クライアントが Secure Sockets Layer (SSL) 接続を行おうとする
と、WebSphere Application Server は、デジタル証明書を使用して Java クライアント認証をサポートします。
この認証は、SSL ハンドシェーク中に行われます。
SSL ハンドシェークとは、接続固有の保護を求めて折衝するために、SSL プロトコルを介して交換される
一連のメッセージです。ハンドシェーク中、セキュア・サーバーは、
認証用の証明書または証明書チェーンを送り戻すことをクライアントに要求します。
始める前に
Java クライアント認証のために SSL を構成するには、
以下の質問について検討してください。
- WebSphere Application Server でセキュリティーを使用可能にしたか?
詳しくは、すべてのアプリケーション・サーバーのセキュリティーの使用可能化
を参照してください。
- ターゲット・アプリケーション・サーバーの
ために Common Secure Interoperability (CSI) 認証プロトコルを構成したか?
詳しくは、すべてのアプリケーション・サーバーのセキュリティーの使用可能化
を参照してください。
注:
Security Authentication Service (SAS) 認証プロトコルは、SSL トランスポートによる
Java クライアント認証をサポートしません。
- CSIv2 インバウンド認証プロトコルのために、
セキュア・トランスポートをサポートするようにサーバーを構成したか?
- インバウンド CSI 認証プロトコルのために、
クライアント認証をトランスポート層でサポートするようにサーバーを構成したか?
- 自己署名個人証明書を
使用している場合、クライアント・アプリケーションの Java 鍵ストア・ファイルまたは
暗号トークン・デバイスから公開証明書をエクスポートしたか?
- 認証局 (CA) 署名個人証明書を使用している場合、CA のルート証明書を受け取ったか?
- 自己署名個人証明書を
使用している場合、公開証明書を署名者証明書としてターゲット
の Java トラストストア・ファイルにインポートしたか?
- CA (認証局) 署名個人証明書を使用している場合、CA のルート証明書を
署名者証明書としてターゲットの Java トラストストア・ファイルにインポートしたか?
- 個人証明書名に指定された共通名 (CN) が、
構成済みのユーザー・レジストリー内に存在しているか? または、証明書の SAF マッピングがあるか?
ご使用の製品およびプラットフォームに該当する上記の質問に対する回答がすべて「はい」の場合は、
Java クライアント認証のために SSL を構成することができます。
このタスクについて
注: デジタル証明書を使用する Java クライアント認証は、Common Secure Interoperability バージョン 2 (CSIv2) 認証プロトコルによってのみサポートされます。
プロシージャー
- Secure Sockets Layer クライアント認証のための sas.client.props ファイルの編集
.
- 鍵ストア・ファイルの追加
.
- トラストストア・ファイルの追加
.
- 変更を保管します。
- サーバーを構成した場合は、サーバーを再始動します。
次の作業
セキュア・クライアントは、クライアント認証をトランスポート層で
要求するセキュア Internet Inter-ORB Protocol (IIOP) サーバーに接続します。
接続の問題が起きた場合は、クライアントまたはサーバーを実行する前に、Java プロパティー
javax.net.debug=true を設定して、
デバッグ情報を生成することができます。
IBMJSSE 問題をデバッグする方法の詳細については、
セキュリティー構成のトラブルシューティング
を参照してください。