WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

Secure Sockets Layer デジタル証明書、およびアプリケーションが HTTPS 要求の開始に 使用できる System Authorization Facility 鍵リングの作成

Secure Sockets Layer (SSL) デジタル証明書、およびアプリケーションが HTTPS 要求の開始に 使用できる System Authorization Facility (SAF) 鍵リングを作成することができます。

このタスクについて

SAF 鍵リング (および個人鍵) の所有者は、 サーバント領域の STARTED クラス・プロファイルによって設定された MVS ユーザー ID である必要があります。 これらのアプリケーションは WebSphere Application Server for z/OS サーバント領域アドレス で実行されるため、このユーザー ID は所有者である必要があります。このユーザー ID は、 WebSphere Application Server for z/OS コントローラーのユーザー ID とは異なります。

階層ファイル・システム (HFS) で 鍵ストアやトラストストアを使用する場合、ファイル名は、一意にファイル・システム内のファイルを 示します。

プロシージャー

  1. セキュリティー・サーバーとして Resource Access Control Facility (RACF) を使用する場合は、 次のように指定して、HTTPS アプリケーションが使用する個人の鍵リングを生成することができます。
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    この例では、固有のサーバント領域証明書の生成に使用される認証局は、 カスタマイズ・ジョブによって WebSphere Application Server for z/OS サーバー証明書の生成 に使用される認証局と同じです。

  2. 制御領域ユーザー ID に使用されるのと同じ名前で鍵リングを作成します。
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    新規鍵リングは、 認証局証明書およびサーバント・サーバー証明書のサーバント・ユーザー ID によって所有されます。
  3. 認証局証明書 (認証局からの証明書) を持っている必要があります。同じ認証局 を使用して、HTTPS アプリケーションが使用する証明書を生成することができます。この証明書は、 WebSphere Application Server ランタイム処理に使用される証明書と類似しています。 デジタル証明書の作成に使用される認証局証明書は、WebSphere Application Server ランタイム によって使用され、システム・カスタマイズの際に作成されます (カスタマイズ・ダイアログによって 作成することもできます)。次のように指定して、この認証局証明書を上記で作成した鍵リングに 接続することができます。
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    この例では、 次のようになっています。
    • S1GRING は、RACF 鍵リングを表します
    • ASSR1 は、サーバント・ユーザー ID を表します
    • PVT CA は、認証局を表します

    要求の宛先が別の WebSphere Application Server for z/OS サーバーの場合、 WebSphere Application Server for z/OS HTTPS レパートリーによって使用される 認証局証明書 (通常、カスタマイズの際にセットアップされる) が証明書署名者と異なるときは、 これを自分の鍵リングにインポートする必要もあります。クライアント証明書を使用する認証が要求 される場合は、アプリケーションの認証局を HTTPS レパートリーにインポートする必要もあります。

  4. 個人証明書を自分の鍵リングに接続します。
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    この例では、 次のようになっています。
    • S1GRING は、RACF 鍵リングを表します
    • ASSR1 は、サーバント・ユーザー ID を表します
    • ASSR1 SERVER CERTIFICATE は、サーバント・ユーザー ID のサーバー証明書を表します
  5. SYSPLEX 内で固有でなければならないカスタマイズ可能情報を入力します。 以下の情報を指定することができます。
    • サブジェクトの公開鍵
    • サブジェクトの識別名 (X.509 証明書のエンティティーを一意に示す)
      • 共通名
      • タイトル
      • 組織名
      • 組織単位名
      • 地域名
      • 都道府県名
    • 証明書を発行する認証局の識別名
    • 証明書の発効日
    • 証明書の有効期限
    • バージョン番号
    • シリアル番号
  6. カスタマイズ・ジョブの出力を検査してセットアップの内容を確認します。 HLQ.DATA.(BBOWBRAK、保管されている場合は BBOSBRAK) を調べ、 認証局証明書ラベルの設定、サーバント領域の開始済みタスク ID を記録します。Web サービスの既存の レパートリー定義を使用する場合は、鍵リング名が作成されます。

結果

注:
  • 以下のことを考慮に入れてください。
  • SSLConfig 定義によって指示されるレパートリー・タイプは、 Java Secure Socket Extension (JSSE) レパートリーである必要があります。このレパートリーは、 以下を参照するように構成することができます。
    • HFS ファイルにおける Java Key Store (JKS) 鍵ストアおよびトラストストアの各ファイル
    • RACFJSSESettings などの SAF 鍵リング
  • レパートリー定義のスコープは、レパートリー・タイプによって異なります。以下に例を示します。
    • レパートリーが SAF 鍵リングを参照する場合、鍵リングは、それを使用するプロセス の MVS ユーザー ID によって所有される必要があります。カスタマイズ・ジョブは、 WebSphere Application Server for z/OS コントローラーの開始済みタスク・ユーザー ID によって 所有される鍵リングを作成します。 WebSphere Application Server Web サービス・クライアントは、 WebSphere Application Server for z/OS サーバント領域の開始済みタスク・ユーザー ID のユーザー ID を使用して実行されます。これは、サーバント領域のユーザー ID によって所有される新規鍵リング を作成する必要があることを意味します。既存の SSL レパートリーを指定しても、 このユーザー ID が WebSphere Application Server Web サービス・クライアントによって使用されます。
    • レパートリーが HFS ファイルを参照する場合は、すべてのプロセスが鍵ストアを共用できます。HFS で 鍵ストアやトラストストアを使用する場合、ファイル名は、一意にファイル・システム内のファイルを 示します。

ユーザー定義可能な ibm-webservicesclient-bnd.xmi アセンブリー・プロパティー の 1 つである sslConfig プロパティーを編集して使用するには、なんらかのデジタル証明書 および鍵リング管理が必要です。。




関連タスク
インストール時のセキュリティーの準備
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_createsslsaf.html