応答署名用のサーバーの構成: デジタル署名メッセージ・パーツ

アセンブリー・ツールを使用して、応答に署名するサーバーの構成時にどのメッセージ・パーツをデジタル署名するのかを 指定します。

始める前に

重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。 このトピックの情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
次のステップを実行する前に、以下のいずれかのトピックに目を通して、IBM® アセンブリー・ツールに含まれる Web サービス・エディターの「拡張」タブおよび「バインディング構成」タブについて十分理解してください。 これら 2 つのタブは、Web Services Security 拡張および Web Services Security バインディングをそれぞれ構成するために使用します。

このタスクについて

以下のステップを完了して、応答に署名するサーバーの構成時に、どのメッセージ・パーツをデジタル署名するのかを指定します。

手順

  1. アセンブリー・ツールを起動します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
  2. Java™ Platform, Enterprise Edition (Java EE) パースペクティブに切り替えます。「ウィンドウ」 > 「パースペクティブを開く」 > 「その他」 > 「J2EE」とクリックします。
  3. 「EJB プロジェクト」 > application_name > 「ejbModule」 > 「META-INF」とクリックします。
  4. webservices.xml ファイルを右クリックして、「アプリケーションから開く」 > 「Web サービス・エディター」をクリックします。
  5. アセンブリー・ツールに含まれる Web サービス・エディターの下部にある「拡張」タブをクリックします。
  6. 「応答送信側サービス構成の詳細」 > 「保全性」を展開します。 機密性が暗号化を意味するのに対して、保全性はデジタル署名を意味します。 保全性は、データがインターネットに伝送中に、そのデータが変更されるリスクを低減させます。 SOAP メッセージへのデジタル署名について詳しくは、『XML デジタル署名』を参照してください。
  7. 追加」をクリックしてから「本文」、「タイム・スタンプ」、または「SecurityToken」を選択して、署名するメッセージの部分を指定します。
    以下のリスト には、メッセージ・パーツの説明が含まれています。
    本文
    これは、メッセージのユーザー・データ部分です。
    タイム・スタンプ
    タイム・スタンプでは、メッセージが送信された日時と受信された日時を基にして、 メッセージが有効かどうかを判別します。 このオプションを選択した場合は、次に、そのメッセージに対してタイム・スタンプが追加されることを示す「Add Created Time Stamp」をクリックしてください。
    SecurityToken
    セキュリティー・トークンは、クライアントを認証する場合に使用します。 このオプションが選択されている場合は、メッセージに認証情報が追加されます。
  8. オプション: Add created time stamp」セクションを展開します。 メッセージにタイム・スタンプを追加する場合は、このオプションを選択します。 タイム・スタンプには、有効期限を指定できます。これによって、リプレイ・アタックを防ぐことができます。 期間の字句表記は、ISO 8601 拡張フォーマット PnYnMnDTnHnMnS です。各部分の意味は以下のとおりです。
    • nY は、年数を表します。
    • nM は、月数を表します。
    • nD は、日数を表します。
    • T は、日付と時刻の分離文字です。
    • nH は、時間数を表します。
    • nM は、分数を表します。
    • nS は、秒数を表します。秒数には、任意の精度の 10 進数を組み込むことができます。

    例えば、1 年、2 カ月、3 日、10 時間、および 30 分の期間を示す フォーマットは、P1Y2M3DT10H30M です。 通常、メッセージのタイム・スタンプは、大体 10 分から 30 分の間で構成します。 10 分は、P0Y0M0DT0H10M0S と表記します。時間と日付の前に文字 P を配置します。

タスクの結果

重要: クライアントおよびサーバーの署名情報が正しく構成されているにもかかわらず、 クライアントの実行時に Soap body not signed エラーを受信した場合には、 アクターを構成する必要がある場合があります。以下のロケーションで、 アクターを構成することができます。
  • 「セキュリティー拡張」 > 「クライアント・サービス構成詳細」とクリックして、「アクター URI」フィールドにアクター情報を指示します。
  • 「セキュリティー拡張」 > 「要求送信側構成」 > 「詳細」とクリックして、「アクター」フィールドで アクター情報を示します。
要求を処理して応答を戻すサーバー上の Web サービスに対しても、同じアクター・ストリングを構成する必要があります。 以下のロケーションでアクターを構成します。
  • 「セキュリティー拡張」 > 「サーバー・サービス構成」とクリックします。
  • 「セキュリティー拡張」 > 「応答送信側サービス構成の詳細」 > 「詳細」をクリックして、「アクター」フィールドでアクター情報を示します。

クライアントおよびサーバー上のアクター情報は、両方ともまったく同一のストリングである 必要があります。クライアントとサーバーの 「アクター」フィールドが一致する場合には、 要求または応答はダウンストリームに転送されずに、処理されます。 他の Web サービスのゲートウェイとして動作する Web サービスがある場合は、「アクター」フィールドが異なる場合があります。ただし、そのような Web サービスがない場合には、 アクター情報がクライアントとサーバーで一致していることを必ず確認してください。複数の Web サービスがゲートウェイとして機能しており、 それらの Web サービスに、そのゲートウェイを介して渡される要求として構成された同じアクターがない場合には、 Web サービスはクライアントからのメッセージを処理しません。 代わりに、これらの Web サービスは、その要求をダウンストリームに送信します。正しいアクター・ストリングを含む ダウンストリーム・プロセスによって、要求が処理されます。 応答でも同じ状況が発生します。 したがって、該当するクライアントとサーバーの「アクター」フィールドが同期化されていることを確認することが重要です。

サーバーからクライアントに応答が送信されるときにデジタル署名するメッセージ・パーツを指定しました。

次のタスク

どのメッセージ・パーツにデジタル署名するかを指定すると、 どのメソッドをメッセージのデジタル署名で使用するかを指定する必要があります。 詳しくは、応答署名用サーバーの構成: デジタル署名メソッドの選択を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrrespsignmsg
ファイル名:twbs_confsvrrespsignmsg.html