鍵ストアには、公開鍵と秘密鍵の両方が含まれています。
公開鍵は署名者証明書として保管され、一方、秘密鍵は個人証明書として保管されます。WebSphere Application Server では、
構成への鍵ストア・ファイルの追加は、
クライアントとサーバーとで異なっています。
クライアントの場合、鍵ストア・ファイルは sas.client.props プロパティー・ファイルなどのファイルに追加されます。
サーバーの場合、鍵
ストア・ファイルは WebSphere Application Server 管理コンソールを使用して追加されます。
始める前に
鍵ストア・ファイルを構成に追加する前に、次の質問を検討してください。
- 自己署名した個人証明書、または認証局 (CA) が署名した個人証明書を鍵ストアに作成するのか。
- デジタル証明書を使用してクライアント認証を構成する場合、署名された個人証明書の公開鍵を署名者証明書としてサーバーのトラストストア・ファイルにインポートするのか。
プロシージャー
sas.client.props ファイルを編集し、以下のプロパティーを設定することによって、
鍵ストア・ファイルをクライアント構成に追加します。
- com.ibm.ssl.keyStoreType (鍵ストアの形式を指定)。範囲: JKS (デフォルト)、PKCS12、JCEK。
また、JCERACFKS および JCE4758RACFKS は、z/OS プラットフォームで使用できます。
- com.ibm.ssl.keyStore (鍵ストア・ファイルへの完全修飾パスを指定)。
鍵ストア・ファイルには秘密鍵が含まれますが、公開鍵が含まれる場合もあります。
SAF 鍵リングの場合、com.ibm.ssl.keyStore を
safkeyring:/// に設定します。
- com.ibm.ssl.keyStorePassword (鍵ストア・ファイルにアクセスするためのパスワードを指定)。
SAF 鍵リングの場合
、com.ibm.ssl.keyStorePassword を password に設定し
、SAF 鍵リングを使用している場合は、com.ibm.ssl.keyStoreType を JCERACFKS に設定します。
- 以下のようにして、鍵ストア・ファイルをサーバー構成に追加します。
- http://server_hostname:port_number/ibm/console を指定して、管理コンソールを開始します。
- オプション:
「新規 SSSL レパートリー」をクリックして Secure Sockets Layer (SSL) の設定別名を新規に作成する
か (Secure Sockets Layer (SSL) の設定別名が存在していない場合)、または「新規 JSSE レパートリー」をクリックして新規 Java Secure Sockets Extension (JSSE) レパートリーを作成します。
- 鍵ストア・ファイルに追加する別名を選択します。
- 鍵ストア・ファイルのパスに鍵ファイル名を入力します。
SAF 鍵リングに
含まれている証明書および鍵を使用する場合は、safkeyring:///your_keyring_name と入力します。
- 鍵ストア・ファイルにアクセスするためのパスワードに鍵ファイル・パスワードを入力します。
SAF 鍵リングを使用している場合は、パスワードを入力します。
- 鍵ストアのタイプとして鍵ファイル形式を選択します。
範囲: JKS (デフォルト)、PKCS12、JCEK、または JCERACFKS (z/OS のみ)。
- 「OK」および「保管」をクリックして、構成を保管します。
結果
これで、SSL 構成の別名に、SSL 接続のための有効な鍵ストア・ファイルが含まれます。
例
- Internet Inter-ORB Protocol (IIOP) 用の SSL 接続
- Lightweight Directory Access Protocol (LDAP) 用の SSL 接続
- Hypertext Transfer Protocol (HTTP) 用の SSL 接続