WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

Secure Sockets Layer

Secure Sockets Layer (SSL) プロトコルにより、 WebSphere Application Server におけるクライアントとサーバー間のセキュア接続のための、 認証性、保全性、および機密性のあるトランスポート層セキュリティーが提供されます。 このプロトコルは、TCP/IP の上位かつ、HTTP、Lightweight Directory Access Protocol (LDAP)、Internet Inter-ORB Protocol (IIOP) などのアプリケーション・プロトコルの下位で実行され、 トランスポート・データに信頼性とプライバシーを提供します。

クライアントとサーバー双方の SSL 構成に応じて、さまざまなレベルの信頼性、データ保全性、およびプライバシーを確立することができます。 適切な構成を行い、 クライアントとアプリケーション両方のデータに必要な保護レベルを実現するためには、SSL の基本動作について理解していることが非常に重要です。

SSL によって提供されるセキュリティー・フィーチャーの中には、 データの伝送中に機密情報が漏れないようにするためのデータの暗号化があります。 データの署名により、データの転送中にデータが許可なく変更されることを防止できます。 クライアント認証およびサーバー認証により、適切なユーザーまたはマシンと通信していることが保証されます。 SSL は、エンタープライズ環境の保護に効果的です。

WebSphere Application Server 内の複数のコンポーネントは SSL を使用することで、データを信頼できるものにし、プライバシーを保護します。 これらのコンポーネントは、 標準装備された HTTP トランスポート、 オブジェクト・リクエスト・ブローカー (ORB)、 およびセキュア LDAP クライアントです。

図 1. SSL および WebSphere Application Server
この図の場合は以下のとおりです。

WebSphere Application Server および IBM Java Secure Socket Extension (IBMJSSE および IBMJSSE2) プロバイダー

WebSphere Application Server で使用される SSL 実装は 、IBM Java Secure Sockets Extension (IBMJSSE) および IBM Java Secure Sockets Extension 2 (IBMJSSE2) です。 IBMJSSE および IBMJSSE2 プロバイダーには、 SSL および Transport Layer Security (TLS) プロトコルをサポートする参照実装、およびアプ リケーション・プログラミング・インターフェース (API) フレームワークが含まれています。 また、IBMJSSE および IBMJSSE2 プロバイダーには、 Java 2 プラットフォームのシグニチャーに関連した J2EE コネクター・アーキテクチャー (J2CA) フィーチャーのための Rivest Shamir Adleman (RSA) サポート、共通の SSL および TLS 暗号スイート、ハードウェア暗号トークン・デバイス、 X.509 ベースの鍵マネージャーとトラスト・マネージャー、 および J2CA 鍵ストア のための PKCS12 実装を提供する、 標準のプロバイダーも付属しています。 デジタル証明書を管理するために、 鍵管理ツール (iKeyman) と呼ばれるグラフィック・ツールも用意されています。 このツールを使用すると、 新規の鍵データベースまたはテスト・デジタル証明書の作成、 データベースへの認証局 (CA) ルートの追加、 データベース間での証明書のコピーを CA からのデジタル証明書の要求および受信に加えて行うことができます。
重要: HTTP および JMS トランスポートでは、非同期入出力に対してトランスポート・チャネル・サービスを使用しています。このフレームワークでは、SSL に対し IBMJSSE2 プロバイダーを使用する必要があります。 SSL レパートリーで IBMJSSE2 プロバイダー以外のプロバイダーが指定されても無視され、IBMJSSE2 プロバイダーが使用されます。 SSL を介した IIOP および SSL を介した LDAP など、その他の SSL トランスポートでは、SSL レパートリー構成で指定したプロバイダーが使用されます。
JSSE プロバイダーの構成は、 他のほとんどの SSL インプリメンテーション (例えば、GSKit) の構成と非常に類似していますが、 明記すべき相違点がいくつかあります。
  • JSSE プロバイダーは、SSL 鍵ファイルへの、 署名者証明書および個人証明書の両方の保管をサポートしていますが、 トラスト・ファイル と呼ばれる別のファイルもサポートしています。 トラスト・ファイルには、署名者証明書のみを入れることができます。 個人証明書はすべて SSL 鍵ファイルに入れ、 署名者証明書はトラスト・ファイルに入れることができます。 この対応は、例えば、個人証明書を保持できる程度のメモリーしか持たない低価格のハードウェア暗号デバイスを使用する場合に役に立ちます。 この場合、鍵ファイルは、そのハードウェア・デバイスを参照し、トラスト・ファイルは、すべての署名者証明書を含むディスク上のファイルを参照します。
  • JSSE プロバイダーは、 プラグインで使用されるプロプラエタリー SSL 鍵 ファイル (.kdb ファイル) 形式を認識しません。 代わりに JSSE プロバイダーは、 Java Key Standard (JKS) などの標準ファイル形式を認識します。 SSL 鍵ファイルは、プラグインとアプリケーション・サーバーの間で共用されない可能性があります。 さらに、アプリケーション・サーバーの鍵ファイルおよびトラスト・ファイルを管理するためには、 鍵管理ユーティリティーの別のインプリメンテーションを使用する必要があります。
Java Secure Socket Extension (JSSE) プロバイダーの使用には、 次のようないくつかの制限事項もあります。
  • JSSE および Java Cryptography Extension (JCE) API を使用するカスタマー・コードは、 WebSphere Application Server 環境に存在していなければなりません。 この制限には、WebSphere Application Server にデプロイされるアプリケーション、および J2EE アプリケーション・クライアント環境のクライアント・アプリケーションが含まれます。
  • 暗号化パッケージ・プロバイダーとして提供されるのは、 com.ibm.crypto.provider.IBMJCEcom.ibm.jsse.IBMJSSEProvidercom.ibm.security.cert.IBMCertPath、 および com.ibm.crypto.pkcs11.provider.IBMPKCS11 のみです。
  • IBMJSSE インプリメンテーションと、ベンダーによる他の SSL インプリメンテーションとのインターオペラビリティーは、 テスト済みインプリメンテーションに限定されます。 テスト済みインプリメンテーションとは、Microsoft Internet Information Services (IIS)、BEA WebLogic Server、IBM AIX、IBM AS/400 などです。
  • ハードウェア・トークンのサポートは、 サポートされている暗号トークン・デバイスに限定されます。 次の暗号トークン・デバイスが、SSL クライアントまたはサーバーに対してサポートされています。
    • Chrysalis Luna HSM
    • Eracom ProtectServer Orange (CSA 8000)
    • IBM 4758-23
    • nCipher nForce
  • バージョン 2.0 の SSL プロトコルはサポートされていません。 また、JSSE および JCE API は、Java アプレット・アプリケーションではサポートされていません。

WebSphere Application Server と Java Secure Socket Extension および Java Cryptography Extension プロバイダーに対する連邦情報処理標準

連邦情報処理標準 (FIPS) 承認済みの Java Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE) プロバイダーは、WebSphere Application Server ではオプションです。デフォルトでは、FIPS 承 認済みの JSSE および JCE プロバイダーは使用不可になっています。 これらのプロバイダーが使用可能になっている場合、 WebSphere Application Server は、IBMJCEFIPS プロバイダー・パッケージのみに含まれている、 FIPS 承認済み暗号アルゴリズムを使用します。

重要: IBMJCEFIPS モジュールは、 FIPS 140-2 承認済みの暗号プロバイダーです。FIPS 認証プロセス、 および IBM サブミットの状況をチェックする方法について詳しくは、 Web サイト Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List を参照してください。



サブトピック
認証性
機密性
保全性
デジタル証明書
Secure Sockets Layer およびトランスポート・チャネル・サービスを使用したネットワーク通信
関連タスク
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
通信の保護
関連情報
FIPS 140-1 および FIPS 140-2 暗号モジュール検証リスト
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/csec_ssl.html