WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

アセンブリー・ツールを使用したジェネレーター・バインディングのコレクション証明書ストアの構成

ジェネレーターのコレクション証明ストアを構成できます。 このタスクでは、アセンブリー・ツールを使用して、アプリケーション・レベルでジェネレーター・バインディングの コレクション証明書ストアを指定する方法について説明します。

始める前に

このタスクを実行する前に、 アプリケーションをアセンブリー・ツールにインポートする必要があります。

アプリケーションをインポートする方法については、エンタープライズ・アプリケーションのインポートを参照してください。

このタスクについて

コレクション証明書ストア は、受け取った SOAP メッセージ内に組み込まれた X.509 証明書を検証するために使用される、 ルート以外の認証局 (CA) 証明書および証明書失効リスト (CRL) の集合です。 要求ジェネレーターはクライアント用に構成され、 応答ジェネレーターはサーバー用に構成されます。 ジェネレーター・サイドでは、 ユーザーが PKCS#7 フォーマットで組み込まれる CRL を構成する場合のみ、コレクション証明書ストアの構成が必要です。

以下のステップを実行して、ジェネレーターのコレクション証明書ストアを構成します。 ステップ 2 でクライアント側のバインディング、またはステップ 3 でサーバー側のバインディングを指定します。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. 「Web サービス」>「クライアント」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. WS Binding」タブをクリックし、「Security Request Generator Binding Configuration」セクションを展開します。
  4. オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. 「Web サービス」>「サービス」とセクションを展開し、 Web サービスの名前をダブルクリックします。
    2. Binding Configurations」タブをクリックして、 「Response Generator Binding Configuration Details」セクションを展開します。
  5. 「Certificate Store List」>「Collection Certificate Store」とセクションを展開し、 「追加」をクリックします。
  6. 「名前」フィールドで、固有の証明書ストア名を指定します。 例えば、cert1 のように指定します。コレクション証明書ストアの名前は、 それが定義されるレベルで固有のものでなければなりません。例えば、この名前は アプリケーション・レベルで固有でなければなりません。「certificate store name」フィールドで指定される名前は、事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。 WebSphere Application Server は、接近性に基づいてコレクション証明書ストアを検索します。 例えば、アプリケーション・バインディングが証明書ストア cert1 を参照する場合、WebSphere Application Server は、 アプリケーション・レベルの cert1 を最初に探します。これが検出されない場合、サーバー・レベルで探し、 最終的にはセル・レベルで探します。
  7. 「プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。 IBMCertPath 証明書パス・プロバイダーがサポートされています。別の証明書パス・プロバイダーを使用する場合、 Software Development Kit (SDK) の java.security ファイル内にあるプロバイダー・リストで プロバイダー・インプリメンテーションを定義する必要があります。
  8. X509 証明書の下で、「追加」をクリックし、X.509 証明書への完全修飾パスを指定するか、 既存の証明書パス項目の名前をクリックして編集するか、 「除去」をクリックして削除します。 このコレクション証明書ストアは、 着信 X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。

    USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。 例えば、${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer と指定できます。 ただし、実動用としてこの X.509 証明書パスを使用しないでください。WebSphere Application Server 環境を実動させる前に、 認証局からユーザー独自の X.509 証明書を取得してください。

    WebSphere Application Server 管理コンソールで、「環境」> 「WebSphere 変数」をクリックして、USER_INSTALL_ROOT 変数を構成します。

  9. CRL の下で「追加」をクリックして、証明書失効リスト (CRL) への完全修飾パスを指定するか、 既存の CRL 項目をクリックして編集するか、 「除去」をクリックして削除します。

    移植性という理由から、証明書失効リストへの相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。 例えば、 USER_INSTALL_ROOT 変数を使用して、 ${USER_INSTALL_ROOT}/mycertstore/mycrl などのパスを定義する場合があります。WebSphere Application Server 管理コンソールでサポートされている変数のリストについては、「環境」 >「WebSphere 変数」とクリックします。

    以下のリストに、CRL の使用に関する推奨事項を示します。
    • CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が 発行者の CRL に対して検査されます。
    • CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
    • CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。 コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
  10. OK」をクリックして、構成を保管します。



関連概念
コレクション証明書ストア
関連タスク
アセンブリー・ツールによるトークン・ジェネレーターの構成
Web サービス・アプリケーションをアセンブルしながらの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/twbs_speccolcertftgenbind.html