[IBM i][AIX Solaris HP-UX Linux Windows]

ハードウェア暗号鍵ストアの構成

サーバー構成で暗号トークン・サポートを提供するために WebSphere® Application Server が使用できるハードウェア暗号鍵ストアを作成できます。

このタスクについて

注: ハードウェア・アクセラレーターは、 以下の場合に限ってサポートされます。
  • WebSphere Application Server for z/OS® を使用しており、 かつ IBMJCECCA 暗号プロバイダーを使用している場合。
  • WebSphere Application Server バージョン 7.0 以降が zLinux で稼動しており、 かつ IBMPKCS11 プロバイダーを使用している場合。

管理コンソールで以下のステップを実行します。

手順

  1. 「セキュリティー」>「SSL 証明書および鍵管理」>「鍵ストアおよび証明書」とクリックします。
  2. 「新規」をクリックします。
  3. 鍵ストアを識別するための名前を入力します。 この名前は、Web Services Security 構成でハードウェア暗号を使用可能にするために使用されます。
  4. オプションで、鍵ストアの説明を「説明」フィールドに入力することができます。
  5. 鍵ストアの「管理有効範囲 (Management scope)」を指定することができます。 これは必須ではありません。 管理有効範囲は、この Secure Sockets Layer (SSL) 構成が可視である範囲を指定します。 例えば、ある特定のノードを選択した場合、構成はそのノードおよびそのノードの一部であるサーバーでのみ可視です。
  6. ハードウェア・デバイス固有の構成ファイルのパスを入力します。 この構成ファイルは、attribute = value というフォーマットをしたエントリーを含むテキスト・ファイルです。属性および値の有効な値は、Software Developer Kit, Java™ Technology Edition 文書で詳細に説明されています。2 つの必須属性は name と library です。これを以下のサンプル・コードで示します。
    name = FooAccelerator
    library = /opt/foo/lib/libpkcs11.so
    slotListIndex = 0
    構成ファイルには、デバイス固有の構成データも含める必要があります。 Java テクノロジー・サイト (http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html) の見出し「PKCS 11 Implementation Provider」の下にある PKCS11ImplConfigSamples.jar ファイルにナビゲートします。このファイルには構成ファイルのサンプルが含まれています。
    [AIX Solaris HP-UX Linux Windows][IBM i]注: JSSE2 は、IBMPKCS11Impl プロバイダーを加速のために使用することはできません。
    1. このリンク (http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html) を使用してスレッド・セーフな方法で IBMPKCS11 プロバイダーを初期化することができます。
    2. サポートされるハードウェア・デバイスに関する情報を含む固有の .cfg ファイルを指定します。 サポートされるハードウェア・デバイスのリストは、http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMPKCS11SupportList.html にあります。
    3. 以下に示すような、適切に初期化された IBMPKCS11Impl プロバイダー・インスタンスを使用して Signature.getInstance メソッドを指定します。
      Signature.getInstance("SHA1withRSA", ibmpkcs11implinstance);
  7. [AIX Solaris HP-UX Linux Windows][IBM i]トークン・ログインが必要な場合は、パスワードを入力します。 トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、 「ハードウェア・デバイスに対する暗号操作を使用可能にする」を選択する必要があります。
  8. [z/OS]トークン・ログインが必要な場合は、「パスワード」フィールドに鍵ストア password を入力します。

    トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、「ハードウェア・デバイスに対する暗号操作を使用可能にする」オプションを選択する必要があります。

    パスワードの要求において JCE 鍵ストアとの互換性を保つため、JCERACFKS パスワードを password とします。この鍵ストアのセキュリティーは、他の鍵ストア・タイプとは異なり、パスワードによって本当に保護されるわけではなく、RACF による保護を受けるための実行スレッドの ID に基づいています。このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。

  9. PKCS11」タイプを選択します。
  10. 読み取り専用」を選択します。
  11. OK」をクリックしてから「保存」をクリックします。

タスクの結果

これで、WebSphere Application Server は、サーバー構成で暗号トークン・サポートを提供できるようになりました。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfhwcrypkeystore
ファイル名:tsec_sslconfhwcrypkeystore.html