デフォルト生成バインディングの鍵ロケーター情報は、
これらのバインディングがアプリケーション・レベルで定義されていない場合に、
署名および暗号化情報に使用される鍵を見付けるために使用される鍵ロケーター実装を指定します。
このタスクについて
デフォルトのコンシューマー・バインディングの鍵ロケーター情報は、
これらのバインディングがアプリケーション・レベルで定義されていない場合に、
署名の妥当性検査や暗号化解除に使用される鍵を見付けるために使用される鍵ロケーター実装を指定します。
WebSphere® Application Server は、バインディングのデフォルト値を提供します。しかし、ユーザーは実稼働環境用にデフォルトを変更する必要があります。
鍵ロケーターは、サーバー・レベルおよびセル・レベルで構成できます。
以下のステップでは、最初のステップでサーバー・レベルのデフォルト・バインディングにアクセスし、
第 2 ステップでセル・レベルのバインディングにアクセスします。
手順
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application
Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「
Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。
mixv
- とクリックして、
セル・レベルでデフォルト・バインディングにアクセスします。
- 「追加プロパティー」の下の「鍵ロケーター (Key locators)」をクリックします。 このロケーションでデフォルト・ジェネレーターとデフォルト・コンシューマーの両方の鍵ロケーター構成を構成できます。
- 鍵ロケーター構成の処理を行うには、以下のいずれかをクリックしてください。
- 新規
- 鍵ロケーター構成を作成します。
「鍵ロケーター名」フィールドに、
鍵ロケーター構成の固有の名前を入力します。例えば、sig_klocator などです。
- 削除
- 既存の構成を削除します。
- 既存の鍵ロケーター構成
- 既存の構成の設定を編集します。
- 「鍵ロケーター・クラス名」フィールドに鍵ロケーター・クラス実装の名前を指定します。 バージョン 6.0.x アプリケーションに関連した鍵ロケーターは、
com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを
実装する必要があります。
注: このインターフェースは、JAX-RPC アプリケーションにのみ有効です。JAX-WS アプリケーションの場合、Java™ Authentication and Authorization Service (JAAS) ログイン・モジュール実装は、
ジェネレーター側でセキュリティー・トークンを作成し、コンシューマー側で
そのセキュリティー・トークンを検証 (認証) する際に使用されます。
WebSphere Application Server には、
バージョン 6.0.x アプリケーション用に、以下のような鍵ロケーター・クラスの実装が
デフォルトで用意されています。- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
- この実装は指定された鍵ストア・ファイルから鍵を見付けて、これを取得します。
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- この実装は、署名者の証明書から公開鍵を使用します。
このクラス実装は、応答生成プログラムによって使用されます。
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- この実装は、デジタル署名の妥当性検査および暗号化用に、
送信側メッセージからの X.509 セキュリティー・トークンを使用します。
このクラス実装は、
要求コンシューマーおよび応答コンシューマーによって使用されます。
例えば、構成を署名情報の鍵ロケーターにする必要がある場合は、
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator 実装を指定できます。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。
鍵ストア・ファイルから取得された鍵は、
メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 鍵ストア・ファイルのロケーションを、「鍵ストア・パス」フィールドで指定します。
- 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。 使用されている Java Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography
Extensions (JCE) を使用していない場合、また鍵ストア・ファイルで Java Keystore
(JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
JCERACFKS
証明書が SAF 鍵リングに保管されている場合は、JCERACFKS を使用します (z/OS® のみ)。
- PKCS11
- 鍵ストア・ファイルで PKCS#11 ファイル・フォーマットを使用する場合は、このフォーマットを使用します。
このフォーマットを使用する鍵ストア・ファイルには、暗号ハードウェア上に Rivest Shamir Adleman (RSA) 鍵が含まれているか、
暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12
- 鍵ストア・ファイルが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
WebSphere Application Server の ${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリーにいくつかのサンプル鍵ストア・ファイルが用意されています。
例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは storepass で、タイプは JCEKS です。
制約事項: これらの鍵ストア・ファイルは実稼働環境では使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 「追加プロパティー」の下の「鍵」をクリックします。
- 鍵構成の処理を行うには、以下のいずれかをクリックしてください。
- 新規
- 鍵構成を作成します。
「鍵の名前」フィールドに固有の名前を入力します。
鍵名には完全修飾識別名を使用する必要があります。
例えば、CN=Bob,O=IBM,C=US のようにします。
- 削除
- 既存の構成を削除します。
- 既存の鍵構成
- 既存の構成の設定を編集します。
この項目は鍵ストア・ファイル内の鍵オブジェクトの名前を指定します。
- 「鍵の別名」フィールドで別名を指定します。 鍵別名は、鍵ストア・ファイルで鍵オブジェクトを検索するために鍵ロケーターによって使用されます。
- 「鍵パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイル内の鍵オブジェクトにアクセスするために使用されます。
- 「OK」をクリックしてから「保存」をクリックして、構成を保存します。
タスクの結果
サーバー・レベルまたはセル・レベルで鍵ロケーターが構成されました。
次のタスク
この鍵ロケーターを参照するデフォルト生成バインディングおよびデフォルトのコンシューマー・バインディングの鍵情報を構成してください。