Web Services Security に対するハードウェア暗号デバイスのサポート
IBM® WebSphere® Application Server バージョン 6.1 以降では、Web Services Security は暗号ハードウェア・デバイスの使用をサポートしています。Web Services Security でハードウェア暗号装置を使用するには、 2 とおりの方法があります。
ハードウェア・デバイスでの暗号操作の使用可能化
ハードウェア・デバイスで暗号操作を使用可能にできます。 使用する鍵は Java™ 鍵ストア・ファイルに保管でき、ハードウェア・デバイスに保管する必要はありません。ハードウェア・デバイスで暗号操作を使用可能にする決定は、サーバー・レベルでのみ行うことができ、ア プリケーション・レベルでは行うことができません。
ハードウェア・デバイスでの暗号操作が使用可能になっていると、Web Services Security ランタイムはまず、暗号操作にハードウェア・デバイスを使用しようとします。 ハードウェア・デバイスを使用しようとして失敗した場合、またはハードウェアがアルゴリズムをサポートしていない場合、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。
このフィーチャーを使用可能にすると、ハードウェア・デバイスによってはパフォーマンスが向上することがあります。 ハードウェア・デバイスで暗号操作を使用可能にする方法について詳しくは、Web Services Security 用ハードウェア暗号デバイスの構成を参照してください。
セキュアな鍵
暗号鍵は、ハードウェア暗号デバイスに保管でき、このデバイス から移動することはありません。 こうしたセキュアな鍵は、パフォーマンスではなくセキュリティーを考慮して、ハードウェア暗号デバ イスに限定されています。 ハードウェア暗号デバイスに保管されている鍵ストアを使用するか、Java 鍵ストア・ファイルを使用するかの選択は、 アプリケーション・レベルで行うことができます。
鍵ストア参照がハードウェア・デバイス構成に指定されている場合、Web Services Security ランタイムはまず、ハードウェア・デバイスから暗号アルゴリズムを取得しようとします。 アルゴリズムがサポートされていない場合または失敗する場合は、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。
セキュアな鍵を使用可能にする方法について詳しくは、Web Services Security 内のハードウェア・デバイスに格納されている暗号鍵の使用可能化を参照してください。
制限
- Java Platform, Enterprise Edition (Java EE) アプリケーション・クライアントとして実行する Web サービス・クライアントはサポートしていません。
- iSeries では、ハードウェア暗号デバイスはサポートしていません。
- バージョン 6.1 以降の Web Services Security アプリケーションのみが、ハードウェア暗号サポートを利用できます。
注: バージョン 5.x および 6.0.x Web Services Security アプリケーションは、バージョン 6.1 WebSphere Application Server で実行できますが、ハードウェア暗号サポートを利用できません。
セッション鍵の長期間の使用
WebSphere Application Server を構成して、ハードウェア鍵ストアを使用したり、ハードウェア・アクセラレーション・カードを構成して、セッション鍵の長期間の使用を可能にします。セッション鍵は、セキュアでない場合があります。
セキュアでないセッション鍵について不安な場合は、WebSphere Application Server を構成し、ハードウェア鍵ストアを使用してください。Web Services Security のハードウェア・デバイスに格納されている暗号鍵を有効にする方法に関する情報を参照してください。
- nCipher nforce 1600 server バージョン 2.23.6 の場合、nCipher 文書の指示に従ってください。
- CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm パラメーターを cknfastrc 構成ファイルで設定することができます。この構成変更は、セッション鍵に関連付けられる制限時間を除去します。
- Cipher の文書に従って、nCipher サーバーを再始動します。
- WebSphere Application Server を再始動します。