WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

Secure Sockets Layer

Secure Sockets Layer (SSL) プロトコルにより、 WebSphere Application Server におけるクライアントとサーバー間のセキュア接続のための、 認証性、保全性、および機密性のあるトランスポート層セキュリティーが提供されます。 このプロトコルは、TCP/IP の上位かつ、HTTP、Lightweight Directory Access Protocol (LDAP)、Internet Inter-ORB Protocol (IIOP) などのアプリケーション・プロトコルの下位で実行され、 トランスポート・データに信頼性とプライバシーを提供します。

クライアントとサーバー双方の SSL 構成に応じて、さまざまなレベルの信頼性、データ保全性、およびプライバシーを確立することができます。 適切な構成を行い、 クライアントとアプリケーション両方のデータに必要な保護レベルを実現するためには、SSL の基本動作について理解していることが非常に重要です。

SSL によって提供されるセキュリティー・フィーチャーの中には、 データの伝送中に機密情報が漏れないようにするためのデータの暗号化があります。 データの署名により、データの転送中にデータが許可なく変更されることを防止できます。 クライアント認証およびサーバー認証により、適切なユーザーまたはマシンと通信していることが保証されます。 SSL は、エンタープライズ環境の保護に効果的です。

WebSphere Application Server 内の複数のコンポーネントは SSL を使用することで、データを信頼できるものにし、プライバシーを保護します。 これらのコンポーネントは、 標準装備された HTTP トランスポート、 オブジェクト・リクエスト・ブローカー (ORB)、 およびセキュア LDAP クライアントです。

図 1. SSL および WebSphere Application Server
この図の場合は以下のとおりです。

WebSphere Application Server および IBM Java Secure Socket Extension (IBMJSSE および IBMJSSE2) プロバイダー

JSSE プロバイダーの構成は、 他のほとんどの SSL インプリメンテーション (例えば、GSKit) の構成と非常に類似していますが、 明記すべき相違点がいくつかあります。
  • JSSE プロバイダーは、SSL 鍵ファイルへの、 署名者証明書および個人証明書の両方の保管をサポートしていますが、 トラスト・ファイル と呼ばれる別のファイルもサポートしています。 トラスト・ファイルには、署名者証明書のみを入れることができます。 個人証明書はすべて SSL 鍵ファイルに入れ、 署名者証明書はトラスト・ファイルに入れることができます。 この対応は、例えば、個人証明書を保持できる程度のメモリーしか持たない低価格のハードウェア暗号デバイスを使用する場合に役に立ちます。 この場合、鍵ファイルは、そのハードウェア・デバイスを参照し、トラスト・ファイルは、すべての署名者証明書を含むディスク上のファイルを参照します。
  • JSSE プロバイダーは、 プラグインで使用されるプロプラエタリー SSL 鍵 ファイル (.kdb ファイル) 形式を認識しません。 代わりに JSSE プロバイダーは、 Java Key Standard (JKS) などの標準ファイル形式を認識します。 SSL 鍵ファイルは、プラグインとアプリケーション・サーバーの間で共用されない可能性があります。 さらに、アプリケーション・サーバーの鍵ファイルおよびトラスト・ファイルを管理するためには、 鍵管理ユーティリティーの別のインプリメンテーションを使用する必要があります。
Java Secure Socket Extension (JSSE) プロバイダーの使用には、 次のようないくつかの制限事項もあります。
  • JSSE および Java Cryptography Extension (JCE) API を使用するカスタマー・コードは、 WebSphere Application Server 環境に存在していなければなりません。 この制限には、WebSphere Application Server にデプロイされるアプリケーション、および J2EE アプリケーション・クライアント環境のクライアント・アプリケーションが含まれます。
  • ハードウェア・トークンのサポートは、Java Cryptography Extension V1.2.1, Hardware Cryptography IBMJCE4758 に限定されます。
  • バージョン 2.0 の SSL プロトコルはサポートされていません。 また、JSSE および JCE API は、Java アプレット・アプリケーションではサポートされていません。

WebSphere Application Server と Java Secure Socket Extension および Java Cryptography Extension プロバイダーに対する連邦情報処理標準

連邦情報処理標準 (FIPS) 承認済みの Java Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE) プロバイダーは、WebSphere Application Server ではオプションです。デフォルトでは、FIPS 承 認済みの JSSE および JCE プロバイダーは使用不可になっています。 これらのプロバイダーが使用可能になっている場合、 WebSphere Application Server は、IBMJCEFIPS プロバイダー・パッケージのみに含まれている、 FIPS 承認済み暗号アルゴリズムを使用します。

重要: IBMJCEFIPS モジュールは、 FIPS 140-2 承認済みの暗号プロバイダーです。FIPS 認証プロセス、 および IBM サブミットの状況をチェックする方法について詳しくは、 Web サイト Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List を参照してください。
ネイティブ z/OS SSL は FIPS 準拠ではありません。ただし、ネイティブ SSL を使用する WebSphere Application Server for z/OS には以下が含まれています。
  • Internet InterORB Protocol (IIOP)
  • Hypertext Transfer Protocol (HTTPS)
HTTPS は、チャネル・フレームワークを使用するように構成できます。これは、FIPS が z/OS 上で使用可能になっている場合、構成されている必要があります。詳しくは、トランスポート・チェーンの構成 を参照してください。



サブトピック
認証性
機密性
保全性
デジタル証明書
Secure Sockets Layer およびトランスポート・チャネル・サービスを使用したネットワーク通信
関連タスク
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
通信の保護
関連情報
FIPS 140-1 および FIPS 140-2 暗号モジュール検証リスト
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_ssl.html