WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

応答デジタル・シグニチャー検証用クライアントの構成: 検証メソッドの選択

Web サービス・セキュリティー拡張および Web サービス・セキュリティー・バインディングは、アセンブリー・ツール内の Web サービス・エディターの「WS extension」タブおよび「WS binding」タブを使って構成できます。

始める前に

重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。 この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
以下のステップを実行する前に、以下のいずれかのトピックに目を通して、IBM アセンブリー・ツールに含まれる Web サービス・エディターの「WS Extension」タブおよび「WS Binding」タブについて十分理解してください。 これら 2 つのタブは、Web サービス・セキュリティー拡張および Web サービス・セキュリティー・バインディングをそれぞれ構成するために使用できます。 どのメッセージ・パーツが、クライアントが検証する必要があるデジタル・シグニチャー情報を含むかを指定する必要があります。 応答デジタル・シグニチャー検証用クライアントの構成: メッセージ・パーツの検証 を参照して、どのメッセージ・パーツが、サーバーによってデジタル署名され、 クライアントによって検証される必要があるのかを指定します。サーバーの応答送信側用に指定したメッセージ・パーツは、クライアントの応答受信側用に指定したメッセージ・パーツと一致する必要があります。 同様に、サーバー用に選択したデジタル・シグニチャー・メソッドは、クライアントが使用するデジタル・シグニチャー・メソッドと一致する必要があります。

このタスクについて

以下のステップを実行して、応答デジタル・シグニチャー検証用にクライアントを構成します。 これらのステップでは、拡張機能を変更して、検証中にクライアントがどのデジタル・シグニチャー・メソッドを使用するかを指定する方法について説明します。

プロシージャー

  1. アセンブリー・ツールを起動します。 アセンブリー・ツールの詳細については、 アセンブリー・ツール を参照してください。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「その他」>「J2EE」とクリックします。
  3. アプリケーション・クライアント・プロジェクト」>「application_name」>「appClientModule」>「META-INF」とクリックします。
  4. application-client.xml ファイルを右マウス・ボタンでクリックし、 「開く」>「デプロイメント記述子エディター」とクリックします。
  5. 「WS Binding」タブをクリックします。
  6. Security response receiver binding configuration」>「署名情報」セクション と展開します。
  7. 編集」をクリックして、デジタル・シグニチャー・メソッドを選択します。 署名情報ダイアログが表示されたら、以下の情報を選択または入力します。
    • 正規化方式アルゴリズム
    • ダイジェスト方式アルゴリズム
    • シグニチャー方式アルゴリズム
    • 署名鍵名
    • 署名鍵ロケーター
    SOAP メッセージへのデジタル・シグニチャーに関する概念的な情報については、XML デジタル・シグニチャーを参照してください。 次の表では、それぞれの選択ごとの目的について説明します。 以下の定義の一部は XML Signature 仕様を基にしています。 この仕様は http://www.w3.org/TR/xmldsig-core にあります。
    名前 目的
    正規化方式アルゴリズム 正規化方式アルゴリズムは、シグニチャー操作の一部としてダイジェストされる前に <SignedInfo> エレメントを正規化するために使用されます。
    ダイジェスト方式アルゴリズム ダイジェスト方式アルゴリズムは、<DigestValue> を生成するように指定されている場合、 データに変換が適用された後で、そのデータに適用されるアルゴリズムです。 <DigestValue> の署名によって、リソース内容が署名者鍵にバインドされます。 クライアントの応答受信側構成用に選択したアルゴリズムは、サーバーの応答送信側構成で選択したアルゴリズムと一致している必要があります。
    シグニチャー方式アルゴリズム シグニチャー方式は、 正規化された <SignedInfo> エレメントを <SignatureValue> エレメントに変換するために使用するアルゴリズムです。 クライアントの応答受信側構成用に選択したアルゴリズムは、サーバーの応答送信側構成で選択したアルゴリズムと一致している必要があります。
    Use certificate path reference」または「Trust any certificate メッセージに署名がされている場合には、署名で使用される公開鍵が、そのメッセージと共に伝送されます。 この公開鍵を受信側の端末で検証するには、証明書パス参照を構成します。 「Use certificate path reference」を選択すると、メッセージと共に送信された証明書を検証するために、 トラスト・アンカー参照および証明書ストア参照を構成する必要があります。 「trust any certificate」を選択した場合は、シグニチャーはメッセージとともに送信された証明書によって検証され、証明書自体は検証されません。
    Use certificate path reference: トラスト・アンカー参照 トラスト・アンカーは、トラステッド、自己署名証明書、認証局 (CA) 証明書を含む鍵ストアからなる構成です。 これらの証明書は、トラステッド証明書で、ユーザーのデプロイメント内の任意のアプリケーションで使用できます。
    Use certificate path reference: 証明書ストア参照 証明書ストアは、X.509 証明書の集合で構成されています。 これらの証明書は、ユーザーのデプロイメント内のすべてのアプリケーションに対してトラステッドではありません。 ただし、アプリケーションの証明書を検証するための中継として使用することがあります。
  8. オプション: FIPS 準拠アルゴリズムのみを「Digest method algorithm」および「Signature method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere Application Server 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で稼働させる場合のオプションです。

結果

重要: クライアントおよびサーバーの署名情報が正しく構成されているにもかかわらず、 クライアントの実行時に Soap body not signed エラーを受信した場合には、 アクターを構成する必要がある場合があります。アセンブリー・ツールの Web サービス・クライアント・エディター において、クライアント上の以下の場所でアクターを構成できます。
  • Security extensions」>「Client service configuration details」とクリックして、「アクター URI」フィールドでアクター情報を指示します。
  • Security extensions」>「Request sender configuration」>「詳細」とクリックして、「アクター」フィールドで actor 情報を示します。
要求を処理して応答を戻すサーバー上の Web サービスについて、 同じアクター・ストリングを構成する必要があります。アクターの構成は、 アセンブリー・ツールの Web サービス・エディターの以下の場所で 行います。
  • Security extensions」>「Server service configuration」とクリックします。
  • Security extensions」>「Response sender service configuration details」>「詳細」とクリックして、「アクター」フィールドで actor 情報を指示します。

クライアントおよびサーバー上のアクター情報は、両方ともまったく同一のストリングである 必要があります。クライアントとサーバーの「アクター」フィールドが一致する場合には、 要求または応答は、ダウンストリームに転送されることなく、処理されます。 他の Web サービスのゲートウェイとして動作する Web サービスがある場合は、 「アクター」フィールドが異なる場合があります。ただし、そのような Web サービスがない場合には、 アクター情報がクライアントとサーバーで一致していることを必ず確認してください。Web サービスがゲートウェイとして機能しており、 それらの Web サービスに、そのゲートウェイを介して渡される要求として構成された同じアクターがない場合には、 Web サービスはクライアントからのメッセージを処理しません。 代わりに、これら Web サービスは、その要求をダウンストリームに送信します。 正しいアクター・ストリングを含む ダウンストリーム・プロセスによって要求が処理されます。応答でも同じ状況が発生します。 したがって、該当するクライアントとサーバーの「アクター」フィールドが 同期化されていることを確認することが重要です。

クライアントがメッセージ・パーツにデジタル・シグニチャーを検証するためにどのメソッドを使用するかが指定されました。

次の作業

サーバーを応答署名用に構成し、クライアントを要求デジタル・シグニチャー検証用に構成したら、クライアントおよびサーバーがメッセージ要求を処理するように構成されていることを検証してください。



関連概念
トラスト・アンカー
コレクション証明書ストア
関連タスク
アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成
管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
応答デジタル・シグニチャー検証用クライアントの構成: メッセージ・パーツの検証
アセンブリー・ツールを使用したトラスト・アンカーの構成
管理コンソールを使用したトラスト・アンカーの構成
アセンブリー・ツールを使用したサーバー・サイド・コレクション証明書ストアの構成
アセンブリー・ツールを使用したクライアント・サイド・コレクション証明書ストアの構成
管理コンソールを使用したクライアント・サイド・コレクション証明書ストアの構成
WebSphere Application Server 管理コンソールにおけるサーバー・レベルでのデフォルトのコレクション証明書ストアの構成
XML ディジタル・シグニチャーを使用したバージョン 5.x アプリケーションの Web サービスの保護
関連情報
XML-Signature Syntax and Processing: W3C Recommendation 12 February 2002
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/twbs_confclrespdigsignmeth.html