アセンブリー・ツールを使用して、トラスト・アンカー (署名者の証明書の妥当性を検証するためのトラステッド・ルート証明書を含んだ鍵ストアを指定する) またはトラストストアをアプリケーション・レベルで構成します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。
この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。
この情報はバージョン
6.0.x 以降のアプリケーションには適用されません。
ここでは、トラスト・アンカーまたはトラスト・ストアをアプリケーション・レベルで構成する方法について説明します。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。
アプリケーション・レベルのトラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。ここでは、アセンブリー・ツールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
サーバー・レベルまたはセル・レベルでの
トラスト・アンカーの作成および構成について詳しくは、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成 or 管理コンソールを使用したサーバー・セキュリティー・バインディングの構成を参照してください。
このタスクについて
トラスト・アンカーは、署名者証明書を検証するトラステッド・ルート証明書を含む鍵ストアを指定します。
これらの鍵ストアは、要求の受信側 (ibm-webservices-bnd.xmi ファイルで定義) および応答の受信側 (Web サービスがクライアントとして動作する場合、application-client.xml で定義) によって、デジタル署名の署名者証明書を検証するために使用されます。鍵ストアは、デジタル署名の検証の完全性を保つために重要なものです。
鍵ストアが改ざんされると、デジタル署名の検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。ibm-webservices-bnd.xmi ファイルで要求受信側用に指定するバインディング構成は、application-client.xml
ファイルで応答受信側用に指定されているバインディング構成と一致している必要があります。
以下のステップを完了して、アセンブリー・ツールを使用してトラスト・アンカーを構成します。
手順
- Java™ Platform,
Enterprise Edition (Java EE) エンタープライズ・アプリケーションと連動するアセンブリー・ツールを構成します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
- Web サービス対応 Java EE エンタープライズ・アプリケーションを作成します。 サーバーで
Web Service Security バインディング情報を管理する方法の概要については、
アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成、または管理コンソールを使用したサーバー・セキュリティー・バインディングの構成を参照して
ください。
- ibm-webservicesclient-bnd.xmi バインディング拡張ファイルで定義された、クライアント・サイドの応答受信側を構成します。
- アセンブリー・ツールを使用して Java EE アプリケーションをインポートします。
- をクリックします。
- とクリックします。
- application-client.xml ファイルを右クリックし、と選択し、「WS バインディング」タブをクリックします。 クライアント・デプロイメント記述子が表示されます。
- 「Port qualified name binding」セクションを位置指定し、既存の項目を選択するか、
「追加」をクリックして新規のポート・バインディングを追加します。 選択したポートの Web Services Client Port Binding エディターが表示されます。
- 「Trust anchor」セクションを位置指定して、「追加」をクリックします。 「トラスト・アンカー」ウィンドウが表示されます。
- ポート・バインディングで固有の名前を「Trust anchor name」に入力します。
その名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
サポートされている
鍵ストア・タイプは、Java Cryptography Extension (JCE) タイプと Java Cryptography Extension Keystores (JCEKS) タイプです。
選択したトラスト・アンカーを編集するには、「編集」をクリックします。
選択したトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保存します。
- ibm-webservices-bnd.xmi バインディング拡張ファイルで定義された、サーバー・サイドの要求受信側を構成します。
- をクリックします。
- Web サービス対応の Enterprise JavaBeans (EJB) または Web モジュールを選択します。
- 「Package Explorer」ウィンドウで、EJB モジュールの場合は META-INF ディレクトリーを、Web モジュールの場合は WEB-INF ディレクトリーをクリックします。
- webservices.xml ファイルを右クリックし、をクリックして「バインディング」タブをクリックします。 Web Services Binding エディターが表示されます。
- 「Web service description bindings」セクションを位置指定し、既存の項目を選択するか、「追加」をクリックして新規の Web サービス記述子を追加します。
- 「Binding configurations」をクリックします。 選択した Web サービス記述子の Web Services Binding Configurations エディターが表示されます。
- 「Trust anchor」セクションを位置指定して、「追加」をクリックします。 「Trust anchor」ダイアログ・ボックスが表示されます。
- そのバインディングで固有の名前を「Trust anchor name」に入力します。
この固有の名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
サポートされている鍵ストア・タイプは、JCE と JCEKS です。
選択したトラスト・アンカーを編集するには、「編集」をクリックします。
選択したトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保存します。
タスクの結果
この手順では、要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) が署名者の証明書を検査するために使用可能なトラスト・アンカーを定義します。
例
要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) は、定義済みのトラスト・アンカーを使用して、署名者の証明書を検査します。トラスト・アンカーの参照には、トラスト・アンカー名が使用されます。