WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

WebSphere Application Server for z/OS における Secure Sockets Layer セキュリティー

このトピックは、Secure Sockets Layer (SSL) プロトコル、および暗号サービス・システムの SSL が z/OS 上で動作する方法について理解していることを前提に書かれています。WebSphere Application Server 内の複数のコンポーネントは SSL を使用することで、データを信頼できるものにし、プライバシーを保護します。これらのコンポーネントには、組み込みの HTTP トランスポート、オブジェクト・リクエスト・ブローカー (ORB) (ク ライアントおよびサーバー)、およびセキュア Lightweight Directory Access Protocol (LDAP) クライアントが含まれています。SSL の構成は、 WebSphere Application Server を使用するクライアントとサーバー間では異なります。ネットワークで、通信を保護し、 ユーザー認証を実施することでセキュリティーを追加する場合は、SSL セキュリティーを使用できます。

SSL は、WebSphere Application Server for z/OS が提供す るセキュリティーの不可欠な部分です。これは 管理セキュリティー を使用可能にした場 合に活動化されます。 管理セキュリティー を使用可能にすると、SSL は、管理コマンド、管理コンソール、および WebSphere Application Server プロセス間の通信を保護するために、管理サブシステムにより常に使用されます。

以下の場合に、サーバーのセキュリティーが使用可能である場合、WebSphere Application Server for z/OS ラン タイムは、必要に応じて SSL を使用できます。
SSL を構成する場合、WebSphere Application Server for z/OS 上に 2 つの タイプの SSL レパートリーがあります。レパートリーのタイプは、SSL の処理に使用する 基礎となるサービスに関連しています。

このトピックでは、SSL プロトコルおよび SSL が z/OS 上で動作する方法について 概要を説明します。SSL プロトコルについては、以下の Web サイトを参照してください。http://home.netscape.com/eng/ssl3/ssl-toc.html

暗号サービス・システム SSL について詳しくは、 以下の Web サイトを参照してください。z/OS System Secure Sockets Layer Programming

Secure Sockets Layer (SSL) は、 信頼性とプライバシーを提供するために、WebSphere Application Server 内の複数のコンポーネントにより使用されます。 複数のコンポーネントとは、組み込み HTTP トランスポート、ORB (クライアントおよびサーバー)、およびセキュア LDAP クライアントです。SSL の構成は、 WebSphere Application Server を使用するクライアントとサーバー間では異なります。ネットワーク内の保護された通信とユーザー認証に追加セキュリティーが必要であれば、Secure Sockets Layer (SSL) セキュリティーを使用できます。 WebSphere Application Server for z/OS での SSL サポートには、次のように複数の目的があります。

SSL はデフォルトでは使用不可であり、SSL サポートはオプショナルです。 セキュリティーがオンの状態で WebSphere Application Server for z/OS を実行している場合には、 管理コンソールで SSL が必要です。

SSL を使用する場合は、次の 2 つのタイプの SSL レパートリーから選択します。
以下の表では、SSL 接続がどのように動作するかを説明します。
段階 説明
ネゴシエーション クライアントがサーバーを検出したら、クライアントとサーバーは、通信のセキュリティー・タイプをネゴシエーションします。 SSL が使用される場合には、クライアントは、特別な SSL ポートに接続するよう指示されます。
ハンドシェーク クライアントが SSL ポートに接続すると、SSL ハンドシェークが起こります。成功すれば、暗号化通信が開始します。 クライアントは、サーバーのデジタル証明書を検査することによって、サーバーを認証します。

クライアント証明書がハンドシェーク時に使用される場合は、クライアントのデジタル証明書を検査することによって、サーバーはクライアントを認証します。

継続中の通信 SSL ハンドシェーク時に、クライアントとサーバーは、通信を暗号化するために使用する暗号仕様をネゴシエーションします。
最初のクライアント要求 クライアント識別の判別は、選択されたクライアント認証メカニズムによって異なります。次のいずれかになります。
  • CSIv2 ユーザー ID およびパスワード (GSSUP)
  • CSIv2 表明された識別
  • zSAS Kerberos
  • zSAS 基本認証表明済み ID
  • zSAS 表明済み ID
  • CSIv2 クライアント証明書
  • zSAS クライアント証明書

規則

ヒント: SSL 基本認証セキュリティーを定義するには、署名されたサーバーの証明書、およびサーバー証明書を署名した認証局からの認証局 (CA) 証明書を最初に要求しなければなりません。 署名されたサーバーの証明書および認証局からの CA 証明書を受け取ったら、RACF を使用して、 デジタル証明書の使用を許可し、サーバー証明書とサーバー鍵リングを RACF に保管し、SSL レパートリー・エイリアスを作成し、 管理コンソールを使用して SSL セキュリティー・プロパティーをサーバーに定義します。

クライアントについては、鍵リングを作成し、サーバーの証明書を出した認証局からの CA 証明書をその鍵リングに付加する必要があります。 z/OS クライアントでは、RACF を使用して、クライアント鍵リングを作成し、その鍵リングに CA 証明書を付加する必要があります。 クライアントでサーバーを認証する場合は、サーバー (実際には、コントローラー・ユーザー ID) は、 認証局によって作成された、署名付き証明書を所有している必要があります。 サーバーは、その識別を証明するために、署名された証明書をクライアントに渡します。クライアントは、サーバーの証明書を出したのと同じ認証局からの CA 証明書を所有していなければなりません。 クライアントは、CA 証明書を使用して、サーバーの証明書が本物かどうかを検査します。 証明書が検査された後、クライアントはメッセージが別のサーバーからではなく、本当にそのサーバーから届いていることを確信できます。 サーバーがクライアントを認証する場合は、クライアントがその識別を証明するためにサーバーに渡す、クライアント証明書がないことに注意してください。 SSL 基本認証スキームでは、サーバーは、クライアントのユーザー ID とパスワードを調べることによって、クライアントを認証します。

デーモンの MVS ユーザー ID の鍵リングの作成の詳細については、 デーモン Secure Sockets Layer が使用する鍵リングのセットアップ を参照してください。




サブトピック
SSL レパートリー
デーモン Secure Sockets Layer
関連概念
WebSphere Application Server security for z/OS
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_settingupssl.html