RSA トークン証明書の使用

Rivest Shamir Adleman (RSA) トークンは、Secure Sockets Layer (SSL) と同様の方法で証明書を使用します。ただし、確立される信頼は SSL と RSA では異なります。RSA 証明は SSL 証明書を使用しません。 また、SSL 証明は RSA 証明書を使用しません。 SSL 証明書はピュア・クライアントで使用できます。RSA メカニズムで使用すると、クライアントは RSA トークンをサーバーに送信できます。 RSA トークン認証メカニズムは、サーバー間の要求のみを対象としており、ピュア・クライアントでは使用できません。 この制限を回避するには、証明書がクライアントに配布されないようにするなどの方法で、 RSA により使用される証明書を制御します。 SSL 証明書のみを必要とするクライアントとの間で信頼が確立されないようにする、RSA 用の異なるルート証明書があります。

RSA ルート証明書

各プロファイルについて、rsatoken-root-key.p12 鍵ストアに保管されるルート証明書があります。この RSA ルート証明書の唯一の目的は、rsatoken-key.p12 鍵ストアに保管される RSA 個人証明書に署名することです。RSA ルート証明書には、15 年というデフォルトの存続期間があります。RSA ルート証明書の署名者は他のプロセスと共有され、信頼が確立されます。

鍵ツール・ユーティリティーは、QShell インタープリターから使用できます。鍵ツール・ユーティリティーを使用することで、これらの鍵ストアの内容をリストし、keyEntry (個人証明書) を表示できます。以下の例で、rsatoken-root-key.p12 (RSA ルート証明書) および rsatoken-key.p12 (RSA 個人証明書) について、これがどのように行われるかを示します。
${profile_root}¥config¥cells¥${cellname}¥nodes¥${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12

Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

${profile_root}¥config¥cells¥${cellname}¥nodes¥${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12

Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
         MD5:  FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
         SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

RSA 個人証明書の目的は、RSA トークン内の情報に署名し、暗号化することです。RSA 個人証明書には、1 年というデフォルトの存続期間があります。これは、個人証明書が、ワイヤー経由で伝送されるデータの署名および暗号化に使用されるためです。 証明書の更新は、SSL 証明書を含むシステム内の他の証明書に使用される、証明書有効期限モニターにより実行されます。

ターゲット・プロセスの rsatoken-trust.p12 に、トークンを送信するクライアント・プロセスのルート証明書の署名者が含まれている場合、RSA トークンの信頼が確立されます。 RSA トークンの内容はクライアントのパブリック証明書であり、データの暗号化解除に使用する前にターゲットで検証する必要があります。 クライアントのパブリック証明書の検証は、CertPath API を使用して行われ、検証時に rsatoken-trust.p12 を証明書のソースとして使用します。

以下の例では、鍵ツール・ユーティリティーを使用して rsatoken-trust.p12 鍵ストアをリストしています。
注: このトラストストアには、3 つの trustedCertEntry (パブリック証明書) 項目が含まれています。 これらは、管理エージェントからのルート・パブリック証明書、登録先のジョブ・マネージャーからのルート・パブリック証明書、および登録先の基本プロファイルからのルート・パブリック証明書です。
${profile_root}¥config¥cells¥${cellname}¥nodes¥${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12

Alias name: root
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
         MD5:  AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
         SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
         MD5:  66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
         SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************

WebSphere® Application Server 証明書管理ツールを使用して 新しい個人証明書を作成し、rsa-key.p12 内の RSA 個人証明書と rsa-trust.p12 内の公開鍵を、この新しく作成した個人証明書で置き換えることができます。 管理エージェントまたはジョブ・マネージャーへの統合前に RSA 個人証明書を置き換える場合、 証明書の交換は自動的に実行されます。 統合後に証明書を変更する場合、管理エージェントまたはジョブ・マネージャー上の rsa-trust.p12 が、新規の証明書の署名者で更新され、信頼が確立されるようにする必要があります。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7rsa_token_cert_use
ファイル名:rsec_7rsa_token_cert_use.html