WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

Web サービス・セキュリティーに対するハードウェア暗号デバイスのサポート

IBM WebSphere Application Server バージョン 6.1 以降では、Web サービス・セキュリティーは暗号ハードウェア・デバイスの使用をサポートしています。 Web サービス・セキュリティーでハードウェア暗号装置を使用するには、 2 とおりの方法があります。

ハードウェア・デバイスでの暗号操作の使用可能化

ハードウェア・デバイスで暗号操作を使用可能にできます。 使用する鍵は Java 鍵ストア・ファイルに保管でき、ハードウェア・デバイスに保管する必要はありません。 ハードウェア・デバイスで暗号操作を使用可能にする決定は、サーバー・レベルでのみ行うことができ、ア プリケーション・レベルでは行うことができません。

ハードウェア・デバイスでの暗号操作が使用可能になっていると、Web サービス・セキュリティー・ランタイムはまず、暗号操作にハードウェア・デバイスを使用しようとします。 ハードウェア・デバイスの試行が失敗するか、ハードウェア・デバイスでアルゴリズムがサポートされていない場合は、ランタイムはセキュリティー・プロバイダーのリストからソフトウェア・プロバイダーを使用します。

このフィーチャーを使用可能にすると、ハードウェア・デバイスによってはパフォーマンスが向上することがあります。 ハードウェア・デバイスで暗号操作を使用可能にする方法について詳しくは、Web サービス・セキュリティー用ハードウェア暗号デバイスの構成 を参照してください。

セキュアな鍵

暗号鍵は、ハードウェア暗号デバイスに保管でき、このデバイス から移動することはありません。 こうしたセキュアな鍵は、パフォーマンスではなくセキュリティーを考慮して、ハードウェア暗号デバ イスに限定されています。 ハードウェア暗号デバイスに保管されている鍵ストアを使用するか、Java 鍵ストア・ファイルを使用するかの選択は、 アプリケーション・レベルで行うことができます。

鍵ストア参照がハードウェア・デバイス構成に指定されている場合、Web サービス・セキュリティー・ランタイムはまず、ハードウェア・デバイスから暗号アルゴリズムを取得しようとします。 アルゴリズムがサポートされていない場合または失敗する場合は、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。

セキュアな鍵を使用可能にする方法について詳しくは、Web サービス・セキュリティー内のハードウェア・デバイスに格納されている暗号鍵の使用可能化 を参照してください。

制限

Web サービス・セキュリティーに対するハードウェア暗号デバイスのサポートには、現在次のような制限があります。
  • J2EE アプリケーション・クライアントとして実行する Web サービス・クライアントはサポートしていません。
  • iSeries では、ハードウェア暗号デバイスはサポートしていません。
  • バージョン 6.1 以降の Web サービス・セキュリティー・アプリケーションのみが、ハードウェア暗号サポートを利用できます。
    注: バージョン 5.x および 6.0.x Web サービス・セキュリティー・アプリケーションは、バージョン 6.1 WebSphere Application Server で実行できますが、ハードウェア暗号サポートを利用できません。

セッション鍵の長期間の使用

WebSphere Application Server を構成して、ハードウェア鍵ストアを使用したり、ハードウェア・アクセラレーション・カードを構成して、セッション鍵の長期間の使用を可能にします。 セッション鍵は、セキュアでない場合があります。

セキュアでないセッション鍵について不安な場合は、WebSphere Application Server を構成し、ハードウェア鍵ストアを使用してください。Web サービス・セキュリティーのハードウェア・デバイスに格納されている暗号鍵を有効にする方法に関する情報を参照してください。

ハードウェア・アクセラレーション・カードを構成して、セッション鍵の長期間の使用を 可能にするには、製造者の文書で特定のハードウェア・アクセラレーション・カードを参照してください。 以下に例を示します。
  1. nCipher nforce 1600 server バージョン 2.23.6 の場合、nCipher 文書の指示に従ってください。
  2. CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm パラメーターを cknfastrc 構成ファイルで設定することができます。この構成変更は、セッション鍵に関連付けられる制限時間を除去します。
  3. Cipher の文書に従って、nCipher サーバーを再始動します。
  4. WebSphere Application Server を再始動します。



関連概念
プラットフォーム構成とデフォルト・バインディングの概要
関連タスク
Web サービス・セキュリティー用ハードウェア暗号デバイスの使用可能化
Web サービス・セキュリティー用ハードウェア暗号デバイスの構成
Web サービス・セキュリティー内のハードウェア・デバイスに格納されている暗号鍵の使用可能化
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/cwbs_cryptodev.html