WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

デフォルト構成

管理コンソールでテストのためにサンプル構成を使用できます。 指定された構成は、セル・レベルまたはサーバー・レベルで反映されます。

この情報は、サンプル・デフォルト・バインディング、鍵ストア、鍵ロケーター、 コレクション証明書ストア、トラスト・アンカー、トラステッド ID エバリュエーターを説明しています。

これらの構成は、サンプルおよびテストのみを目的とするものであるため、実稼働環境では使用しないでください。 これらのサンプル構成を変更するには、WebSphere Application Server に用意された管理コンソールを使用することをお勧めします。

Web サービス・セキュリティー対応のアプリケーションの場合は、 デプロイメント記述子およびバインディングを正しく構成しなければなりません。 WebSphere Application Server バージョン 6 以降では、デフォルト・バインディングの 1 つのセットを複数のアプリケーションで共用するため、 アプリケーションのデプロイメントが容易になっています。 セル・レベルおよびサーバー・レベルのデフォルト・バインディング情報は、 アプリケーション・レベルのバインディング情報によってオーバーライドすることができます。 アプリケーション・サーバーは、サーバー・レベル、そして次のセル・レベルを検索する前に、 アプリケーション・レベルでアプリケーションのバインディング情報を検索します。

デフォルトのジェネレーター・バインディング

WebSphere Application Server バージョン 6.x 以降では、デフォルトのジェネレーター・バインディングのサンプル・セットを提供しています。 デフォルトのジェネレーター・バインディングには署名情報と暗号情報の両方が含まれています。

サンプルの署名情報構成は、gen_signinfo と呼ばれ、以下の構成を含んでいます。
  • gen_signinfo 構成に、以下のアルゴリズムを使用します。
    • シグニチャー・メソッド: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化方式: http://www.w3.org/2001/10/xml-exc-c14n#
  • gen_signkeyinfo 署名鍵情報を参照します。 以下の情報は gen_signkeyinfo 構成に関するものです。
    • gen_signpart と呼ばれるパーツ参照構成を含みます。 パーツ参照は、デフォルト・バインディングでは使用されません。 署名情報は、デプロイメント記述子内のすべての「Integrity」または「Required Integrity」エレメントに適用され、情報はネーミング目的でのみ使用されます。 以下の情報は gen_signpart 構成に関するものです。
      • transform1 と呼ばれる変換構成を使用します。 以下の変換は、デフォルトの署名情報のために構成されています。
        • http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用します。
        • http://www.w3.org/2000/09/xmldsig#sha1 ダイジェスト・メソッドを使用します。
    • セキュリティー・トークン参照を使用します。これは、構成済みのデフォルト鍵情報です。
    • SampleGeneratorSignatureKeyStoreKeyLocator 鍵ロケーターを使用します。 この鍵ロケーターについての詳細は、サンプル鍵ロケーター を参照してください。
    • gen_signtgen トークン・ジェネレーターを使用します。これには以下の構成が含まれています。
      • X.509 トークン・ジェネレーターを含みます。これは署名者の X.509 トークンを生成します。
      • gen_signtgen_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • X.509 コールバック・ハンドラーを使用します。 コールバック・ハンドラーは ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアを呼び出します。
      • 鍵ストアのパスワードは client です。
      • トラステッド証明書の別名は soapca です。
      • 個人証明書の別名は soaprequester です。
      • 鍵パスワード・クライアントは中間認証局 Int CA2 が発行し、 この中間認証局は、soapca が発行します。
サンプルの暗号化情報構成は、gen_encinfo と呼ばれ、以下の構成を含んでいます。
  • gen_encinfo 構成に、以下のアルゴリズムを使用します。
    • データ暗号化方式: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 鍵暗号化方式: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • gen_enckeyinfo 暗号鍵情報を参照します。 以下の情報は gen_enckeyinfo 構成に関するものです。
    • デフォルト鍵情報として、鍵 ID を使用します。
    • SampleGeneratorEncryptionKeyStoreKeyLocator 鍵ロケーターへの参照を含みます。 この鍵ロケーターについての詳細は、サンプル鍵ロケーター を参照してください。
    • gen_signtgen トークン・ジェネレーターを使用します。これは以下の構成を持っています。
      • X.509 トークン・ジェネレーターを含みます。これは署名者の X.509 トークンを生成します。
      • gen_enctgen_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • X.509 コールバック・ハンドラーを使用します。 コールバック・ハンドラーは ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 鍵ストアを呼び出します。
      • 鍵ストアのパスワードは storepass です。
      • 秘密鍵 CN=Group1 は、Group1 という別名および keypass というパスワードを持っています。
      • 公開鍵 CN=Bob, O=IBM, C=US は、bob という別名および keypass というパスワードを持っています。
      • 秘密鍵 CN=Alice, O=IBM, C=US は、alice という別名および keypass というパスワードを持っています。

デフォルトのコンシューマー・バインディング

WebSphere Application Server バージョン 6 以降では、 デフォルトのコンシューマー・バインディングのサンプル・セットを提供しています。 デフォルトのコンシューマー・バインディングには、署名情報と暗号化情報の両方が含まれています。

サンプルの署名情報構成は、con_signinfo と呼ばれ、以下の構成を含んでいます。
  • con_signinfo 構成に、以下のアルゴリズムを使用します。
    • シグニチャー・メソッド: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 正規化方式: http://www.w3.org/2001/10/xml-exc-c14n#
  • con_signkeyinfo 署名鍵情報参照を使用します。 以下の情報は con_signkeyinfo 構成に関するものです。
    • con_signpart と呼ばれるパーツ参照構成を含みます。 パーツ参照は、デフォルト・バインディングでは使用されません。 署名情報は、デプロイメント記述子内のすべての「Integrity」または「RequiredIntegrity」エレメントに適用され、情報はネーミング目的でのみ使用されます。 以下の情報は con_signpart 構成に関するものです。
      • reqint_body_transform1 と呼ばれる変換構成を使用します。 以下の変換は、デフォルトの署名情報のために構成されています。
        • http://www.w3.org/2001/10/xml-exc-c14n# アルゴリズムを使用します。
        • http://www.w3.org/2000/09/xmldsig#sha1 ダイジェスト・メソッドを使用します。
    • セキュリティー・トークン参照を使用します。これは、構成済みのデフォルト鍵情報です。
    • SampleX509TokenKeyLocator 鍵ロケーターを使用します。 この鍵ロケーターについての詳細は、サンプル鍵ロケーター を参照してください。
    • con_signtcon トークン・コンシューマー構成を参照します。 以下の情報は con_signtcon 構成に関するものです。
      • X.509 トークン・コンシューマーを使用します。これはデフォルトの署名情報のためのコンシューマーとして構成されています。
      • signtconsumer_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • 以下の情報を参照する、system.wssecurity.X509BST と呼ばれる JAAS 構成を含みます。
      • トラスト・アンカー: SampleClientTrustAnchor
      • コレクション証明書ストア: SampleCollectionCertStore
暗号化情報構成は、con_encinfo と呼ばれ、以下の構成を含んでいます。
  • con_encinfo 構成に、以下のアルゴリズムを使用します。
    • データ暗号化方式: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 鍵暗号化方式: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • con_enckeyinfo 暗号鍵情報を参照します。 この鍵が、実際にメッセージを暗号化解除します。 以下の情報は con_enckeyinfo 構成に関するものです。
    • 鍵 ID を使用します。これは、デフォルト暗号化情報のための鍵情報として構成されています。
    • SampleConsumerEncryptionKeyStoreKeyLocator 鍵ロケーターへの参照を含みます。 この鍵ロケーターについての詳細は、サンプル鍵ロケーター を参照してください。
    • con_enctcon トークン・コンシューマー構成を参照します。 以下の情報は con_enctcon 構成に関するものです。
      • X.509 トークン・コンシューマーを使用します。これはデフォルトの暗号化情報のために構成されています。
      • enctconsumer_vtype 値タイプの URI を含みます。
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 値タイプのローカル名値を含みます。
    • system.wssecurity.X509BST と呼ばれる JAAS 構成を含みます。

サンプル鍵ストア構成

以下のサンプル鍵ストアはテストのみを目的とするものです。これらの鍵ストアを実稼働環境で使用しないでください。

サンプル鍵ロケーター

鍵ロケーターは、デジタル・シグニチャー、暗号化、および暗号化解除のための鍵を見つけるために使用されます。 これらのサンプル鍵ロケーター構成を変更する方法についての詳細は、以下の項目を参照してください。 [バージョン 5 のみ]
SampleClientSignerKey
この鍵ロケーターは、バージョン 5.x アプリケーションの要求送信側が、Simple Object Access Protocol (SOAP) メッセージに署名する場合に使用します。 署名鍵名は clientsignerkey です。これは、署名情報で署名鍵名として参照されます。
SampleServerSignerKey
この鍵ロケーターは、バージョン 5.x アプリケーションの応答送信側が、SOAP メッセージに署名する場合に使用します。 署名鍵名は serversignerkey です。これは、 署名情報で署名鍵名として参照されます。
SampleSenderEncryptionKeyLocator
この鍵ロケーターは、バージョン 5.x アプリケーションの送信側が、SOAP メッセージを暗号化する場合に使用します。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。 このインプリメンテーションは、DES 秘密鍵用に構成されます。 非対称暗号化 (RSA) を使用するには、適切な RSA 鍵を追加する必要があります。
SampleReceiverEncryptionKeyLocator
この鍵ロケーターは、バージョン 5.x アプリケーションの受信側が、暗号化された SOAP メッセージを暗号化解除する場合に使用します。 このインプリメンテーションは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。 このインプリメンテーションは、対称暗号化 (DES または TRIPLEDES) 用に構成されています。 RSA を使用するには、秘密鍵 CN=Bob, O=IBM, C=US、別名 bob、および鍵パスワード keypass を追加する必要があります。
SampleResponseSenderEncryptionKeyLocator
この鍵ロケーターは、バージョン 5.x アプリケーションの応答送信側が、SOAP 応答メッセージを暗号化する場合に使用します。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。 この鍵ロケーターによって、暗号化の公開鍵に (現在のスレッドの) 認証 ID がマップされます。 WebSphere Application Server は、デフォルトでは公開鍵 alice にマップされるよう構成されているため、これを適切なユーザーに変更する必要があります。 また、SampleResponseSenderEncryptionKeyLocator 鍵ロケーターは、暗号化のデフォルト鍵を設定することもできます。 この鍵ロケーターは、デフォルトでは公開鍵 alice を使用するよう構成されています。
[バージョン 6 のみ]
SampleGeneratorSignatureKeyStoreKeyLocator
この鍵ロケーターは、ジェネレーターが、SOAP メッセージに署名する場合に使用します。 署名鍵名は SOAPRequester です。これは、署名情報で署名鍵名として参照されます。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアおよび com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するよう構成されています。
SampleConsumerSignatureKeyStoreKeyLocator
この鍵ロケーターは、コンシューマーが SOAP メッセージ内にデジタル・シグニチャーを検証する場合に使用します。 署名鍵は SOAPProvider です。これは、署名情報で参照されます。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 鍵ストアおよび com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。
SampleGeneratorEncryptionKeyStoreKeyLocator
この鍵ロケーターは、ジェネレーターが SOAP メッセージを暗号化する場合に使用します。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。
SampleConsumerEncryptionKeyStoreKeyLocator
この鍵ロケーターは、コンシューマーが暗号化された SOAP メッセージを暗号化解除する場合に使用します。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。
SampleX509TokenKeyLocator
この鍵ロケーターは、コンシューマーが X.509 証明書内のデジタル証明書を検証する場合に使用します。 これは、${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 鍵ストアおよび com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 鍵ストア鍵ロケーターを使用するように構成されています。

サンプル・コレクション証明書ストア

コレクション証明書ストアは、証明書パスを検証する場合に使用します。 このサンプル・コレクション証明書ストアを変更する方法についての詳細は、以下の項目を参照してください。
SampleCollectionCertStore
このコレクション証明書ストアは、応答コンシューマーおよび要求ジェネレーターが、署名者証明書パスを検証する場合に使用します。

サンプル・トラスト・アンカー

トラスト・アンカーは、署名者証明書の信頼性を検証する場合に使用します。 サンプル・トラスト・アンカー構成を変更する方法についての詳細は、以下の項目を参照してください。 [バージョン 5 のみ]
SampleClientTrustAnchor
このトラスト・アンカーは、応答コンシューマーが、署名者証明書を検証する場合に使用します。 このトラスト・アンカーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアにアクセスするように構成されています。
SampleServerTrustAnchor
このトラスト・アンカーは、要求コンシューマーが、署名者証明書を検証する場合に使用します。 このトラスト・アンカーは、${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 鍵ストアにアクセスするように構成されています。

サンプル・トラステッド ID エバリュエーター

トラステッド ID エバリュエーターは、ID アサーションで ID を表明する前に信頼を確立する場合に使用します。 サンプル・トラステッド ID エバリュエーターの構成を変更する方法についての詳細は、サーバーまたはセル・レベルでのトラステッド ID エバリュエーターの構成 を参照してください。
SampleTrustedIDEvaluator
このトラステッド ID エバリュエーターは、com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl インプリメンテーションを使用します。 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator のデフォルトのインプリメンテーションには、トラステッド ID のリストが含まれています。 このリストは ID アサーションに使用され、 トラステッド ID の鍵名と値の組を定義します。鍵名の形式は trustedId_*、値はトラステッド ID です。 詳しくは、サーバーまたはセル・レベルでのトラステッド ID エバリュエーターの構成 の例を参照してください。
以下のステップを実行して、管理コンソールでこの情報をセル・レベルに対して定義します。
  1. セキュリティー」>「Web サービス」をクリックします。
  2. 「追加プロパティー」の下で、「Trusted ID evaluators」>「SampleTrustedIDEvaluator」とクリックします。



関連概念
Web サービス・セキュリティーのハイレベル・アーキテクチャー
関連タスク
アプリケーション・レベルでのジェネレーター・バインディングのための、 JAX-RPC による鍵ロケーターの構成
アプリケーション・レベルでのコンシューマー・バインディングのための、 JAX-RPC による鍵ロケーターの構成
サーバーまたはセル・レベルでの JAX-RPC による 鍵ロケーターの構成
アプリケーション・レベルでのジェネレーター・バインディングのコレクション証明書ストアの構成
アプリケーション・レベルでのコンシューマー・バインディングのコレクション証明書ストアの構成
サーバー・レベルまたはセル・レベルでのコレクション証明書の構成
アプリケーション・レベルでのジェネレーター・バインディングのトラスト・アンカーの構成
アプリケーション・レベルでのコンシューマー・バインディングのトラスト・アンカーの構成
サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成
サーバーまたはセル・レベルでのトラステッド ID エバリュエーターの構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/cwbs_defaultconfigwssecurity.html