トラスト・アンカーは、署名者証明書を検証するトラステッド・ルート証明書を含む鍵ストアを指定します。 要求受信側および応答受信側はこれらの鍵ストアを使用して、デジタル・シグニチャーの署名者証明書を検証します。
要求の受信側 (ibm-webservices-bnd.xmi ファイルで定義) および応答の受信側 (Web サービスがクライアントとして動作する場合、ibm-webservicesclient-bnd.xmi ファイルで定義) は、これらの鍵ストアを使用して、デジタル・シグニチャーの署名者証明書を検証します。 鍵ストアは、デジタル・シグニチャーの検証の完全性を保つために重要なものです。 鍵ストアが改ざんされると、 ディジタル・シグニチャー検査の結果が疑わしくなり、信頼性が薄れます。 したがって、これらの鍵ストアを保護することをお勧めします。 ibm-webservices-bnd.xmi ファイルで要求受信側用に指定するバインディング構成は、ibm-webservicesclient-bnd.xmi ファイルで応答受信側用に指定されているバインディング構成と一致している必要があります。
トラスト・アンカーは、 Java CertPath アプリケーション・プログラミング・インターフェース (API) では javax.security.cert.TrustAnchor として定義されます。 Java CertPath API は、トラスト・アンカーと証明書ストアを使用して、 SOAP メッセージに組み込まれた着信 X.509 証明書を検証します。
WebSphere Application Server における Web サービス・セキュリティー・インプリメンテーションは、 このトラスト・アンカーをサポートします。 WebSphere Application Server では、トラスト・アンカーは Java 鍵ストア・オブジェクトとして表されます。 鍵ストアのタイプ、パス、およびパスワードは、 管理コンソールまたはスクリプトを介してインプリメンテーションに渡されます。