トラスト・アンカー
トラスト・アンカーは、トラステッド・ルート証明書を格納する鍵ストアを指定します。これらの証明書は、SOAP メッセージに組み込まれる X.509 証明書を検証するために使用します。
WebSphere® Application Server を JAX-RPC プログラミング・モデルで使用する場合、鍵ストアは、デジタル署名または XML 暗号化に使用される X.509 証明書を検証するために、以下のメッセージ・ポイントを使用して実装されます。
- 要求コンシューマー。ibm-webservices-bnd.xmi ファイルで定義されます。
- 応答コンシューマー。Web サービスが別の Web サービスのクライアントとして機能している場合に ibm-webservicesclient-bnd.xmi ファイルで定義されます。
WebSphere Application
Server バージョン 7.0 以降で JAX-WS を使用している場合、鍵ストアは、デジタル署名または XML 暗号化に使用される X.509 証明書を検証するために、JAX-WS を使用して以下のメッセージ・ポイントによって使用されます。
- 要求コンシューマー。WS-Security バインディングのインバウンド鍵および証明書で定義されます。
- 応答コンシューマー。Web サービスが別の Web サービスのクライアントとして機能している場合に、WS-Security バインディングのインバウンド鍵および証明書で定義されます。
鍵ストアは、デジタル署名の検証の保全性を保つために重要なものです。 鍵ストアが改ざんされると、デジタル署名の検証結果は疑わしく、信頼性が損なわれたものになります。 したがって、これらの鍵ストアを保護することをお勧めします。コンシューマーに対して指定されているバインディング構成は、ジェネレーターのバインディング構成と一致している必要があります。
トラスト・アンカーは、 Java™ CertPath アプリケーション・プログラミング・インターフェース (API) で java.security.cert.TrustAnchor として定義されます。Java CertPath API は、トラスト・アンカーと証明書ストアを使用して、SOAP メッセージに組み込まれた着信 X.509 証明書を検証します。WebSphere Application Server における Web Services Security 実装は、このトラスト・アンカーをサポートします。WebSphere Application Server では、トラスト・アンカーは Java 鍵ストア・オブジェクトとして表されます。鍵ストアのタイプ、パス、およびパスワードは、 管理コンソールまたはスクリプトを介して実装に渡されます。