WebSphere® Application Server の管理コンソールを使用して、
署名者の証明書の妥当性を検証するためのトラステッド・ルート証明書を含んだ鍵ストアを
指定する、トラスト・アンカーを構成します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。
この情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。
この情報はバージョン
6.0.x 以降のアプリケーションには適用されません。
ここでは、トラスト・アンカーまたはトラスト・ストアをアプリケーション・レベルで構成する方法について説明します。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成または管理コンソールを使用したサーバー・セキュリティー・バインディングの構成を参照してください。
アプリケーション・レベルのトラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。ここでは、アセンブリー・ツールを使用したトラスト・アンカーまたは管理ツールの構成方法について説明します。
このタスクについて
トラスト・アンカーは、署名者証明書を検証するトラステッド・ルート証明書を含む鍵ストアを指定します。
これらの鍵ストアは、要求の受信者 (ibm-webservices-bnd.xmi ファイルで定義) および応答の受信者 (Web サービスがクライアントとして動作する場合、ibm-webservicesclient-bnd.xmi で定義) によって、デジタル署名の署名者の証明書を妥当性検査するために使用されます。鍵ストアは、デジタル署名の検証の完全性を保つために重要なものです。
鍵ストアが改ざんされると、デジタル署名の検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。
ibm-webservices-bnd.xmi ファイルで要求受信側用に指定するバインディング構成は、ibm-webservicesclient-bnd.xmi ファイルで応答受信側用に指定されているバインディング構成と一致している必要があります。
以下は、ibm-webservicesclient-bnd.xmi ファイルで定義されたクライアント・サイドの応答受信側、および、ibm-webservices-bnd.xmi ファイルで定義されたサーバー・サイドの要求受信側のためのステップです。
手順
- Java™ Platform,
Enterprise Edition (Java EE) エンタープライズ・アプリケーションと連動するアセンブリー・ツールを構成します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
- Web サービス対応 Java EE エンタープライズ・アプリケーションを作成します。 サーバーで Web Services Security バインディング情報を管理する方法の概要については、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成か、管理コンソールを使用したサーバー・セキュリティー・バインディングの構成を参照してください。
- をクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- Web サービスがクライアントとして動作している場合、「Web Services Security プロパティー」の下の「Web サービス: クライアント・セキュリティーのバインディング」をクリックして、応答受信側のバインディング情報を編集します。
- 「応答受信側のバインディング」の下の「編集」をクリックします。
- 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。
- 「新規」をクリックして、新規のトラスト・アンカーを作成します。
- 要求受信側のバインディングで固有の名前を、「Trust anchor name」フィールドに入力します。 その名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
- 選択したトラスト・アンカーを編集するには、トラスト・アンカー名リンクをクリックします。
- 選択した 1 つまたは複数のトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- ステップ 2 でアクセスした、Web サービス対応のモジュール・パネルに戻ります。
- 「Web Services Security プロパティー」の下の「Web サービス:
サーバー・セキュリティーのバインディング」をクリックして、要求受信側のバインディング情報を編集します。
- 「要求受信側のバインディング」の下の「編集」をクリックします。
- 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。
- 「新規」をクリックして、新規のトラスト・アンカーを作成します。
要求受信側のバインディングで固有の名前を「Trust anchor name」フィールドに入力します。その名前は、定義されるトラスト・アンカーの参照に使用されます。
鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
選択したトラスト・アンカーを編集するには、トラスト・アンカー名リンクをクリックします。
選択した 1 つまたは複数のトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保存します。
タスクの結果
この手順では、要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) が署名者の証明書を検査するために使用可能なトラスト・アンカーを定義します。
例
要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) は、定義済みのトラスト・アンカーを使用して、署名者の証明書を検査します。トラスト・アンカーの参照には、トラスト・アンカー名が使用されます。