アプリケーション・レベルでのコンシューマー・バインディングのコレクション証明書ストアの構成
コレクション証明書ストアは、ルート以外の認証局 (CA) の証明書と、証明書失効リスト (CRL) の集合です。 CA 証明書と CRL の集合は、デジタル署名付きの SOAP メッセージの有効なシグニチャー検査に使用します。
このタスクについて
手順
- 管理コンソールで
「collection certificate store」構成パネルを見付けます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュール」で、「モジュールの管理」 > 「URI_name」とクリックします。
- 「Web Services Security properties」の下で、応答コンシューマーおよび要求コンシューマー・バインディングのコレクション証明書ストア情報にアクセスすることができます。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
- 「新規」をクリックしてコレクション証明書ストア構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存のコレクション証明書ストア構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
コレクション証明書ストアの名前は、 アプリケーション・サーバーのレベルに対して固有でなければなりません。 例えば、コレクション証明書ストアをアプリケーション・レベルで作成する場合は、 ストア名はアプリケーション・レベルに対して固有でなければなりません。 「Certificate store name」フィールドで指定された名前は、 事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。 WebSphere® Application Server は、 接近性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが、 cert1 という名前のコレクション証明書ストアを参照する場合、 Application Server は、サーバー・レベルに続いてセル・レベルを検索する前に、 アプリケーション・レベルで cert1 を検索します。
- 「証明書ストア・プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。 WebSphere Application Server は、IBMCertPath 証明書ストア・プロバイダーをサポートします。別の証明書ストア・プロバイダーを使用する場合は、
install_dir/java/jre/lib/security/java.security
install_dir/properties/java.security
profile_root/properties/java.security ファイル内にある プロバイダー・リストでプロバイダー実装を定義する必要があります。 ただし、 そのプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートすることを確認してください。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 証明書ストア構成の名前をクリックします。 証明書ストア・プロバイダーを指定した後、 証明書失効リストの場所または X.509 証明書のいずれかを指定する必要があります。 ただし、証明書失効リストおよび X.509 証明書を両方とも証明書ストア構成に対して指定することができます。
- 「追加プロパティー」の下の「Certificate revocation lists」をクリックします。
- 「新規」をクリックして証明書失効リストのパスを指定するか、
「削除」をクリックして既存のリスト参照を削除するか、
あるいは既存の参照名をクリックしてパスを編集します。 WebSphere Application Server が
無効な証明書のリストを見付けることができる場所への完全修飾パスを指定する必要があります。
移植性の理由から、
証明書失効リスト (CRL) への相対パスを指定する場合は、WebSphere Application Server 変数を使用することをお勧めします。
WebSphere Application Server Network Deployment 環境で作業をしている場合は、この推奨事項が特に重要です。
例えば、USER_INSTALL_ROOT 変数を使用して、
$USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義する場合があります。
サポートされている変数のリストについては、
管理コンソールで「環境」 > 「WebSphere 変数」とクリックしてください。
以下のリストに、証明書失効リストの使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。 CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が 発行者の CRL に対して検査されます。
- CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。 コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 「コレクション証明書ストア」構成パネルに戻ります。 「collection certificate store」パネルを見付けるには、 最初のいくつかのステップを参照してください。
- 「追加プロパティー」の下の「X.509 certificates」をクリックします。
- 「新規」をクリックして X.509 証明書の新規構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の X.509 証明書構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「Certificate store name」フィールドに名前を入力します。
- 「X.509 certificate path」フィールドにパスを指定します。 このエントリーは、X.509 証明書の場所への絶対パスです。
コレクション証明書ストアは、
着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。 例えば、次のように入力できます: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer。この証明書パスは、実動用には使用しないでください。 WebSphere Application Server 環境を実動させる前に、 認証局からユーザー独自の X.509 証明書を取得する必要があります。
管理コンソールで「環境」 > 「WebSphere 変数」をクリックして、USER_INSTALL_ROOT 変数を構成します。
- 「OK」をクリックしてから、 「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstconsapp
ファイル名:twbs_colcertstconsapp.html