トラステッド・ルート証明書を含む鍵ストア・オブジェクト・リストを構成できます。これらの証明書は、着信する X.509 形式のセキュリティー・トークンの証明書のパスを検証するために使用されるものです。
始める前に
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
このステップを実行してトラスト・アンカーを構成する前に、
鍵ツールを使用して鍵ストア・ファイルを作成する必要があります。
WebSphere® Application Server の install_dir/java/jre/bin/keytool ファイルに、
鍵ツールが用意されています。
このステップを実行してトラスト・アンカーを構成する前に、
鍵ツール・ユーティリティーを使用して鍵ストア・ファイルを作成する必要があります。
鍵ツール・ユーティリティーは、QShell インタープリターから使用できます。
このタスクについて
このタスクは、トラステッド・ルート証明書を含む鍵ストア・オブジェクトのリストを構成するために必要なステップを実行します。
これらのオブジェクトは、着信する X.509 形式のセキュリティー・トークンの証明書のパスを検証するために使用されます。 トラスト・アンカー内の鍵ストア・オブジェクトには、
証明書チェーンを信頼するかどうかを判別するために
CertPath アプリケーション・プログラミング・インターフェース (API) が
使用するトラステッド・ルート証明書が含まれています。
トラスト・アンカーをサーバー・レベルおよびセル・レベルで構成できます。
以下のステップでは、最初のステップでサーバー・レベルのデフォルト・バインディングにアクセスし、
第 2 ステップでセル・レベルのバインディングにアクセスします。
手順
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application
Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「
Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。
mixv
- とクリックして、
セル・レベルでデフォルト・バインディングにアクセスします。
- 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。
- トラスト・アンカー構成の処理を行うには、以下のいずれかをクリックしてください。
- 新規
- トラスト・アンカー構成を作成します。
「トラスト・アンカー名」フィールドにトラスト・アンカーの固有の名前を入力します。
- 削除
- 既存の構成を削除します。
- 既存のトラスト・アンカー構成
- 既存のトラスト・アンカー構成の設定を編集します。
- 「鍵ストア・パスワード」フィールドで、鍵ストア・ファイルにアクセスするために使用するパスワードを指定します。
- 鍵ストア・ファイルの絶対ロケーションを、「鍵ストア・パス」フィールドで指定します。 鍵ストア・パスの一部として USER_INSTALL_ROOT 変数を使用することをお勧めします。
この事前定義変数を変更するには、「」とクリックします。
変数の 2 番目のページに、USER_INSTALL_ROOT 変数が表示されます。
- 「key store type」フィールドで鍵ストア・ファイルのタイプを指定します。 WebSphere Application Server は、以下の鍵ストア・タイプをサポートしています。
- JKS
- Java™ Cryptography Extensions (JCE) を使用していない場合、
かつ鍵ストア・ファイルで Java Key Store (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
JCERACFKS
証明書が SAF 鍵リングに保管されている場合は、JCERACFKS を使用します (z/OS® のみ)。
- PKCS11KS (PKCS11)
- 鍵ストア・ファイルが PKCS#11 ファイル・フォーマットを使用する場合、このオプションを使用します。
このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、
暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
- 「OK」および「保存」をクリックして、構成を保存します。
タスクの結果
サーバー
またはセル・レベルでトラスト・アンカーが構成されました。