ハードウェア暗号デバイスは、使用する前に構成し、使用可能にする必要があります。
初めに、Secure Sockets Layer (SSL) 証明書と管理コンソール内の鍵管理パネルを使用するハードウェア暗号デバイスを構成する必要があります。
暗号操作用の鍵は、通常の Java 鍵ストア・ファイルに保管でき、ハードウェア・デバイスに保管する必要はありません。
特定ファイルのセットアップ手順を実行して暗号操作を使用可能にし、
暗号デバイスを使用できるようにします。
プロシージャー
- WebSphere Application Server を停止します。
- 新規ポリシー・ファイルをダウンロードし、インストールします。
- 「J2SE 5.0」をクリックします。
- ページをスクロールダウンしてから、「IBM SDK Policy files」をクリックします。
SDK 5 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- 「Sign in」をクリックして、IBM.com ID とパスワードを入力します。
- 「Unrestricted JCE Policy files for SDK 5」を選択して「継続」をクリックします。
- 使用許諾書を読み、「I Agree」をクリックして先へ進みます。
- 「Download Now」をクリックします。
- ZIP ファイルに圧縮された、制限されていない管轄権ポリシー・ファイルを解凍します。ZIP ファイルには、
US_export_policy.jar ファイルと local_policy.jar ファイルが含まれています。
- WebSphere Application Server のインストール・システムで、
$JAVA_HOME/jre/lib/security ディレクトリーへ進み、
ご使用の US_export_policy.jar および local_policy.jar ファイルをバックアップします。
- US_export_policy.jar および local_policy.jar フ
ァイルを IBM.com Web サイトからダウンロードした 2 つのファイルと置き換えます。
以下は、このコピー操作の例です。$JAVA_HOME/demo/jce/policy-files/unrestricted/* to
$JAVA_HOME/lib/security
- これらのポリシー・ファイルにあるすべてのシンボリック・リンクを削除して、
結果を該当する $JAVA_HOME ディレクトリーにコピーします。 この削除は、
デプロイメント・マネージャーと Application Server の両方について実行します。以下に例を示します。
以下に示すのは、シンボル変更前のファイルです。/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security : > ls -l
lrwxrwxrwx 1 WSOWNER WSCFG1 54 Sep 19 16:22 US_export_policy.jar -> /zWAS61B/V6R1/java64/lib/security/US_export_policy.jar
lrwxrwxrwx 1 WSOWNER WSCFG1 41 Sep 19 16:22 cacerts -> /zWAS61B/V6R1/java64/lib/security/cacerts
lrwxrwxrwx 1 WSOWNER WSCFG1 45 Sep 19 16:22 java.policy -> /zWAS61B/V6R1/java64/lib/security/java.policy
-rwxrwxr-x 1 WSOWNER WSCFG1 9917 Sep 19 16:22 java.security
lrwxrwxrwx 1 WSOWNER WSCFG1 50 Sep 19 16:22 local_policy.jar -> /zWAS61B/V6R1/java64/lib/security/local_policy.jar
以下に示すのは、シンボリック・リンクが除去される場所です。/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security : > rm US_export_policy.jar
/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security : > rm local_policy.jar
製品 HFS からユーザーの構成 HFS にファイルをコピーします。/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security : > cp /WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/demo/jce/policy-files/unrestricted/US_export_policy.jar US_export_policy.jar
/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security : > cp /WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/demo/jce/policy-files/unrestricted/local_policy.jar local_policy.jar
/WebSphere/V6R1M0B/DeploymentManager1/java64/lib/security : > ls -l
-rw-r--r-- 1 ACHARYA WSCFG1 2199 Oct 2 17:06 US_export_policy.jar
lrwxrwxrwx 1 WSOWNER WSCFG1 41 Sep 28 21:38 cacerts -> /zWAS61B/V6R1/java64/lib/security/cacerts
lrwxrwxrwx 1 WSOWNER WSCFG1 45 Sep 28 21:38 java.policy -> /zWAS61B/V6R1/java64/lib/security/java.policy
-rwxrwxr-x 1 WSOWNER WSCFG1 9917 Oct 2 18:00 java.security
-rw-r--r-- 1 ACHARYA WSCFG1 2212 Oct 2 17:06 local_policy.jar
- $JAVA_HOME/lib/security
ディレクトリーにある java.security ファイルを変更します。 この例では、ファイル名は次のとおりです。/WebSphere/V6R1M0B/DeploymentManager1/$JAVA_HOME/lib/security/java.security
- この変更は、適切な $JAVA_HOME ディレクトリーで実行してください。
例えば、../java64/lib/security で行います。
- このファイルの次の行をアンコメントします。
#security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
そして、
プロバイダーおよび設定順序のリストを以下のように再配列します。security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
ファイル構造とコンテンツは使用できるようになっています。
- WebSphere Application Server を始動します。
WebSphere Application Server で実行されるすべての Web サービス・セキュリティー・アプリケーション用の暗号デバイスが使用可能になります。
結果
この手順では、WebSphere Application Server 上で稼働しているすべての Web サービス・セキュリティー・アプリケーション用のハードウェア暗号デバイスを構成し、使用可能にします。