サーバーまたはセル・レベルでの JAX-RPC を使用したジェネレーター・バインディングの鍵情報の構成

署名情報構成や暗号化情報構成のバインディングがアプリケーション・レベルで定義されていない場合、 デフォルト・ジェネレーターの鍵情報を使用して、これらの構成で使用される鍵を指定します。

このタスクについて

署名および暗号化情報構成は同じ鍵情報を共有することができますが、これは、これらがどちらも同じレベルで定義されているためです。 WebSphere® Application Server には、これらのバインディングのデフォルト値が用意されています。 しかし、管理者は実稼働環境用にこれらの値を変更する必要があります。

サーバー・レベルおよびセル・レベルで生成プログラム・バインディングの鍵情報を構成できます。 以下のステップでは、最初のステップを使用してサーバー・レベルの鍵情報を構成するか、または第 2 ステップを使用してセル・レベルの鍵情報を構成します。

手順

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_nameとクリックします。
    2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
      混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  2. 「セキュリティー」 > 「Web サービス」とクリックして、 セル・レベルでデフォルト・バインディングにアクセスします。
  3. 「デフォルト生成バインディング」の下の「鍵情報」をクリックします。
  4. 新規」をクリックして鍵情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、既存の鍵情報構成名をクリックして、その設定を編集します。 新規構成を作成している場合は、「鍵情報名」フィールドに鍵構成の固有名を入力します。 例えば、sig_keyinfo などです。
  5. 「鍵情報タイプ」フィールドから鍵情報タイプを選択します。 WebSphere Application Server は、以下の鍵情報タイプをサポートします。
    鍵 ID
    この鍵情報タイプは、2 人の当事者が鍵 ID の作成方法に関して同意した場合に使用されます。 例えば、X.509 証明書のフィールドは、X.509 プロファイルに準じた鍵 ID に使用することができます。
    鍵名
    送信側と受信側が鍵名に同意した場合に、この鍵情報タイプが使用されます。
    セキュリティー・トークン参照
    この鍵情報タイプは一般に、X.509 証明書がデジタル署名に使用される場合に使用されます。
    組み込みトークン
    この鍵情報タイプは、組み込みエレメントにセキュリティー・トークンを組み込むために使用されます。
    X509 発行者名および発行者シリアル番号
    この鍵情報タイプは、発行者名およびシリアル番号で X.509 証明書を指定します。
    デジタル署名に X.509 証明書を使用している場合は、「Security token reference」を選択します。 これらのステップでは、このフィールドに 「Security token reference」が選択されていることを前提とします。
    重要: この鍵情報タイプは、コンシューマーに対して指定した鍵情報タイプと一致している必要があります。
  6. 「Key locator reference」メニューから鍵ロケーター参照を選択します。 これらのステップでは、鍵ロケーター参照を sig_klocator と呼ぶことを前提とします。 鍵ロケーター参照は、デジタル署名の鍵を生成するために使用される鍵ロケーターの名前です。 このフィールドで選択する前に鍵ロケーターを構成する必要があります。 鍵ロケーターの構成について詳しくは、サーバーまたはセル・レベルでの JAX-RPC による 鍵ロケーターの構成を参照してください。
  7. 鍵の取得」をクリックして鍵名参照のリストを表示します。鍵の取得」をクリックすると、<sig_klocator> エレメントで定義した鍵名が鍵名参照メニューに表示されます。 鍵ロケーター参照を変更する場合は、再度「Get keys」をクリックして新しい鍵ロケーターに関連付けられた鍵名のリストを表示します。
  8. 「鍵名参照」メニューから鍵名参照を選択します。 この鍵名参照は、デジタル署名の生成および暗号化に使用する鍵の名前を指定します。 「鍵名参照」メニューは、「鍵ロケーター参照」フィールドで選択した鍵ロケーターに定義された鍵名のリストを表示します。 例えば、「signerkey」を選択します。 署名者鍵は、sig_klocator 鍵ロケーターに定義した鍵名であることを前提とします。
  9. 「トークン参照」フィールドからトークン参照を選択します。 トークン参照は、構成されたトークン生成プログラムの名前を参照します。 デプロイメント記述子でセキュリティー・トークンが必要な場合は、トークン参照属性が必要です。 「鍵情報タイプ」フィールドで「セキュリティー・トークン参照」を選択する場合はトークン参照が必要であり、X.509 トークン生成プログラムを指定できます。 X.509 トークン生成プログラムを指定するには、構成されている X.509 トークン生成プログラムがなければなりません。 X.509 トークン生成プログラムを構成するには、サーバーまたはセル・レベルで メッセージの認証性を保護するための、JAX-RPC によるトークン生成プログラムの構成を参照してください。 残りのステップについては、gen_tcon という名前の X.509 トークン生成プログラムが既に構成されていることを前提とします。
  10. オプション: 「エンコード方式」フィールドからエンコード方式を 選択します。 このフィールドは、鍵 ID のエンコード・フォーマットを指定します。 エンコード方式の属性は、鍵情報タイプに 「Key ID」を選択した場合に有効になります。 WebSphere Application Server は、以下のエンコード方式をサポートしています。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
  11. オプション: 「Calculation method」フィールドから計算方式を選択します。 計算方式は、鍵 ID に使用される計算アルゴリズムを指定します。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 WebSphere Application Server は、以下の計算方法をサポートしています。
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
    • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
  12. オプション: 「Namespace URI」フィールドからセキュリティー・トークンの値タイプの Uniform Resource Identifier (URI) を指定します。 名前空間 URI は鍵情報によって参照されます。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 X.509 証明書トークンを指定する場合、名前空間 URI を指定する必要はありません。 別のトークンが指定されている場合は、名前空間 URI を指定する必要があります。 例えば、Lightweight Third Party Authentication (LTPA) トークンには、 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を、 LTPA_PROPAGATION トークンには、 http://www.ibm.com/websphere/appserver/tokentype を指定できます。
  13. オプション: ローカル名」フィールドに、セキュリティー・トークンの値タイプのローカル名を指定します。 ローカル名は鍵 ID によって参照されます。 この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。 WebSphere Application Server は、以下のローカル名をサポートしています。
    X.509 証明書トークンの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath の X.509 証明書の場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 内 の X.509 証明書および CRL のリストの場合
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA の場合
    LTPA
    LTPA_PROPAGATION の場合
    LTPA_PROPAGATION
  14. OK」をクリックしてから「保存」をクリックし、構成を保存します。

タスクの結果

サーバーまたはセルのレベルでジェネレーター・バインディングの鍵情報を構成しました。

次のタスク

コンシューマー用に同様の鍵情報構成を指定する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfogensvrcell
ファイル名:twbs_configkeyinfogensvrcell.html