トラスト・アンカー は、署名者の証明書の妥当性を検査するトラステッド・ルート証明書を含む、鍵ストアを指定します。これらの鍵ストアは、要求ジェネレーターおよび応答ジェネレーター (Web サービスがクライアントとして機能する場合)
によって、デジタル・シグニチャーの署名者証明書を生成するために使用されます。
管理コンソールを使用すると、アプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成できます。
始める前に
アプリケーション・レベルのトラスト・アンカーは、
Application Server ツールキットまたは管理コンソールを使用して構成することができます。
ここでは、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
このタスクについて
鍵ストアは、デジタル・シグニチャー検証の保全性のために、きわめて重要です。鍵ストアが改ざんされると、デジタル・シグニチャーの検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。要求ジェネレーターに対して指定されているバインディング構成は、
応答ジェネレーターのバインディング構成と一致している必要があります。
クライアント上の要求ジェネレーターの
トラスト・アンカー構成は、サーバー上の要求コンシューマーの構成と一致している必要があります。
また、サーバー上の応答ジェネレーターのトラスト・アンカー構成は、
クライアント上の応答コンシューマーの構成と一致している必要があります。
アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は
ここでは説明しません。サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、
サーバー・レベルまたはセル・レベルのトラスト・アンカーの構成
を参照してください。
アプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。
プロシージャー
- 管理コンソールのトラスト・アンカー・パネルを見つけます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web サービス・セキュリティー・プロパティー」では、以下のバインディングのトラスト・アンカー構成にアクセスできます。
- 要求ジェネレーター (送信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答ジェネレーター (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「Trust anchors」をクリックします。
- 「新規」をクリックしてトラスト・アンカー構成を作成するか、「削除」をクリックして
既存の構成を削除するか、既存のトラスト・アンカー構成の名前をクリックして、その設定を編集します。
新規構成を作成している場合は、「トラスト・アンカー名」フィールドに固有名を入力します。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。
鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、
中間 CA 証明書などが含まれています。鍵ストアから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
鍵ロケーター・クラス・インプリメンテーションに com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
インプリメンテーションを指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。
このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 鍵ストア・ファイルのロケーションを、「鍵ストア・パス」フィールドに指定します。
- 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。
IBM で使用されている Java Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography Extensions (JCE) を使用していない場合、
かつ鍵ストア・ファイルで Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
- JCERACFKS
- 証明書が SAF 鍵リング (z/OS のみ) に格納される場合は、JCERACFKS を使用します。
- PKCS11KS (PKCS11)
- 鍵ストアが PKCS#11 ファイル・フォーマットを使用する場合、このフォーマットを使用します。このフォーマットを使用する鍵ストアには、
暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストアが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
WebSphere Application Server では、USER_INSTALL_ROOT 変数を使用したディレクトリー () にいくつかの
サンプルの鍵ストア・ファイルが用意されています。
例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは Storepass で、タイプは JCEKS です。
重要: これらの鍵ストア・ファイルは実稼働環境では使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
結果
このタスクはアプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成します。
次の作業
コンシューマーに対しても、同様のトラスト・アンカー構成を指定する必要があります。