アセンブリー・ツールを使用して、応答に署名するサーバーの構成時にどのデジタル署名方式を使用するのかを指定します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。
この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。
この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
次のステップを実行する前に、以下のいずれかのトピックに目を通して、IBM® アセンブリー・ツールに含まれる Web サービス・エディターの「拡張」タブおよび「
バインディング構成」タブについて十分理解してください。
これら 2 つのタブを使用して、Web Services Security 拡張および Web Services Security バインディングをそれぞれ構成します。
このタスクについて
以下のステップを完了して、応答に署名するためのサーバーの構成時に、どのデジタル署名方式を使用するのかを指定します。
手順
- アセンブリー・ツールを起動します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
- Java™ Platform,
Enterprise Edition (Java EE) パースペクティブに切り替えます。とクリックします。
- とクリックします。
- webservices.xml ファイルを右クリックして、をクリックします。
- 「バインディング構成 (Binding Configurations)」タブをクリックします。
- を展開します。
- 「編集」をクリックして、署名方式を選択します。 署名情報ダイアログが表示されたら、以下の情報を選択または入力します。
- 正規化方式アルゴリズム
- ダイジェスト方式アルゴリズム
- シグニチャー方式アルゴリズム
- 署名鍵名
- 署名鍵ロケーター
以下の表で、この情報の目的を説明しています。これらの定義の一部は、XML-Signature 仕様 (http://www.w3.org/TR/xmldsig-core にあります) を基にしています。
表 1. デジタル署名メソッド. これらの方式を使用して、サーバーの応答署名を構成します。名前 |
目的 |
正規化方式アルゴリズム |
シグニチャー操作の一部としてダイジェストされる前に、<SignedInfo> エレメントを正規化します。クライアントの応答受信側に対して同じアルゴリズムを使用します。サーバーの応答送信側の構成用に選択するアルゴリズムは、クライアントの応答受信側の構成で選択したアルゴリズムと一致している必要があります。 |
ダイジェスト方式アルゴリズム |
<DigestValue> エレメントを生成するために、変換の適用後にデータに適用されます (指定されている場合)。<DigestValue> エレメントの署名は、リソース・コンテンツを署名者鍵に結合します。サーバーの応答送信側の構成用に選択するアルゴリズムは、クライアントの応答受信側の構成で選択したアルゴリズムと一致している必要があります。 |
シグニチャー方式アルゴリズム |
正規化された <SignedInfo> エレメントを <SignatureValue> エレメントに変換します。サーバーの応答送信側の構成用に選択するアルゴリズムは、クライアントの応答受信側の構成で選択したアルゴリズムと一致している必要があります。 |
署名鍵名 |
署名鍵ロケーターに関連付けされた鍵記入項目です。
鍵記入項目とは、鍵の別名のことです。この別名は鍵ストアにあり、これを使用して要求に署名します。 |
署名鍵ロケーター |
別名および証明書が存在する正しい鍵ストアを検出する、
鍵ロケーターの実装クラスを参照します。
鍵ロケーターの構成について詳しくは、次のいずれかのファイルを参照してください。鍵ロケーターの構成について詳しくは、次のファイルを参照してください。
|
- オプション: FIPS 準拠アルゴリズムのみを「署名メソッド・アルゴリズム」および「ダイジェスト方式アルゴリズム」ドロップダウン・リストに表示したい場合、「FIPS 準拠アルゴリズムのみを表示」を選択します。このオプションは、
WebSphere Application Server の管理コンソールの「SSL 証明書および鍵管理」パネルで「連邦情報処理標準 (FIPS) を使用する」オプションを
設定した WebSphere Application Server 上でこのアプリケーションを実行する場合に使用します。
タスクの結果
サーバーがクライアントにメッセージを送信する際に、メッセージにデジタル署名するために使用する方法が指定されました。
次のタスク
応答メッセージにデジタル署名するようにサーバーを構成したら、応答メッセージに含まれるデジタル署名を検査するように、クライアントを構成する必要があります。詳しくは、
応答デジタル署名検証用クライアントの構成: メッセージ・パーツの検証を参照してください。