アプリケーション・レベルでのジェネレーター・バインディングのための、 JAX-RPC による署名情報の構成
アプリケーション・レベルで、クライアント・サイドの要求ジェネレーター・バインディングおよびサーバー・サイドの応答ジェネレーター・バインディングの署名情報を構成できます。
始める前に
このタスクについて
このタスクでは、アプリケーション・レベルで、 クライアント・サイドの要求ジェネレーターおよびサーバー・サイドの応答ジェネレーターの署名情報を構成するために必要なステップについて説明します。 WebSphere Application Server は、デフォルトの生成プログラムの署名情報を使用して、 本体、タイム・スタンプ、およびユーザー名トークンなどのメッセージのパーツに署名します。 アプリケーション・サーバーは、バインディングのデフォルト値を提供します。 しかし、管理者は実稼働環境に合わせてデフォルトを変更する必要があります。 以下のステップを実行して、 アプリケーション・レベルで、バインディング・ファイルのジェネレーター・セクションの署名情報を構成します。
手順
- 管理コンソールの「署名情報」構成パネルを見つけます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの署名情報にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「必須プロパティー」の下の「署名情報」をクリックします。
- 「新規」をクリックして署名情報構成を作成するか、 構成の横にあるボックスを選択して「削除」をクリックすることで既存の構成を削除するか、 既存の署名情報構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「署名情報名」フィールドに名前を入力します。 例えば、gen_signinfo などです。
- 「Signature method」フィールドからシグニチャー方式アルゴリズムを選択します。 ジェネレーター (要求ジェネレーターまたは応答ジェネレーター構成のいずれか) 用に指定されるアルゴリズムは、
コンシューマー (要求コンシューマーまたは応答コンシューマー構成のいずれか) 用に指定されるアルゴリズムと一致している必要があります。
WebSphere Application Server は次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 このアルゴリズムを使用しないでください。
対称鍵に基づくシグニチャーの ds:SignatureMethod/@Algorithm エレメントは、 http://www.w3.org/2000/09/xmldsig#rsa-sha1 または http://www.w3.org/2000/09/xmldsig#hmac-sha1 の値を持つ必要があります。
- 「正規化方式」フィールドから、正規化方式を選択します。 生成プログラム用にユーザーが指定する正規化アルゴリズムは、
コンシューマー用のアルゴリズムと一致している必要があります。
WebSphere Application Server は次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- 「鍵情報署名タイプ」フィールドから鍵情報シグニチャー・タイプを選択します。 WebSphere Application Server は以下のシグニチャー・タイプをサポートしています。
- なし
- <KeyInfo> エレメントが署名されないように指定します。
- Keyinfo
- <KeyInfo> エレメント全体が署名されるように指定します。
- Keyinfochildelements
- <KeyInfo> エレメントの子エレメントが署名されるように指定します。
ジェネレーターの鍵情報シグニチャー・タイプは、コンシューマーのシグニチャー・タイプと一致している必要があります。 次の状態が発生する可能性があります。- 上記のシグニチャー・タイプのいずれも指定しない場合、 WebSphere Application Server はデフォルトで keyinfo を使用します。
- Keyinfo または Keyinfochildelements を選択し、後続のステップで http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform を 変換アルゴリズムとして選択した場合、WebSphere Application Server は参照されるトークンにも署名します。
- 「署名鍵情報」フィールドから署名鍵情報参照を選択します。 ここで選択するのは、アプリケーション・サーバーがデジタル署名を生成するために使用する署名鍵に対する参照です。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 新規署名情報構成の名前をクリックします。 この構成は、前のステップでユーザーが指定したものです。
- パーツ参照、ダイジェスト・アルゴリズム、および変換アルゴリズムを指定します。 パーツ参照は、メッセージのどのパーツをデジタル署名するかを指定します。
- 「追加プロパティー」の下で、「パーツ参照」 > 「新規」とクリックして 新規パーツ参照を作成するか、「パーツ参照」 > 「削除」とクリックして既存のパーツ参照を削除するか、 あるいはパーツ名をクリックして既存のパーツ参照を編集します。
- このパーツ参照の固有のパーツ名を指定します。 例えば、reqint などです。
- 「パーツ参照」フィールドからパーツ参照を選択します。
このパーツ参照は、デジタル署名されるメッセージ・パーツを参照します。 パーツ属性は、<PartReference> エレメントがシグニチャーに対して指定されている場合、デプロイメント記述子の <Integrity> エレメントの名前を参照します。<SigningInfo> エレメント内で、複数の <PartReference> エレメントを指定することができます。<PartReference> エレメントがシグニチャーに対して指定されている場合、このエレメントには <DigestTransform> および <Transform> という 2 つの子エレメントがあります。
- メニューからダイジェスト方式アルゴリズムを選択します。 <SigningInfo> エレメントで使用される <DigestMethod> エレメント内で指定されるダイジェスト方式アルゴリズム。WebSphere Application Server は、以下のアルゴリズムをサポートします。
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- 「OK」をクリックして、構成を保管します。
- 新規パーツ参照構成の名前をクリックします。 この構成は、前のステップでユーザーが指定したものです。
- 「追加プロパティー」の下で、「変換」 > 「新規」とクリックして新規変換を作成するか、「変換」 > 「削除」とクリックして変換を削除するか、または変換名をクリックして既存の変換を編集します。 新規変換構成を作成する場合は、固有の名前を指定します。 例えば、reqint_body_transform1 などです。
- メニューから変換アルゴリズムを選択します。 変換アルゴリズムは、<Transform> エレメント内で指定され、シグニチャーの変換アルゴリズムを指定します。WebSphere Application Server は次のアルゴリズムをサポートしています。
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 この変換アルゴリズムは使用しないでください。 代わりに http://www.w3.org/2002/06/xmldsig-filter2 を使用して準拠させてください。
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
ジェネレーター用にユーザーが選択する変換アルゴリズムは、 コンシューマー用に選択する変換アルゴリズムと一致している必要があります。重要: 以下の条件が両方とも真である場合、WebSphere Application Server は参照されるトークンに署名します。- 以前、「署名情報」パネルの「鍵情報署名タイプ」フィールドから、 Keyinfo または Keyinfochildelements オプションを選択した。
- 変換アルゴリズムとして http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform を選択する。
- 「適用」をクリックします。
- オプション: 包括的名前空間接頭部リストを使用不可に設定するかどうか決定します。 Exclusive XML Canonicalization Version 1.0
仕様では、名前空間接頭部に対応するすべての名前空間宣言を正規化フォーマットで含めることを推奨しています。
セキュリティー上の理由から、WebSphere Application Server はデフォルトで、その接頭部を Web Services Security のデジタル署名に含めています。
ただし、Web Services Security の一部の実装では、この接頭部リストを処理できません。
WebSphere Application Server は、接頭部リストの有無にかかわらず、デジタル署名されたメッセージを処理できます。
署名済み Simple Object Access Protocol (SOAP) メッセージが送信されたときにシグニチャー検証に失敗し、その環境で別のベンダーを使用している場合は、
このプロパティーを使用不可に設定する前に、その実装に適用可能な修正がないかサービス・プロバイダーに確認してください。このプロパティーを使用不可に設定するには、以下のステップを実行します。
- 「追加プロパティー」の下で「プロパティー」 > 「新規」とクリックします。
- 「プロパティー名」フィールドに、com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces プロパティーを入力します。
- 「プロパティー値」フィールドに、false 値を入力します。
- 「OK」をクリックします。
このプロパティーは、要求ジェネレーターおよび応答ジェネレーターの両方の構成に設定できます。
- 「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク
サブトピック
署名情報コレクション
このページを使用して、署名パラメーターのリストを表示します。 署名情報は、本文、タイム・スタンプ、およびユーザー名トークンを含むメッセージの各部の署名、および検証に使用されます。 サーバー・レベルの構成において、「認証メソッド」が IDAssertion、「ID タイプ」が X509Certificate になっている場合には、 これらのパラメーターを X.509 証明書検証にも使用できます。そのような場合には、「Certificate Path」フィールドにのみ入力する必要があります。署名情報構成の設定
このページを使用して、新規の署名パラメーターを構成します。パーツ参照コレクション
このページを使用して、デプロイメント記述子で定義されるシグニチャーおよび暗号化のメッセージ・パーツ参照を表示します。パーツ参照構成の設定
このページを使用して、デプロイメント記述子で定義されるシグニチャーおよび暗号化のメッセージ・パーツへの参照を指定します。変換コレクション
このページを使用して、Web Services Security メッセージの処理に使用される変換アルゴリズムを表示します。変換構成の設定
このページを使用して、Web Services Security メッセージの処理に使用される変換アルゴリズムを指定します。署名情報コレクション
このページを使用して、署名パラメーターのリストを表示します。 署名情報は、本文、タイム・スタンプ、およびユーザー名トークンを含むメッセージの各部の署名、および検証に使用されます。 サーバー・レベルの構成において、「認証メソッド」が IDAssertion、「ID タイプ」が X509Certificate になっている場合には、 これらのパラメーターを X.509 証明書検証にも使用できます。そのような場合には、「Certificate Path」フィールドにのみ入力する必要があります。署名情報構成の設定
このページを使用して、新規の署名パラメーターを構成します。パーツ参照コレクション
このページを使用して、デプロイメント記述子で定義されるシグニチャーおよび暗号化のメッセージ・パーツ参照を表示します。パーツ参照構成の設定
このページを使用して、デプロイメント記述子で定義されるシグニチャーおよび暗号化のメッセージ・パーツへの参照を指定します。変換コレクション
このページを使用して、Web Services Security メッセージの処理に使用される変換アルゴリズムを表示します。変換構成の設定
このページを使用して、Web Services Security メッセージの処理に使用される変換アルゴリズムを指定します。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
ファイル名:twbs_configsigninfogenapp.html