アプリケーション・レベルでのジェネレーター・バインディングのコレクション証明書ストアの構成
アプリケーション・レベルでのジェネレーター・バインディングのコレクション証明書を構成できます。
このタスクについて
コレクション証明書ストア は、ルート以外の認証局 (CA) の証明書と、証明書失効リスト (CRL) の集合です。 CA 証明書と CRL の集合は、デジタル署名付きの SOAP メッセージの有効なシグニチャー検査に使用します。
以下のステップを実行して、 ジェネレーター・バインディングのコレクション証明書をアプリケーション・レベルで構成します。
手順
- 管理コンソールで
「collection certificate store」構成パネルを見付けます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求生成プログラム・バインディングおよび応答生成プログラム・バインディングの鍵情報にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
- 証明書ストア名を指定します。 「新規」をクリックしてコレクション証明書ストア構成を作成するか、
構成の隣にあるボックスを選択し、「削除」をクリックして既存の構成を削除するか、
あるいは既存のコレクション証明書ストア構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
コレクション証明書ストアの名前は、 アプリケーション・サーバーのレベルに対して固有でなければなりません。 例えば、コレクション証明書ストアをアプリケーション・レベルで作成する場合は、 ストア名はアプリケーション・レベルに対して固有でなければなりません。 「Certificate store name」フィールドで指定された名前は、 事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。 WebSphere® Application Server は、 接近性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが、 cert1 という名前のコレクション証明書ストアを参照する場合、 Application Server は、サーバー・レベルに続いてセル・レベルを検索する前に、 アプリケーション・レベルで cert1 を検索します。
- 「証明書ストア・プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。 WebSphere Application Server は、IBMCertPath 証明書ストア・プロバイダーをサポートします。別の証明書ストア・プロバイダーを使用する場合は、
install_dir/java/jre/lib/security
profile_root/properties/java.security ファイル内にある プロバイダー・リストでプロバイダー実装を定義する必要があります。 ただし、 そのプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートすることを確認してください。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 証明書ストア構成の名前をクリックします。 証明書ストア・プロバイダーを指定した後、 証明書失効リストの場所または X.509 証明書のいずれかを指定する必要があります。 ただし、証明書失効リストおよび X.509 証明書を両方とも証明書ストア構成に対して指定することができます。
- 「追加プロパティー」の下の「Certificate revocation lists」をクリックします。
- 「新規」をクリックして証明書失効リストのパスを指定するか、
「削除」をクリックして既存のリスト参照を削除するか、
あるいは既存の参照名をクリックしてパスを編集します。 WebSphere Application Server が
無効な証明書のリストを見付けることができる場所への完全修飾パスを指定する必要があります。
移植性の理由から、
証明書失効リスト (CRL) への相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。
WebSphere Application Server Network Deployment 環境で作業をしている場合は、この推奨事項が特に重要です。
例えば、USER_INSTALL_ROOT 変数を使用して、
$USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義する場合があります。
サポートされている変数のリストについては、
管理コンソールで「環境」 > 「WebSphere 変数」とクリックしてください。
以下のリストに、証明書失効リストの使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が 発行者の CRL に対して検査されます。
- CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。 コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 「コレクション証明書ストア」構成パネルに戻ります。 パネルにアクセスするには、以下のステップを実行します。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求生成プログラム・バインディングおよび応答生成プログラム・バインディングの鍵情報にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」で、「コレクション証明書ストア」 > 「certificate_store_name」とクリックします。
- 「追加プロパティー」の下の「X.509 certificates」をクリックします。
- 「新規」をクリックして X.509 証明書構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の X.509 証明書構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「Certificate store name」フィールドに名前を入力します。
- 「X.509 certificate path」フィールドにパスを指定します。 このエントリーは、X.509 証明書の場所への絶対パスです。
コレクション証明書ストアは、
着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。 例えば、次のように入力できます: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。この証明書パスは、実動用には使用しないでください。 WebSphere Application Server 環境を実動させる前に、 認証局からユーザー独自の X.509 証明書を取得する必要があります。
管理コンソールで「環境」 > 「WebSphere 変数」をクリックして、USER_INSTALL_ROOT 変数を構成します。
- 「OK」をクリックしてから、 「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク
サブトピック
コレクション証明書ストアのコレクション
このページを使用して、これから検証を行う、信頼されていない中間証明書ファイルを含む 証明書ストアのリストを表示します。 検証では、証明書が証明書失効リスト (CRL) にあるかどうかの確認、 証明書が失効していないかの確認、および証明書がトラステッド署名者によって発行されたかどうかの 確認が行われます。コレクション証明書ストア構成の設定
このページを使用して、コレクション証明書ストアの名前とプロバイダーを指定します。 コレクション証明書ストア は、ルート以外の認証局 (CA) の証明書と、証明書失効リスト (CRL) の集合体です。この CA 証明書および CRL の集合は、デジタル署名付きの SOAP メッセージのシグニチャー検査で使用します。X.509 証明書コレクション
このページを使用して、信頼されていない中間証明書ファイルのリストを表示します。 このコレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パス検証のために使用されます。X.509 証明書構成の設定
このページを使用して、信頼されていない中間証明書ファイルのリストを指定します。 このコレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パス検証のために使用されます。証明書失効リスト・コレクション
アプリケーション・サーバーが認識している証明書失効リスト (CRL) のロケーションを判別するには、このページを使用します。 アプリケーション・サーバーは、CRL を検査して、クライアント証明書の妥当性を判別します。 証明書失効リストある証明書は、有効期限は切れていない可能性がありますが、既にその証明書を発行した認証局 (CA) に信頼されていません。 CA は、クライアント権限が危ういと見なした場合、この証明書を証明書失効リストに追加する可能性があります。証明書失効リスト構成の設定
このページを使用して、証明書の妥当性を検査する証明書失効リストを指定します。 アプリケーション・サーバーは、証明書失効リスト (CRL) を検査して、クライアント証明書の妥当性を判別します。 証明書失効リストある証明書は、有効期限は切れていない可能性がありますが、既にその証明書を発行した認証局 (CA) に信頼されていません。 CA は、クライアント権限が危ういと見なした場合、この証明書を証明書失効リストに追加する可能性があります。コレクション証明書ストアのコレクション
このページを使用して、これから検証を行う、信頼されていない中間証明書ファイルを含む 証明書ストアのリストを表示します。 検証では、証明書が証明書失効リスト (CRL) にあるかどうかの確認、 証明書が失効していないかの確認、および証明書がトラステッド署名者によって発行されたかどうかの 確認が行われます。コレクション証明書ストア構成の設定
このページを使用して、コレクション証明書ストアの名前とプロバイダーを指定します。 コレクション証明書ストア は、ルート以外の認証局 (CA) の証明書と、証明書失効リスト (CRL) の集合体です。この CA 証明書および CRL の集合は、デジタル署名付きの SOAP メッセージのシグニチャー検査で使用します。X.509 証明書コレクション
このページを使用して、信頼されていない中間証明書ファイルのリストを表示します。 このコレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パス検証のために使用されます。X.509 証明書構成の設定
このページを使用して、信頼されていない中間証明書ファイルのリストを指定します。 このコレクション証明書ストアは、 着信する X.509 形式のセキュリティー・トークンの証明書パス検証のために使用されます。証明書失効リスト・コレクション
アプリケーション・サーバーが認識している証明書失効リスト (CRL) のロケーションを判別するには、このページを使用します。 アプリケーション・サーバーは、CRL を検査して、クライアント証明書の妥当性を判別します。 証明書失効リストある証明書は、有効期限は切れていない可能性がありますが、既にその証明書を発行した認証局 (CA) に信頼されていません。 CA は、クライアント権限が危ういと見なした場合、この証明書を証明書失効リストに追加する可能性があります。証明書失効リスト構成の設定
このページを使用して、証明書の妥当性を検査する証明書失効リストを指定します。 アプリケーション・サーバーは、証明書失効リスト (CRL) を検査して、クライアント証明書の妥当性を判別します。 証明書失効リストある証明書は、有効期限は切れていない可能性がありますが、既にその証明書を発行した認証局 (CA) に信頼されていません。 CA は、クライアント権限が危ういと見なした場合、この証明書を証明書失効リストに追加する可能性があります。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
ファイル名:twbs_colcertstgenapp.html