JMS クライアントおよび JMS リソース・アダプターの接続の保護
WebSphere® Application Server での JMS 用シン・クライアントおよび WebSphere Application Server での JMS 用リソース・アダプターで Secure Sockets Layer (SSL) を構成する方法は 2 とおりあります。 グローバル構成を使用する方法は、プロセスのすべてのスタンドアロン・アウトバウンド接続が対象になります。 プライベート構成を使用する方法は、プロセスのクライアントまたはリソース・アダプターの接続のみが対象になります。
このタスクについて
WebSphere Application Server での JMS 用シン・クライアントおよび WebSphere Application Server での JMS 用リソース・アダプターは、 サポートされるすべての JRE に用意されている、Secure Sockets Layer (SSL) 接続用の標準 Java™ Secure Socket Extension (JSSE) を使用します。JSSE について詳しくは、JSSE の資料を参照してください。
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs=
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov
プライベート構成を使用する方法により、WebSphere Application Server での JMS 用シン・クライアントまたは WebSphere Application Server での JMS 用リソース・アダプターの接続に固有のセキュリティー設定を指定することができます。 com.ibm.ws.sib.client.ssl.properties システム・プロパティーの構成を行って、IBM SSL プロパティーのファイルの位置を指定することができます。 このシステム・プロパティーが構成されていない場合は、代わりにクラスパスからの properties ファイルのロードが試行されます。
- そのプロパティーに、IBM SSL プロパティーを含む properties ファイルに定義された値がある場合、クライアントはこの値を使用します。
- properties ファイルにプロパティーの値がなく、関連付けられている JRE システム・プロパティーに適切なプロパティーがある場合、クライアントはこの値を使用します。
- 適切な javax.net.ssl プロパティーがない場合、クライアントはデフォルト値を使用します。
IBM SSL プロパティー | JRE グローバル・プロパティー | デフォルト値 |
---|---|---|
com.ibm.ssl.keyStoreType | javax.net.ssl.keyStoreType | JKS |
com.ibm.ssl.keyStore | javax.net.ssl.keyStore | なし |
com.ibm.ssl.keyManager | javax.net.ssl.keyStoreProvider | IbmX509 |
com.ibm.ssl.trustManager | javax.net.ssl.trustStoreProvider | IbmX509 |
com.ibm.ssl.keyStorePassword | javax.net.ssl.keyStorePassword | なし |
com.ibm.ssl.protocol | なし | SSL |
com.ibm.ssl.contextProvider | なし | IBMJSSE2 |
com.ibm.ws.sib.jsseProvider | なし | com.ibm.jsse2.IBMJSSEProvider2 |
com.ibm.ssl.trustStore | javax.net.ssl.trustStore | なし |
com.ibm.ssl.trustStoreType | javax.net.ssl.trustStoreType | JKS |
com.ibm.ssl.trustStorePassword | javax.net.ssl.trustStorePassword | なし |
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS
WebSphere Application Server の bin ディレクトリーにある PropFilePasswordEncoder ツールを使用して、プレーン・テキストのプロパティー・ファイルに保管されているパスワードをエンコードすることができます。 詳しくは、ファイル内のパスワードのエンコードを参照してください。
- WebSphere Application Server での JMS 用シン・クライアントを使用する SUN JRE からの SSL 接続は、 デフォルトの WebSphere Application Server PKCS12 キーおよびトラストストアを使用できません。クライアントを SUN JRE からセキュアに実行している場合は、先に IBM Software Development Kit (SDK) を使用してトラストストアから証明書を取り出す必要があります。 その後で、JKS 鍵ストアなどの、 SUN JRE が正しく認識できる鍵ストアにそれらの証明書をインポートすることができます。
- SSL 接続は、WebSphere Application Server に付属の IBM JRE ではサポートされません。WebSphere Application Server によりインストールされたもの以外の JRE を使用する必要があります。