アプリケーション・レベルでのジェネレーター・バインディングのための、 JAX-RPC による署名情報の構成

アプリケーション・レベルで、クライアント・サイドの要求ジェネレーター・バインディングおよびサーバー・サイドの応答ジェネレーター・バインディングの署名情報を構成できます。

始める前に

注: WebSphere® Application Server バージョン 6.x 以前の場合にのみ、サーバー・サイドの拡張ファイル (ibm-webservices-ext.xmi) および クライアント・サイドのデプロイメント記述子拡張ファイル (ibm-webservicesclient-ext.xmi) で、 メッセージのどのパーツが署名されるかを指定する必要があります。 また、管理コンソール内の「署名情報」パネルで、鍵情報参照が参照する鍵情報を構成する必要があります。

このタスクについて

このタスクでは、アプリケーション・レベルで、 クライアント・サイドの要求ジェネレーターおよびサーバー・サイドの応答ジェネレーターの署名情報を構成するために必要なステップについて説明します。 WebSphere Application Server は、デフォルトの生成プログラムの署名情報を使用して、 本体、タイム・スタンプ、およびユーザー名トークンなどのメッセージのパーツに署名します。 アプリケーション・サーバーは、バインディングのデフォルト値を提供します。 しかし、管理者は実稼働環境に合わせてデフォルトを変更する必要があります。 以下のステップを実行して、 アプリケーション・レベルで、バインディング・ファイルのジェネレーター・セクションの署名情報を構成します。

手順

  1. 管理コンソールの「署名情報」構成パネルを見つけます。
    1. 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > application_nameとクリックします。
    2. 「モジュールの管理」の下で、「URI_name」をクリックします。
    3. 「Web Services Security プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの署名情報にアクセスできます。
      • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
      • 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
    4. 「必須プロパティー」の下の「署名情報」をクリックします。
    5. 新規」をクリックして署名情報構成を作成するか、 構成の横にあるボックスを選択して「削除」をクリックすることで既存の構成を削除するか、 既存の署名情報構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「署名情報名」フィールドに名前を入力します。 例えば、gen_signinfo などです。
  2. 「Signature method」フィールドからシグニチャー方式アルゴリズムを選択します。 ジェネレーター (要求ジェネレーターまたは応答ジェネレーター構成のいずれか) 用に指定されるアルゴリズムは、 コンシューマー (要求コンシューマーまたは応答コンシューマー構成のいずれか) 用に指定されるアルゴリズムと一致している必要があります。 WebSphere Application Server は次の事前構成済みアルゴリズムをサポートしています。
  3. 正規化方式」フィールドから、正規化方式を選択します。 生成プログラム用にユーザーが指定する正規化アルゴリズムは、 コンシューマー用のアルゴリズムと一致している必要があります。 WebSphere Application Server は次の事前構成済みアルゴリズムをサポートしています。
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  4. 「鍵情報署名タイプ」フィールドから鍵情報シグニチャー・タイプを選択します。 WebSphere Application Server は以下のシグニチャー・タイプをサポートしています。
    なし
    <KeyInfo> エレメントが署名されないように指定します。
    Keyinfo
    <KeyInfo> エレメント全体が署名されるように指定します。
    Keyinfochildelements
    <KeyInfo> エレメントの子エレメントが署名されるように指定します。
    ジェネレーターの鍵情報シグニチャー・タイプは、コンシューマーのシグニチャー・タイプと一致している必要があります。 次の状態が発生する可能性があります。
    • 上記のシグニチャー・タイプのいずれも指定しない場合、 WebSphere Application Server はデフォルトで keyinfo を使用します。
    • Keyinfo または Keyinfochildelements を選択し、後続のステップで http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform を 変換アルゴリズムとして選択した場合、WebSphere Application Server は参照されるトークンにも署名します。
  5. 「署名鍵情報」フィールドから署名鍵情報参照を選択します。 ここで選択するのは、アプリケーション・サーバーがデジタル署名を生成するために使用する署名鍵に対する参照です。
  6. OK」をクリックしてから「保存」をクリックし、構成を保存します。
  7. 新規署名情報構成の名前をクリックします。 この構成は、前のステップでユーザーが指定したものです。
  8. パーツ参照、ダイジェスト・アルゴリズム、および変換アルゴリズムを指定します。 パーツ参照は、メッセージのどのパーツをデジタル署名するかを指定します。
    1. 「追加プロパティー」の下で、「パーツ参照」 > 「新規」とクリックして 新規パーツ参照を作成するか、「パーツ参照」 > 「削除」とクリックして既存のパーツ参照を削除するか、 あるいはパーツ名をクリックして既存のパーツ参照を編集します。
    2. このパーツ参照の固有のパーツ名を指定します。 例えば、reqint などです。
    3. 「パーツ参照」フィールドからパーツ参照を選択します。

      このパーツ参照は、デジタル署名されるメッセージ・パーツを参照します。 パーツ属性は、<PartReference> エレメントがシグニチャーに対して指定されている場合、デプロイメント記述子の <Integrity> エレメントの名前を参照します。<SigningInfo> エレメント内で、複数の <PartReference> エレメントを指定することができます。<PartReference> エレメントがシグニチャーに対して指定されている場合、このエレメントには <DigestTransform> および <Transform> という 2 つの子エレメントがあります。

    4. メニューからダイジェスト方式アルゴリズムを選択します。 <SigningInfo> エレメントで使用される <DigestMethod> エレメント内で指定されるダイジェスト方式アルゴリズム。
      WebSphere Application Server は、以下のアルゴリズムをサポートします。
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    5. OK」をクリックして、構成を保管します。
    6. 新規パーツ参照構成の名前をクリックします。 この構成は、前のステップでユーザーが指定したものです。
    7. 「追加プロパティー」の下で、「変換」 > 「新規」とクリックして新規変換を作成するか、「変換」 > 「削除」とクリックして変換を削除するか、または変換名をクリックして既存の変換を編集します。 新規変換構成を作成する場合は、固有の名前を指定します。 例えば、reqint_body_transform1 などです。
    8. メニューから変換アルゴリズムを選択します。 変換アルゴリズムは、<Transform> エレメント内で指定され、シグニチャーの変換アルゴリズムを指定します。WebSphere Application Server は次のアルゴリズムをサポートしています。
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 この変換アルゴリズムは使用しないでください。 代わりに http://www.w3.org/2002/06/xmldsig-filter2 を使用して準拠させてください。
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature
      ジェネレーター用にユーザーが選択する変換アルゴリズムは、 コンシューマー用に選択する変換アルゴリズムと一致している必要があります。
      重要: 以下の条件が両方とも真である場合、WebSphere Application Server は参照されるトークンに署名します。
      • 以前、「署名情報」パネルの「鍵情報署名タイプ」フィールドから、 Keyinfo または Keyinfochildelements オプションを選択した。
      • 変換アルゴリズムとして http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform を選択する。
  9. 適用」をクリックします。
  10. オプション: 包括的名前空間接頭部リストを使用不可に設定するかどうか決定します。 Exclusive XML Canonicalization Version 1.0 仕様では、名前空間接頭部に対応するすべての名前空間宣言を正規化フォーマットで含めることを推奨しています。 セキュリティー上の理由から、WebSphere Application Server はデフォルトで、その接頭部を Web Services Security のデジタル署名に含めています。 ただし、Web Services Security の一部の実装では、この接頭部リストを処理できません。 WebSphere Application Server は、接頭部リストの有無にかかわらず、デジタル署名されたメッセージを処理できます。 署名済み Simple Object Access Protocol (SOAP) メッセージが送信されたときにシグニチャー検証に失敗し、その環境で別のベンダーを使用している場合は、 このプロパティーを使用不可に設定する前に、その実装に適用可能な修正がないかサービス・プロバイダーに確認してください。このプロパティーを使用不可に設定するには、以下のステップを実行します。
    1. 「追加プロパティー」の下で「プロパティー」 > 「新規」とクリックします。
    2. 「プロパティー名」フィールドに、com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces プロパティーを入力します。
    3. 「プロパティー値」フィールドに、false 値を入力します。
    4. 「OK」をクリックします。

    このプロパティーは、要求ジェネレーターおよび応答ジェネレーターの両方の構成に設定できます。

  11. 「保存」をクリックして、構成を保存します。

タスクの結果

これらのステップを完了すると、アプリケーション・レベルで、ジェネレーターの署名情報が構成されます。

次のタスク

コンシューマーに対しても、同様の署名情報構成を指定する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
ファイル名:twbs_configsigninfogenapp.html