コレクション証明書ストアには、
これから検証を行う、信頼されていない中間証明書ファイルが含まれています。
コレクション証明書ストアをサーバー・レベルおよびセル・レベルで構成できます。
このタスクについて
検証では、
デジタル署名された SOAP メッセージ内の有効なシグニチャーの検査で証明書が証明書失効リスト (CRL) にあるかどうかの確認、
証明書が期限切れになっていないかの確認、
および証明書がトラステッド署名者によって発行されたかどうかの確認が行われます。
以下のステップを実行して、
コレクション証明書ストアをサーバー・レベルで構成します。
プロシージャー
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
- 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーの
デフォルト・バインディング」をクリックします。
- 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
- 「新規」をクリックしてコレクション証明書ストア構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存のコレクション証明書ストア構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
例えば、証明書ストアの名前を sig_certstore と指定できます。
コレクション証明書ストアの名前は、
アプリケーション・サーバーのレベルに対して固有でなければなりません。
例えば、コレクション証明書ストアをサーバー・レベルで作成する場合は、
ストア名はサーバー・レベルに対して固有でなければなりません。
「Certificate store name」フィールドで指定された名前は、
事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。
WebSphere Application Server は、
接近性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが、
cert1 という名前のコレクション証明書ストアを参照する場合、
Application Server は、サーバー・レベルを検索する前に、
アプリケーション・レベルで cert1 を検索します。
- 「証明書ストア・プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。
WebSphere Application Server は、
IBMCertPath 証明書ストア・プロバイダーをサポートします。
別の証明書ストア・プロバイダーを使用する場合は、
profile_root/properties/java.security ファイル内にある
プロバイダー・リストでプロバイダー・インプリメンテーションを定義する必要があります。
ただし、
そのプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートすることを確認してください。
- 「OK」および「保管」をクリックして、構成を保管します。
- 証明書ストア構成の名前をクリックします。
証明書ストア・プロバイダーを指定した後、
証明書失効リストの場所または X.509 証明書のいずれかを指定する必要があります。
ただし、証明書失効リストおよび X.509 証明書を両方とも証明書ストア構成に対して指定することができます。
- 「追加プロパティー」の下の「Certificate revocation lists」をクリックします。
ジェネレーター・バインディングの場合は、
生成されるセキュリティー・トークンに組み込まれる際に、
証明書失効リスト (CRL) が使用されます。
例えば、セキュリティー・トークンは、
CRL を用いて PKCS#7 フォーマットでラップする場合があります。
証明書失効リストの詳細については、
証明書失効リスト
を参照してください。
- 「新規」をクリックして証明書失効リストのパスを指定するか、
「削除」をクリックして既存のリスト参照を削除するか、
あるいは既存の参照名をクリックしてパスを編集します。
WebSphere Application Server が
無効な証明書のリストを見付けることができる場所への完全修飾パスを指定する必要があります。
WebSphere Application Server は、
証明書失効リストを使用して送信側証明書の妥当性を検査します。
移植性という理由から、証明書失効リストへの相対パスを指定する場合は、
WebSphere Application Server 変数を使用することをお勧めします。
WebSphere Application Server Network Deployment 環境で作業をしている場合は、この推奨事項が特に重要です。
例えば、
USER_INSTALL_ROOT 変数を使用して、
$
USER_INSTALL_ROOT/
mycertstore/
mycrl1 などのパスを定義する場合があります。
ここで、
mycertstore は証明書ストアの名前を表し、
mycrl1 は証明書失効リストを表します。
サポートされている変数のリストについては、
管理コンソールで「
環境」>「
WebSphere 変数」とクリックします。
以下のリストに、証明書失効リストの使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。
CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が
発行者の CRL に対して検査されます。
- CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。
コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
- 「OK」をクリックしてから「保管」をクリックして、構成を保管します。
- 「コレクション証明書ストア」構成パネルに戻ります。
- 「追加プロパティー」の下の「X.509 certificates」をクリックします。
X.509 証明書構成では、
着信する X.509 形式のセキュリティー・トークンの証明書パス検証のために使用される中間証明書ファイルを指定します。
- 「新規」をクリックして X.509 証明書構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存の X.509 証明書構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
- 「X.509 certificate path」フィールドにパスを指定します。
このエントリーは、X.509 証明書の場所への絶対パスです。
コレクション証明書ストアは、
着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。
例えば、$USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer と入力できます。
この証明書パスは、実動用には使用しないでください。
WebSphere Application Server 環境を実動させる前に、
認証局からユーザー独自の X.509 証明書を取得する必要があります。
管理コンソールで「環境」>「WebSphere 変数」とクリックして、
「USER_INSTALL_ROOT」変数を構成します。
- 「OK」をクリックしてから「保管」をクリックして、構成を保管します。
- 「Collection certificate store collection」パネルに戻り、
「ランタイムの更新」をクリックして、
ws-security.xml ファイルにあるデフォルトのバインディング情報で Web サービス・セキュリティー・ランタイムを更新します。
「ランタイムの更新」をクリックすると、
他の Web サービスで変更された構成も、Web サービス・セキュリティーのランタイムで更新されます。
結果
これで、サーバーまたはセル・レベルのコレクション証明書ストアが構成されました。