例: デフォルトの IbmPKIX トラスト・マネージャーを使用した証明書の失効検査の有効化

IbmPKIX トラスト・マネージャーは、デフォルトで WebSphere® Application Server で有効になっています。 IbmPKIX トラスト・マネージャーにより、証明書の失効検査を行うことができます。 管理コンソールを使用するか、ssl.client.props ファイルを手動で更新することで、証明書の失効検査を有効にします。

デフォルトの IbmPKIX トラスト・マネージャー

IbmPKIX トラスト・マネージャーはデフォルトで有効になっていますが、失効検査はデフォルトでは有効になっていません。 IbmPKIX の以下のトラスト・マネージャー定義は、デフォルトの状態を示しています。
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass="" 
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey="" 
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>

デフォルトの IbmPKIX トラスト・マネージャーを使用した証明書の失効検査の有効化

管理コンソールを使用して、IbmPKIX トラスト・マネージャーのカスタム・プロパティーを表示および変更できます。

これを行うには、次のようにします。
  • セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
  • 「関連項目」で、「トラスト・マネージャー」をクリックします。
  • IbmPKIX」をクリックします。
  • 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。

IbmPKIX カスタム・プロパティー

com.ibm.jsse2.checkRevocation
このプロパティーは、Java™ 仮想マシン (JVM) の失効検査を構成します。SSL 通信に使用されるデフォルトの WebSphere 証明書には、証明書失効リスト (CRL) 配布ポイントまたは Online Certificate Status Protocol (OCSP) 情報が含まれないため、このプロパティーはデフォルトで false に設定されています。
注: このプロパティーは JVM プロパティーであるため、この値はアプリケーション・サーバー全体で有効です。このプロパティーが異なる有効範囲のトラスト・マネージャーにおいて定義されている場合は、最も詳細な有効範囲で定義されている IbmPKIX トラスト・マネージャーの有効値が使用されます。例えば、ノード・レベルで定義された IbmPKIX トラスト・マネージャーは、セル・レベルで定義された IbmPKIX トラスト・マネージャーのプロパティーより優先されます。IbmX509 トラスト・マネージャーの場合このプロパティーは無視されます。
デフォルト
false
com.ibm.security.enableCRLDP
このプロパティーは、PKIX トラスト・マネージャーの CRL 配布ポイント検査を構成します。
注: CRL 配布ポイント失効検査を有効にする場合、Secure Sockets Layer (SSL) で使用される証明書には有効な配布ポイントが含まれている必要があり、この配布ポイントにアクセス可能でなければなりません。アクセスできない場合、SSL 通信は失敗し、サーバーが正しく機能しません。
デフォルト
false

内部の CRL 配布ポイントを含んでいない証明書の場合、以下のプロパティーを使用することにより、その CRL を含んでいるリモートの LDAP サーバーと照合して取り消し状態が検査されるようにできます。

com.ibm.security.ldap.certstore.host
このプロパティーは、トラステッド証明書または証明書失効リストを含む LDAP サーバー・ホストを指定します。証明書を検査する場合、およびローカルのトラストストアに必要な証明書が含まれていない場合は、ターゲットの LDAP サーバー・ホストを使用して CA 証明書または証明書失効リストを取得します。LDAP サーバーが指定されていない場合は、必要な証明書がローカルのトラストストアに含まれている必要があります。LDAP サーバーが使用されている場合、LDAP サーバーは信頼できる証明書ストアではないため、ルート CA 証明書は、ローカルのトラストストアにも存在する必要があります。
注: com.ibm.jsse2.checkRevocation プロパティー以外にこのプロパティーを有効にすると、取り消し検査が可能になります。リモート LDAP サーバーには有効な証明書失効リストが含まれている必要があり、サーバーがアクセス可能である必要があります。取り消し状況を判別できない場合、検査は失敗し、SSL 通信が失敗してサーバーが正常に動作しなくなります。
デフォルト
none
com.ibm.security.ldap.certstore.port
このプロパティーは LDAP サーバー・ポートを指定します。LDAP サーバー・ポートが指定されていない場合、デフォルトではポート値として 389 が使用されます。
デフォルト
389
以下の Java Development Kit (JDK) プロパティーは、デフォルトの IbmPKIX トラスト・マネージャーを使用した証明書の失効検査を有効化するために適用します。
  • ocsp.enable
  • ocsp.responder
  • ocsp.responderCertSubjectName
  • ocsp.responderCertIssuerName
  • ocsp.responderCertSerialNumber
これらの JDK プロパティーは、管理コンソールを使用して設定できます。これらのプロパティーの説明および指定できる設定については、Java(TM) Certification Path API Programmer's Guide - SDK 6.0 を参照してください。
注: 標準的な証明書の検証というロールに加え、IbmPKIX トラスト・マネージャーは、CRL 配布ポイントを含む証明書があるかどうかを検査します。このプロセスは、拡張 CRL 検査と呼ばれます。デフォルトでは、CRL 配布ポイント失効検査は無効になっています。 CRL 配布ポイント失効検査を有効にするには、管理コンソールを使用して、以下のプロパティーを true に設定する必要があります。
  • com.ibm.security.enableCRLDP
  • com.ibm.jsse2.checkRevocation

OCSP プロパティーおよび CRL プロパティーは、証明書の失効検査に影響します。 デフォルトでは、OCSP プロパティーが最初に検査されます。OCSP での証明書の検証でエラーが検出されると、検証では代わりに CRL 配布ポイントが使用されます。

トラスト・マネージャーを選択すると、その関連プロパティーが Java システム・プロパティーとして自動的に設定されます。これにより、IBMCertPath および IBMJSSE2 プロバイダーは、CRL 検査が有効であるか無効であるかを認識できます。 同様に、OCSP プロパティーについても同じことが行われ、java.security.Security プロパティーとなります。

クライアント考慮事項

ssl.client.props ファイルにプロパティーを直接設定することで、WebSphere アプリケーションおよび管理クライアントの失効検査を有効にすることもできます。 ssl.client.props ファイルの例を以下に示します。
#-------------------------------------------------------------------------
# Default Revocation Checking Properties
# These properties are used for certificate revocation checking with the IBM
# PKIX TrustManager.
#
# To enable CRL Distribution Points extension checking, use the system property
# com.ibm.security.enableCRLDP.
#
# OCSP checking is not enabled by default. It is enabled by setting the
# ocsp.enable property to "true".  Use of the other ocsp properties is optional.
#
# Note: Both OCSP and CRLDP checking is only effective if revocation checking
# has also been enabled by setting com.ibm.jsse2.checkRevocation to "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
注: これらのプロパティーを有効にするには、com.ibm.ssl.trustManager=IbmPKIX を設定して、IbmPKIX トラスト・マネージャーを初期化する必要があります。

また、クライアントで失効検査を正常に処理するには、署名者交換プロンプトをオフにする必要があります。 これを行うには、ssl.client.props ファイル内の com.ibm.ssl.enableSignerExchangePrompt プロパティーの値を false に変更します。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7enablecert_revoc
ファイル名:rsec_7enablecert_revoc.html