トラスト・アンカーの設定
このページを使用して、トラスト・アンカーの構成を指定します。これらのトラスト・アンカー証明書は、SOAP メッセージに埋め込まれた X.509 証明書を検証するために使用されます。
この情報を使用して、トラスト・アンカーを構成します。 トラスト・アンカーとは、 トラステッド・ルート証明書または自己署名証明書を含む鍵ストアのことを指しています。 この情報で、トラスト・アンカーの名前、および鍵ストアにアクセスする場合に必要となる情報を指定できます。 アプリケーション・バインディングはこの名前を使用して、バインディング・ファイル (またはデフォルト) の事前定義のトラスト・アンカー定義を参照します。
トラスト・アンカーを構成できるのは、デフォルトのセルまたはサーバーのバインディングを編集しているときです。 ポリシー・セットで必要となるトークンおよびメッセージ・パーツの、 アプリケーション固有のバインディングも構成できます。
- 「 」をクリックします。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「鍵と証明書 (Keys and certificates)」リンクをクリックします。
- 「トラスト・アンカー (Trust anchor)」テーブルの「名前」列で、「名前」リンクをクリックします。
- とクリックします。
- Web サービスを含むアプリケーションを選択します。このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
- 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
- バインディングを選択します。 事前に、ポリシー・セットを関連付け、アプリケーション固有のバインディングを割り当てておく必要があります。
- 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
- 「メイン・メッセージ・セキュリティー・ポリシー・バインディング」セクションで、「鍵と証明書」リンクをクリックします。
- 「トラスト・アンカー (Trust anchor)」テーブルの「名前」列で、「名前」リンクをクリックします。
この管理コンソール・ページは、Java™ API for XML Web Services (JAX-WS) アプリケーションにのみ適用されます。
名前
デフォルト・バインディング内の事前定義されたトラスト・アンカー定義を参照するために、 アプリケーション・バインディングが使用する固有の名前を指定します。
トラスト・アンカーは、トラステッド・ルート証明書を格納する鍵ストアを指定します。 このフィールドには、編集中のトラスト・アンカーの名前が表示されます。新規のトラスト・アンカー構成を作成する場合は、固有の名前を入力してください。
鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。 鍵ストア・ファイルから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
情報 | 値 |
---|---|
データ型: | String |
中央管理対象鍵ストア
中央管理対象鍵ストアを使用するように指定します。「中央管理対象鍵ストア (Centrally managed keystore)」オプションを選択してから、リストから中央管理対象鍵ストア名のいずれかを選択します。 中央管理対象鍵ストアは、以下のリンクをクリックすることにより、管理コンソールで管理することができます。 。
ラジオ・ボタンをクリックすると、「名前」フィールドが使用可能になります。 リストから鍵ストアを選択してください。
情報 | 値 |
---|---|
データ型: | ラジオ・ボタン |
デフォルト値: | 選択解除状態 |
外部鍵ストア
鍵ストア・パス、鍵ストア・タイプ、および鍵ストア・パスワードを使用する鍵ストアを指定します。 鍵ストアのファイル形式は、鍵ストア・タイプにより判別されます。デフォルト・バインディングのデフォルト・トラスト・アンカーは、外部鍵ストアを使用します。
ラジオ・ボタンを選択すると、外部鍵ストアが使用可能になります。
情報 | 値 |
---|---|
データ型: | ラジオ・ボタン |
デフォルト値: | 選択 |
- 絶対パス
- 鍵ストアのロケーションへの絶対パスを指定します。鍵ストアがファイル・ベースである場合、トラスト・アンカー鍵ストアが配置されたノードのファイル・システムのパスであれば、いずれのパスでもロケーションの参照を行えます。 デフォルト・バインディングで定義されたトラスト・アンカーの絶対パスは、以下のとおりです。
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
重要: サンプルの鍵ストア・ファイルは実稼働環境では使用しないでください。 これらのサンプルはテストのみを目的として提供されています。情報 値 データ型: String - タイプ
- 外部鍵ストアが使用可能な場合に、鍵ストアのタイプを指定します。
このタイプによって、鍵ストア管理の実装を指定します。 表示されたリストから、鍵ストアのタイプをクリックしてください。 選択リストは、java.security.Security.getAlgorithms("KeyStore") によって戻されます。
IBM® Java Cryptography Extension (IBMJCE) では、ファイル・ベースの鍵ストア・タイプとして、以下のものをサポートしています: JKS、JCEKS、PKCS12、CMSKS。- Java Cryptography Extensions (JCE) を使用しない場合は、JKS オプションを使用してください。
- Java Cryptography Extensions を使用する場合は、JCEKS オプションを使用してください。
- 鍵ストアが PKCS#12 ファイル形式を使用している場合は、PKCS12 オプションを使用してください。
- key.p12 ファイルまたは trust.p12 ファイルは、PKCS12 タイプの鍵ストアのサンプルです。
- 鍵ストアが Certificate Management Services (CMS) 形式を使用している場合は、CMSKS オプションを使用してください。
- Password
- 鍵ストア・ファイルにアクセスするために必要なパスワードを指定します。
鍵ストアを保護するには、パスワードを使用してください。 このパスワードは、指定された鍵ストアへのアクセスに使用されるとともに、 鍵ストア内に鍵を保管するためのデフォルトのパスワードでもあります。
デフォルト・バインディングのデフォルト・トラスト・アンカーは、外部鍵ストアを使用します。 外部鍵ストアのパスワードは server です。 なるべく早くデフォルトのパスワードを変更することをお勧めします。
情報 値 データ型: String デフォルト値: WebAS またはセル名 - 確認パスワード
- 「パスワード」フィールドに入力されたパスワードを確認します。
鍵ストア・ファイルまたはデバイスを開くのに使用したパスワードを、もう 1 度入力してください。 「パスワード」フィールドに入力されたパスワードを再度入力することで、パスワードを確認します。
情報 値 データ型: String