WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

サーバーまたはセル・レベルでのジェネレーター・バインディングの鍵情報の構成

署名情報構成や暗号化情報構成のバインディングがアプリケーション・レベルで定義されていない場合、 デフォルト・ジェネレーターの鍵情報を使用して、これらの構成で使用される鍵を指定します。

このタスクについて

署名および暗号化情報構成は同じ鍵情報を共有することができますが、これは、これらがどちらも同じレベルで定義されているためです。 WebSphere Application Server はこれらのバインディングのデフォルト値を提供します。 しかし、管理者は実稼働環境用にこれらの値を変更する必要があります。

以下のステップを実行して、ジェネレーター・バインディングの鍵情報をサーバー・レベルで構成します。

プロシージャー

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
    2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーの デフォルト・バインディング」をクリックします。
  2. 「デフォルト・ジェネレーター・バインディング」の下の「鍵情報」をクリックします。
  3. 新規」をクリックして鍵情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、既存の鍵情報構成名をクリックして、その設定を編集します。 新規構成を作成している場合は、「鍵情報名」フィールドに鍵構成の固有名を入力します。 例えば、sig_keyinfo などです。
  4. 「鍵情報タイプ」フィールドから鍵情報タイプを選択します。 WebSphere Application Server は、以下の鍵情報タイプをサポートします。
    鍵 ID
    この鍵情報タイプは、2 人の当事者が鍵 ID の作成方法に関して同意した場合に使用されます。 例えば、X.509 証明書のフィールドは、X.509 プロファイルに準じた鍵 ID に使用することができます。
    鍵名
    送信側と受信側が鍵名に同意した場合に、この鍵情報タイプが使用されます。
    セキュリティー・トークン参照
    この鍵情報タイプは一般に、X.509 証明書がデジタル・シグニチャーに使用される場合に使用されます。
    組み込みトークン
    この鍵情報タイプは、組み込みエレメントにセキュリティー・トークンを組み込むために使用されます。
    X509 の発行者名および発行者シリアル
    この鍵情報タイプは、発行者名およびシリアル番号で X.509 証明書を指定します。
    デジタル・シグニチャーに X.509 証明書を使用している場合は、「Security token reference」を選択します。 これらのステップでは、このフィールドに 「Security token reference」が選択されていることを前提とします。
    重要: この鍵情報タイプは、コンシューマーに対して指定した鍵情報タイプと一致している必要があります。
  5. 「Key locator reference」メニューから鍵ロケーター参照を選択します。 これらのステップでは、鍵ロケーター参照を sig_klocator と呼ぶことを前提とします。 鍵ロケーター参照は、デジタル・シグニチャーの鍵を生成するために使用される鍵ロケーターの名前です。 このフィールドで選択する前に鍵ロケーターを構成する必要があります。 鍵ロケーターの構成について詳しくは、サーバー・レベルでの JAX-RPC による 鍵ロケーターの構成 を参照してください。
  6. 鍵の取得」をクリックして鍵名参照のリストを表示します。鍵の取得」をクリックすると、sig_klocator エレメントで定義した鍵名が鍵名参照メニューに表示されます。 鍵ロケーター参照を変更する場合は、再度「Get keys」をクリックして新しい鍵ロケーターに関連付けられた鍵名のリストを表示します。
  7. 「鍵名参照」メニューから鍵名参照を選択します。 この鍵名参照は、デジタル・シグニチャーの生成および暗号化に使用する鍵の名前を指定します。 「鍵名参照」メニューは、「鍵ロケーター参照」フィールドで選択した鍵ロケーターに定義された鍵名のリストを表示します。 例えば、「signerkey」を選択します。 署名者鍵は、sig_klocator 鍵ロケーターに定義した鍵名であることを前提とします。
  8. 「Token reference」フィールドからトークン参照を選択します。 トークン参照は、構成されたトークン・ジェネレーターの名前を参照します。 デプロイメント記述子でセキュリティー・トークンが必要な場合は、トークン参照属性が必要です。 「鍵情報タイプ」フィールドで「セキュリティー・トークン参照」を選択する場合はトークン参照が必要であり、X.509 トークン・ジェネレーターを指定できます。 X.509 トークン・ジェネレーターを指定するには、構成されている X.509 トークン・ジェネレーターがなければなりません。 X.509 トークン・ジェネレーターを構成するには、サーバー・レベルで メッセージの認証性を保護するための、JAX-RPC によるトークンの構成 を参照してください。 残りのステップについては、gen_tcon という名前の X.509 is トークン・ジェネレーターが既に構成されていることを前提とします。
  9. オプション: 「エンコード方式」フィールドからエンコード方式を 選択します。 このフィールドは、鍵 ID のエンコード・フォーマットを指定します。 エンコード方式の属性は、鍵情報タイプに 「Key ID」を選択した場合に有効になります。 WebSphere Application Server は、以下のエンコード方式をサポートします。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
  10. オプション: 「Calculation method」フィールドから計算方式を選択します。 計算方式は、鍵 ID に使用される計算アルゴリズムを指定します。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 WebSphere Application Server は、以下の計算方式をサポートします。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
  11. オプション: 「Namespace URI」フィールドからセキュリティー・トークンの値タイプの Uniform Resource Identifier (URI) を指定します。 ネーム・スペース URI は鍵情報によって参照されます。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 X.509 証明書トークンを指定する場合、ネーム・スペース URI を指定する必要はありません。 別のトークンが指定されている場合は、ネーム・スペース URI を指定する必要があります。 例えば、Lightweight Third Party Authentication (LTPA) トークンには、 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を、 LTPA_PROPAGATION トークンには、 http://www.ibm.com/websphere/appserver/tokentype を指定できます。
  12. オプション: 「Local name」フィールドに、セキュリティー・トークンの値タイプのローカル名を指定します。 ローカル名は鍵 ID によって参照されます。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 WebSphere Application Server は以下のローカル名をサポートしています。
    X.509 証明書トークンの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath の X.509 証明書の場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 内 の X.509 証明書および CRL のリストの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA の場合
    LTPA
    LTPA_PROPAGATION の場合
    LTPA_PROPAGATION
  13. OK」および「保管」をクリックして、構成を保管します。

結果

サーバー・レベルまたはセル・レベルでジェネレーター・バインディングの鍵情報が構成されました。

次の作業

コンシューマー用に同様の鍵情報構成を指定する必要があります。



関連タスク
サーバーまたはセル・レベルでのコンシューマー・バインディングの鍵情報の構成
サーバー・レベルでの JAX-RPC による 鍵ロケーターの構成
サーバー・レベルで メッセージの認証性を保護するための、JAX-RPC によるトークンの構成
メッセージの保全性を保護するための、JAX-RPC を使用したジェネレーター署名の構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/twbs_configkeyinfogensvrcell.html