Secure Sockets Layer (SSL) プロトコルにより、
WebSphere Application Server におけるクライアントとサーバー間のセキュア接続のための、
認証性、保全性、および機密性のあるトランスポート層セキュリティーが提供されます。
このプロトコルは、TCP/IP の上位かつ、HTTP、Lightweight Directory Access Protocol (LDAP)、Internet Inter-ORB Protocol (IIOP) などのアプリケーション・プロトコルの下位で実行され、
トランスポート・データに信頼性とプライバシーを提供します。
クライアントとサーバー双方の SSL 構成に応じて、さまざまなレベルの信頼性、データ保全性、およびプライバシーを確立することができます。
適切な構成を行い、
クライアントとアプリケーション両方のデータに必要な保護レベルを実現するためには、SSL の基本動作について理解していることが非常に重要です。
SSL によって提供されるセキュリティー・フィーチャーの中には、
データの伝送中に機密情報が漏れないようにするためのデータの暗号化があります。
データの署名により、データの転送中にデータが許可なく変更されることを防止できます。
クライアント認証およびサーバー認証により、適切なユーザーまたはマシンと通信していることが保証されます。
SSL は、エンタープライズ環境の保護に効果的です。
WebSphere Application Server 内の複数のコンポーネントは SSL を使用することで、データを信頼できるものにし、プライバシーを保護します。
これらのコンポーネントは、
標準装備された HTTP トランスポート、
オブジェクト・リクエスト・ブローカー (ORB)、
およびセキュア LDAP クライアントです。
図 1. SSL および WebSphere Application Server
この図の場合は以下のとおりです。
- WebSphere Application Server に組み込まれた HTTP トランスポートは、ブラウザーなどの Web クライアントから、SSL を介した HTTP 要求を受け入れます。
- WebSphere Application Server で使用されるオブジェクト・リクエスト・ブローカーは、SSL を介して Internet Inter-ORB Protocol (IIOP) を実行し、メッセージを保護することができます。
- セキュア LDAP クライアントは、SSL を介して LDAP を使用し、LDAP ユーザー・レジストリーへのセキュア接続を実現します。このクライアントは、LDAP をユーザー・レジストリーとして構成する場合にのみ存在します。
WebSphere Application Server および IBM Java Secure Socket
Extension (IBMJSSE および IBMJSSE2) プロバイダー
JSSE プロバイダーの構成は、
他のほとんどの SSL インプリメンテーション (例えば、GSKit) の構成と非常に類似していますが、
明記すべき相違点がいくつかあります。
- JSSE プロバイダーは、SSL 鍵ファイルへの、
署名者証明書および個人証明書の両方の保管をサポートしていますが、
トラスト・ファイル と呼ばれる別のファイルもサポートしています。
トラスト・ファイルには、署名者証明書のみを入れることができます。
個人証明書はすべて SSL 鍵ファイルに入れ、
署名者証明書はトラスト・ファイルに入れることができます。
この対応は、例えば、個人証明書を保持できる程度のメモリーしか持たない低価格のハードウェア暗号デバイスを使用する場合に役に立ちます。
この場合、鍵ファイルは、そのハードウェア・デバイスを参照し、トラスト・ファイルは、すべての署名者証明書を含むディスク上のファイルを参照します。
- JSSE プロバイダーは、
プラグインで使用されるプロプラエタリー SSL 鍵
ファイル (.kdb ファイル) 形式を認識しません。
代わりに JSSE プロバイダーは、
Java Key Standard (JKS) などの標準ファイル形式を認識します。
SSL 鍵ファイルは、プラグインとアプリケーション・サーバーの間で共用されない可能性があります。
さらに、アプリケーション・サーバーの鍵ファイルおよびトラスト・ファイルを管理するためには、
鍵管理ユーティリティーの別のインプリメンテーションを使用する必要があります。
Java Secure Socket Extension (JSSE) プロバイダーの使用には、
次のようないくつかの制限事項もあります。
- JSSE および Java Cryptography Extension (JCE) API を使用するカスタマー・コードは、
WebSphere Application Server 環境に存在していなければなりません。
この制限には、WebSphere Application Server にデプロイされるアプリケーション、および J2EE アプリケーション・クライアント環境のクライアント・アプリケーションが含まれます。
- ハードウェア・トークンのサポートは、Java Cryptography Extension V1.2.1, Hardware Cryptography
IBMJCE4758 に限定されます。
- バージョン 2.0 の SSL プロトコルはサポートされていません。
また、JSSE および JCE API は、Java アプレット・アプリケーションではサポートされていません。
WebSphere Application Server と Java Secure Socket Extension および Java
Cryptography Extension プロバイダーに対する連邦情報処理標準
連邦情報処理標準 (FIPS)
承認済みの Java Secure Socket Extension (JSSE) および Java Cryptography Extension
(JCE) プロバイダーは、WebSphere Application Server ではオプションです。デフォルトでは、FIPS 承
認済みの JSSE および JCE プロバイダーは使用不可になっています。 これらのプロバイダーが使用可能になっている場合、
WebSphere Application Server は、IBMJCEFIPS プロバイダー・パッケージのみに含まれている、
FIPS 承認済み暗号アルゴリズムを使用します。
ネイティブ z/OS SSL は FIPS 準拠ではありません。ただし、ネイティブ SSL を使用する WebSphere Application
Server for z/OS には以下が含まれています。
- Internet InterORB Protocol (IIOP)
- Hypertext Transfer Protocol (HTTPS)
HTTPS は、チャネル・フレームワークを使用するように構成できます。これは、FIPS が
z/OS 上で使用可能になっている場合、構成されている必要があります。詳しくは、
トランスポート・チェーンの構成
を参照してください。