十分理解してください。
これら 2 つのタブは、Web サービス・セキュリティー拡張および Web サービス・セキュリティー・バインディングをそれぞれ構成するために使用します。
このタスクについて
以下のステップを完了して、サーバーが応答メッセージの暗号化に使用する方式を指定します。
プロシージャー
- アセンブリー・ツールを起動します。
アセンブリー・ツールの詳細については、
アセンブリー・ツール
を参照してください。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- 「EJB プロジェクト」>「application_name」>「ejbModule」
>「META_INF」とクリックします。
- webservices.xml ファイルを右マウス・ボタン・クリックして、
「開く」>「Web services editor」とクリックします。
- アセンブリー・ツールに含まれる Web サービス・エディターの下部にある
「バインディング構成」タブをクリックします。
- 「Response sender binding configuration details」>「Encryption
information」と展開します。
- 「編集」をクリックして暗号化情報を表示します。 以下の表で、この情報の目的を説明しています。これらの定義のいくつかは、XML 暗号化仕様に基づいています。
この仕様は、次の Web アドレスにあります。http://www.w3.org/TR/xmlenc-core
- 暗号化名
- 暗号化情報項目の名前を参照します。
- データ暗号化方式アルゴリズム
- 固定サイズの複数オクテット・ブロック単位でデータを暗号化および暗号化解除します。
サーバーの応答送信側の構成用に選択するアルゴリズムは、クライアントの応答受信側の構成で選択したアルゴリズムと一致している必要があります。
- 鍵暗号化方式アルゴリズム
- 暗号化鍵および暗号化解除鍵に指定されている公開鍵暗号化アルゴリズムです。サーバーの応答送信側の構成用に選択するアルゴリズムは、クライアントの応答受信側の構成で選択したアルゴリズムと一致している必要があります。
- 暗号鍵名
- 暗号鍵ロケーターが検出した公開鍵証明書の Subject (通常は識別名 (DN)) を表します。
この名前は、鍵暗号化方式アルゴリズムが秘密鍵を暗号化するために使用します。秘密鍵は、データの暗号化に使用されます。
サーバーの応答送信側の暗号化情報で選択される鍵名は、クライアントの応答受信側の暗号化情報で構成された公開鍵でなければなりません。
応答送信側による暗号化は、公開鍵を使用して行い、暗号化解除は応答受信側が関連する秘密鍵 (応答受信側の個人証明書) を使用して
行う必要があります。
- 暗号鍵ロケーター
- 暗号鍵ロケーターは、別名および証明書が存在する正しい鍵ストアを検出する、
鍵ロケーターのインプリメンテーション・クラスへの参照を表します。詳しくは、鍵ロケーター構成作業を参照してください。
- FIPS 準拠アルゴリズムのみを「Data
Encryption method algorithm」および「Key Encryption method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere Application Server 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で稼働させる場合のオプションです。
結果
選択される暗号鍵名は、応答受信側の公開鍵を参照している必要があります。暗号鍵名には、公開鍵証明書のサブジェクト (通常は識別名 (DN)) を使用します。
選択された名前は、デフォルトの鍵ロケーターが鍵を探し出す際に使用されます。
カスタム鍵ロケーターを作成する場合、鍵ロケーターが正しい暗号鍵 (公開鍵) を探し出すために使用する任意の名前を暗号鍵名とすることが
できます。
暗号化鍵ロケーターは、別名と証明書が存在する正しい鍵ストアを検出するインプリメンテーション・クラスを参照します。
次の作業
応答メッセージのどの部分を暗号化するのかを指定する必要があります。
この情報をまだ指定していない場合は、応答の暗号化のためにサーバーを構成する作業を参照してください。