WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

レパートリー設定

このページを使用して、 サーバーの Secure Sockets Layer (SSL) 設定または Java Secure Sockets Extension (JSSE) 設定を構成します。 SSL を構成するには、 SSL 構成レパートリーを定義する必要があります。 レパートリーには、SSL 接続のビルドに必要な詳細 (鍵ファイルの場所やタイプ、 使用可能な暗号など) が含まれています。 WebSphere Application Server は、 DefaultSSLSettings という名のデフォルト・レパートリーを提供します。

この管理コンソール・ページを表示するには、「セキュリティー」>「SSL」>「別名 (alias_name) 」をクリックします。

「構成」タブ

別名

特定の SSL 設定の名前を指定します。

データ型: ストリング
注: 管理コンソールを使用して新規 SSL エイリアスを作成する場合、エイリアス名は自動的に node_name/alias_name 形式で作成されます。 ただし、wsadmin を使用して新規 SSL エイリアスを作成する場合は、 SSL エイリアスを作成し、node_name/alias_name 形式でノード名とエイリアス名の両方を指定します。
鍵ファイル名

公開鍵、および場合によっては秘密鍵を含む SSL 鍵ファイルの完全修飾パスを指定します。

SSL 鍵ファイルは、鍵管理ユーティリティーを使用して作成できます。 あるいは、使用可能なものがある場合、このファイルがハードウェア・デバイスに対応している場合もあります。いずれの場合も、 トラスト・ファイルを指定する場合を除いて、このオプションは個人用証明書および署名者の証明書のソースを示します。 デフォルト SSL 鍵ファイル、 すなわち DummyClientKeyFile.jks および DummyServerKeyFile.jks には、 2005 年 3 月 17 日に有効期限が切れる自己署名個人テスト証明書が入っています。 このテスト証明書は、テスト環境で使用することだけを目的としています。 秘密鍵はすべての WebSphere Application Server インストールで同じであるため、 デフォルト SSL 鍵ファイルは実稼働環境で使用しないでください。 WebSphere Application Server ドメインでのデジタル証明書の作成と管理については、 『証明書の管理』の項目を参照してください。

データ型: ストリング
クライアント認証

接続するときに、認証を目的としてクライアントから証明書を要求するかどうかを指定します。

この属性は、Web コンテナー HTTP トランスポートが 使用する場合にのみ有効になります。

EJB 要求に対して Internet InterORB Protocol (IIOP) によるクライアント認証を実行するときは、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下の、 「認証プロトコル」>「CSIv2 インバウンド認証」または「認証プロトコル」>「CSIv2 アウトバウンド認証」をクリックします。「クライアント証明書認証」で適切なオプションを選択します。

デフォルト: 使用不可
範囲: 使用可能または使用不可
セキュリティー・レベル

事前構成されたセットから、 サーバーがセキュリティー・レベルを選択するかどうかを指定します。

データ型: 有効な値には、「低」、「中間」、または「高」があります。
  • 「低」は、暗号化を行わないデジタル署名暗号のみを指定します。
  • 「中間」は、デジタル署名を含む 40 ビット暗号のみを指定します。
  • 「高」は、デジタル署名を含む 128 ビット暗号のみを指定します。

すべての暗号または特定の範囲を指定するには、 プロパティー com.ibm.ssl.enabledCipherSuites を設定します。

詳しくは、SSL の資料を参照してください。

デフォルト:
範囲: 低、中間、または高
暗号スイート

SSL ハンドシェーク中に選択できる、サポートされている暗号スイートのリストを指定します。 ここで暗号スイートを個別に選択すると、「セキュリティー・レベル」フィールドに設定されている暗号スイートが オーバーライドされます。

プロバイダー

Java セキュリティー・アプリケーション・プログラム・インターフェース (API) の暗号関係のサブセットをインプリメントするパッケージを参照します。

Predefined JSSE provider」を選択する場合は、メニューからプロバイダーを選択します。

WebSphere Application Server には、IBMJSSE、IBMJSSE2、および IBMJSSEFIPS 事前定義プロバイダーがあります。「グローバル・セキュリティー」パネルの「連邦情報処理標準 (FIPS) を使用」オプションを 選択すると、IBMJSSE2 では、連邦情報処理標準 (FIPS) が認証した IBMJCEFIPS プロバイダーが使用されます。 「Custom JSSE provider」を選択する場合は、カスタム・プロバイダーを入力します。 カスタム・プロバイダーの場合は、まず、 「追加プロパティー」の下の「カスタム・プロパティー」で暗号スイートを入力する必要があります。 暗号スイートとプロトコル値は、プロバイダーによって異なります。

暗号スイート・プロパティーの名前は com.ibm.ssl.enabledCiphersuites です。 プロトコル・プロパティーの名前は com.ibm.ssl.protocol です。

注: HTTP および JMS を含むチャネル・フレームワークを使用して、 トランスポートの IBMJSSE2 プロバイダーのみを指定することができます。指定されたその他のプロバイダーでは、 サーバーで初期化障害が発生します。
プロトコル

使用する SSL プロトコルを指定します。

FIPS 承認済みカスタム JSSE プロバイダーを使用している場合は、 TLS プロトコルを選択する必要があります。ただし、FIPS 承認済み JSSE プロバイダーには後方互換性がないので、 TLS プロトコルを使用するサーバーは、SSL プロトコルを使用するクライアントとは通信できません。

デフォルト SSL
範囲 SSL_TLS、SSL、SSLv2、SSLv3、TLS、TLSv1
鍵ファイル・パスワード

SSL 鍵ファイルにアクセスするためのパスワードを指定します。

データ型: ストリング
鍵ファイル形式

SSL 鍵ファイルの形式を指定します。

鍵ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) から選択できます。JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。

[バージョン 6.0.2] 鍵ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、JCE4758RACFKS (z/OS のみ) から選択できます。 JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。

[バージョン 6.0.2]
データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、および JCE4758RACFKS (z/OS のみ)
データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)
トラスト・ファイル名

公開鍵が含まれるトラスト・ファイルへの完全修飾パスを指定します。

WebSphere bin ディレクトリーに含まれている 鍵管理ユーティリティーを使用して、トラスト・ファイルを作成できます。 他の SSL インプリメンテーションである Global Security Kit (GSKit) からの鍵管理ユーティリティーの使用は、Java Secure Socket Extension (JSSE) インプリメンテーションと連動しません。

SSL 鍵ファイルと異なり、個人証明書は参照されません。 署名者証明書だけ検索されます。 デフォルトの SSL トラスト・ファイル、 すなわち DummyClientTrustFile.jks および DummyServerTrustFile.jks については、 有効期限のある署名者の証明書として複数のテスト公開鍵が含まれます。 以下の公開鍵は、2021 年 10 月 13 日に有効期限が切れます。
  • WebSphere Application Server バージョン 4.x テスト証明書
  • WebSphere Application Server バージョン 5.x テスト証明書
  • WebSphere Application Server CORBA C++ クライアント
  • WebSphere Application Server バージョン 6.0.x テスト証明書

テスト証明書は、テスト環境で使用することのみを目的としています。

トラスト・ファイルを指定せずに、SSL 鍵ファイルを指定した場合、 署名者証明書と個人用証明書の両方の検索に SSL 鍵ファイルを使用します。

データ型: ストリング
トラスト・ファイル・パスワード

SSL トラスト・ファイルにアクセスするためのパスワードを指定します。

データ型: ストリング
トラスト・ファイル形式

SSL トラスト・ファイルの形式を指定します。

トラスト・ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) から選択できます。JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。

[バージョン 6.0.2] トラスト・ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、JCE4758RACFKS (z/OS のみ) から選択できます。 JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。

データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)
[バージョン 6.0.2]
データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) および JCE4758RACFKS (z/OS のみ)



関連タスク
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
Secure Sockets Layer 接続の定義
関連資料
カスタム・プロパティーに対する Secure Sockets Layer の設定
関連情報
Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/usec_ssl.html