SSL 認証プロセスの間、WebSphere Application Server は、PERSONAL 証明書として接続する証明書を KeyEntry と見なします。 秘密鍵が使用可能なため、この証明書を Secure Sockets Layer (SSL) ハンドシェークでのエンド・ユーザー証明書として使用できます。
WebSphere Application Server は、CERTAUTH 証明書として接続する証明書を TrustedCertEntry と見なし、この証明書を認証局 (CA) として処理します。 キー・リングでは、PERSONAL として接続する証明書と、CERTAUTH として接続する CA 証明書が必要です。 SITE として接続する証明書は、このリリースではサポートされていません。
Certificate Label Name Cert Owner USAGE DEFAULT ---------------------- ---------- -------- ------- PersonalEndUserCert ID(USERID) PERSONAL YES PersonalEndUserCACert CERTAUTH CERTAUTH NO
security.provider.X=com.ibm.security.cert.IBMCertPath
いずれかの RACF 証明書のロードに失敗した場合、鍵ストアはロードされません。 キー・リングから不要な証明書をすべて除去する必要があります。
RACFInputStream には、以下の 3 つのパラメーターが含まれています。import com.ibm.crypto.provider.RACFInputStream; import com.ibm.crypto.provider.RACFKeyStore; String ksfname; String storePass = null; RACFInputStream ksStream = new RACFInputStream( System.getProperty("user.name"),ksfname,storePass); RACFKeyStore keyStore.load(ksStream, storePass); ksStream.close();上記の例では、WebSphere Application Server が RACF に受け渡すユーザー ID を提供するために、システム・プロパティー user.name が参照されています。 この例は一般的ではありません。
-Djava.protocol.handler.pkgsIBM Java Cryptography Extension (IBMJCE) プロバイダーを使用して暗号化サポートを提供している場合は、プロパティーを以下の値に設定します。
-Djava.protocol.handler.pkgs=com.ibm.crypto.providerIBMJCE4758 プロバイダーを使用して暗号化サポートを提供している場合は、プロパティーを以下の値に設定します。
-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.providerURL を使用して、java.policy ファイルのストリーム・ハンドラーを指定できます。 jarsigner ユーティリティーは、-keystore パラメーターの URL も受け入れます。 RACF キー・リングからの証明書が署名済み jar ファイルを検証する場合、以下のコード・サンプルに示すように、WebSphere Application Server がキー・リングを java.policy ファイルの鍵ストアへの入力ストリームとして使用する必要があることを指定できます。
keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";In this example,
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS