サーバー構成で暗号トークン・サポートを提供するために WebSphere® Application Server が使用できるハードウェア暗号鍵ストアを作成できます。
このタスクについて
注: ハードウェア・アクセラレーターは、
以下の場合に限ってサポートされます。
- WebSphere Application
Server for z/OS® を使用しており、
かつ IBMJCECCA 暗号プロバイダーを使用している場合。
- WebSphere Application Server バージョン 7.0 以降が zLinux で稼動しており、
かつ IBMPKCS11 プロバイダーを使用している場合。
管理コンソールで以下のステップを実行します。
手順
- 「セキュリティー」>「SSL 証明書および鍵管理」>「鍵ストアおよび証明書」とクリックします。
- 「新規」をクリックします。
- 鍵ストアを識別するための名前を入力します。 この名前は、Web Services Security 構成でハードウェア暗号を使用可能にするために使用されます。
- オプションで、鍵ストアの説明を「説明」フィールドに入力することができます。
- 鍵ストアの「管理有効範囲 (Management scope)」を指定することができます。
これは必須ではありません。 管理有効範囲は、この Secure Sockets Layer (SSL) 構成が可視である範囲を指定します。
例えば、ある特定のノードを選択した場合、構成はそのノードおよびそのノードの一部であるサーバーでのみ可視です。
- ハードウェア・デバイス固有の構成ファイルのパスを入力します。 この構成ファイルは、attribute = value というフォーマットをしたエントリーを含むテキスト・ファイルです。属性および値の有効な値は、Software Developer Kit, Java™ Technology Edition 文書で詳細に説明されています。2 つの必須属性は name と library です。これを以下のサンプル・コードで示します。
name = FooAccelerator
library = /opt/foo/lib/libpkcs11.so
slotListIndex = 0
構成ファイルには、デバイス固有の構成データも含める必要があります。
Java テクノロジー・サイト (http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html) の見出し「PKCS 11 Implementation Provider」の下にある PKCS11ImplConfigSamples.jar ファイルにナビゲートします。このファイルには構成ファイルのサンプルが含まれています。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
トークン・ログインが必要な場合は、パスワードを入力します。 トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、
「ハードウェア・デバイスに対する暗号操作を使用可能にする」を選択する必要があります。
トークン・ログインが必要な場合は、「パスワード」フィールドに鍵ストア password を入力します。 トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、「ハードウェア・デバイスに対する暗号操作を使用可能にする」オプションを選択する必要があります。
パスワードの要求において JCE 鍵ストアとの互換性を保つため、JCERACFKS パスワードを password とします。この鍵ストアのセキュリティーは、他の鍵ストア・タイプとは異なり、パスワードによって本当に保護されるわけではなく、RACF による保護を受けるための実行スレッドの ID に基づいています。このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。
- 「PKCS11」タイプを選択します。
- 「読み取り専用」を選択します。
- 「OK」をクリックしてから「保存」をクリックします。
タスクの結果
これで、WebSphere Application
Server は、サーバー構成で暗号トークン・サポートを提供できるようになりました。