ssl.client.props クライアント構成ファイル
ssl.client.props ファイルを使用して、クライアントの Secure Sockets Layer (SSL) を構成します。 WebSphere® Application Server の前のリリースでは、 SSL プロパティーは、sas.client.props または soap.client.props ファイル内に指定されているか、システム・プロパティーとして指定されていました。構成を統合することにより、WebSphere Application Server では、サーバー・サイドの構成管理と同じような方法でセキュリティーを管理できます。ssl.client.props ファイルを複数の SSL 構成を使用して構成できます。
クライアントの SSL 構成のセットアップ
クライアント・ランタイムは、 WebSphere Application Server の ssl.client.props の構成に依存します。
コマンド行から setupCmdLine.bat スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。
コマンド行から setupCmdLine.sh スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。
com.ibm.SSL.ConfigURL プロパティーは、ssl.client.props ファイルを指すファイル URL を参照します。
setupCmdLine.bat ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。
com.ibm.SSL.ConfigURL プロパティーは、ssl.client.props ファイルを指すファイル URL を参照します。
setupCmdLine.sh ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。
コマンド行から setupCmdLine スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。
setupclient スクリプトは、CLIENTSSL 変数の設定も行います。com.ibm.SSL.ConfigURL プロパティー
は、ssl.client.props ファイルを指すファイル URL を参照します。
setupCmdLine ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。
com.ibm.ssl.alias=DefaultSSLSettings
com.ibm.ssl.alias=DefaultSSLSettings
ssl.client.props ファイルでは、管理 SSL 構成を変更することで、soap.client.props ファイルが変更されないようにすることができます。![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
-Djava.security.properties=profile_root/properties/java.security
ssl.client.props ファイルのプロパティー
このセクションでは、デフォルトの ssl.client.props ファイルのプロパティーを、ファイル内のセクションごとに詳しく説明します。 javax.net.ssl システム・プロパティーを指定した場合、ssl.client.props ファイルの設定がオーバーライドされることに注意してください。グローバル・プロパティー:
グローバル SSL プロパティーは、プロセス固有のプロパティーであり、連邦情報処理標準 (FIPS) の使用可能化、デフォルトの SSL 別名、鍵およびトラストストア・パスのルート・ロケーションを指定する user.root プロパティーなどが含まれています。
グローバル SSL プロパティーは、プロセス固有のプロパティーであり、連邦情報処理標準 (FIPS) の使用可能化、デフォルトの SSL 別名、鍵およびトラストストア・パスのルート・ロケーションを指定するプロファイルの profile_root などが含まれています。
プロパティー | デフォルト | 説明 |
---|---|---|
com.ibm.ssl.defaultAlias | DefaultSSLSettings | JSSEHelper API を呼び出して SSL 構成を検索するプロトコルによって別名が指定されていない場合に使用されるデフォルトの別名を指定します。 このプロパティーは、使用する SSL 構成を決定する、クライアント・サイドの最後のアービターです。 |
com.ibm.ssl.validationEnabled | false | true に設定すると、このプロパティーは、各 SSL 構成がロードされるたびにそれを検証します。 このプロパティーはデバッグ目的のみに使用し、実動中に不要なパフォーマンス・オーバーヘッドが発生しないようにしてください。 |
com.ibm.ssl.performURLHostNameVerification | false | true に設定すると、このプロパティーは、URL ホスト名の検証を強制します。
ターゲット・サーバーに対して HTTP URL 接続が行われた場合、サーバー証明書の共通名 (CN) がターゲット・ホスト名と一致している必要があります。
一致していない場合は、ホスト名のベリファイヤーが接続を拒否します。
デフォルト値の false は、この検査を省略します。
グローバル・プロパティーとして、デフォルトのホスト名のベリファイヤーを設定します。
すべての javax.net.ssl.HttpsURLConnection オブジェクトは、setHostnameVerifier メソッドを独自の HostnameVerifier インスタンスとともに呼び出すことで、この特定のインスタンスのホスト名検証を使用可能にすることができます。
![]() |
com.ibm.security.useFIPS | false | true に設定すると、SSL およびその他の Java™ Cryptography Extension (JCE) 固有のアプリケーションに対して、FIPS 準拠アルゴリズムが使用されます。 通常、このプロパティーは、稼働環境で要求されない限りは使用不可です。 |
com.ibm.websphere.security.FIPSLevel | false | 使用するセキュリティー標準のレベルを 指定します。有効な値は、140-2、SP800-131、および transition です。 Suite B を使用可能にするには、com.ibm.security.useFIPS プロパティーを true に設定する必要があります。 このプロパティーは、ssl.client.props ファイル内のグローバル・プロパティーのセクションで、 なるべく com.ibm.security.useFIPS の後に入力する必要があります。 |
com.ibm.websphere.security.suiteB | false | 使用可能にする Suite B セキュリティー標準 のレベルを指定します。有効な値は、128 および 192 です。com.ibm.security.useFIPS プロパティー を使用可能にするには、true に設定する必要があります。 このプロパティーは、ssl.client.props ファイル 内のグローバル・プロパティーのセクションで、なるべく com.ibm.security.useFIPS の後に入力する必要があります。 |
![]() |
![]() |
![]() |
証明書作成プロパティー:
証明書作成プロパティーを使用して、証明書の主な属性の自己署名証明書のデフォルト値を指定します。 鍵ストアに保管される識別名 (DN)、有効期限、鍵サイズ、および別名を定義できます。プロパティー | デフォルト | 説明 |
---|---|---|
com.ibm.ssl.defaultCertReqAlias | default_alias | このプロパティーは、鍵ストア内で作成された自己署名証明書を参照するのに使用するデフォルトの別名を指定します。 その名前の別名が既に存在する場合は、デフォルトの別名に _# が追加されます。ここで、番号記号 (#) は、1 から始まる整数であり、固有の別名を検出するまで増分します。 |
com.ibm.ssl.defaultCertReqSubjectDN | cn=${hostname}、o=IBM、c=US | このプロパティーは、証明書の作成時にその証明書に設定されたプロパティー識別名 (DN) を使用します。 ${hostname} 変数は、そのプロパティーが存在するホスト名として展開されます。 X.509 証明書で指定された、正しい形式の DN を使用できます。 |
com.ibm.ssl.defaultCertReqDays | 365 | このプロパティーは証明書の有効期間を指定します。最短で 1 日から最長で証明書に設定できる最大日数 (約 15 年) まで設定できます。 |
com.ibm.ssl.defaultCertReqKeySize | 1024 | このプロパティーは、デフォルトの鍵サイズです。 有効な値は、インストールされている Java 仮想マシン (JVM) セキュリティー・ポリシー・ファイルによって決まります。 製品 JVM のデフォルトのエクスポート・ポリシー・ファイルでは、鍵サイズが 1024 に制限されています。 2048 などの大きい鍵サイズを取得するには、Web サイトから制限付きポリシー・ファイルをダウンロードします。 |
証明書の失効検査:
証明書の失効検査を有効にするために、 Online Certificate Status Protocol (OCSP) プロパティーの組み合わせを設定できます。これらのプロパティーは com.ibm.ssl.trustManager プロパティーを IbmPKIX に設定しない限り使用されません。また、 クライアントで取り消し検査を正常に処理するには、署名者交換プロンプトをオフにする必要があります。署名者交換プロンプトをオフにするには、 com.ibm.ssl.enableSignerExchangePrompt プロパティーを false に変更します。 詳細情報については、『デフォルトの IbmPKIX トラスト・マネージャーを使用した証明書の失効検査の有効化』の資料を参照してください。SSL 構成プロパティー:
SSL 構成プロパティーのセクションを使用して、複数の SSL 構成を設定します。 新しい SSL 構成仕様のために com.ibm.ssl.alias プロパティーを設定します。これは、パーサーがこの別名を使用して新しい SSL 構成を開始するためです。 SSL 構成は、デフォルトの別名プロパティーを通じて、sas.client.props や soap.client.props などの別のファイルからの別名プロパティーを使用して参照されます。 以下の表で指定されているプロパティーを使用すると、他の SSL オブジェクトの中でも特に javax.net.ssl.SSLContext を作成できます。プロパティー | デフォルト | 説明 |
---|---|---|
com.ibm.ssl.alias | DefaultSSLSettings | このプロパティーは、この SSL 構成の名前であり、SSL 構成の最初のプロパティーにする必要があります。これは、このプロパティーが SSL 構成を参照するためです。 構成内で参照された後にこのプロパティーの名前を変更すると、参照が見つからない場合に、ランタイムはデフォルトの com.ibm.ssl.defaultAlias プロパティーになります。 有効でない SSL 参照を使用してアプリケーションを開始すると、エラー「trust file is null」または「key file is null」が表示される場合があります。 |
com.ibm.ssl.protocol | SSL_TLS | このプロパティーは、この SSL 構成で使用される SSL ハンドシェーク・プロトコルです。 このプロパティーは、Transport Layer Security (TLS) を最初に試行しますが、SSLv3 および TLSv1 を含むすべてのリモート・ハンドシェーク・プロトコルを受け入れます。このプロパティー の有効な値は、SSL_TLS、SSL、SSLv2 (クライアント・サイドのみ)、SSLv3、TLS、TLSv1、 SSL_TLSv2、TLSv1.1、および TLSv1.2 です。 |
com.ibm.ssl.securityLevel | STRONG | このプロパティーは、SSL ハンドシェークで使用される暗号グループを指定します。
通常は STRONG が選択されており、128 ビット以上の暗号を指定します。
MEDIUM を選択すると、40 ビットの暗号が使用されます。
WEAK を選択すると、暗号化は行わないものの、データ保全性のために署名を実行する暗号が使用されます。
独自の暗号リスト選択を指定した場合は、com.ibm.ssl.enabledCipherSuites プロパティーのコメントを外します。
注: javax.net.ssl システム・プロパティーを使用すると、この値が常に HIGH になります。
|
com.ibm.ssl.trustManager | IbmX509 | このプロパティーは、ターゲット・サーバーによって送信された証明書を検証するのに必要なデフォルトのトラスト・マネージャーを指定します。 このトラスト・マネージャーは、証明書失効リスト (CRL) 検査を行いません。 この値を IbmPKIX に変更すると、証明書の CRL 配布リストを使用した CRL 検査を行うことができます。これは、CRL 検査の標準的な実行方法です。 カスタム CRL 検査を実行する必要がある場合は、カスタム・トラスト・マネージャーを実装し、com.ibm.ssl.customTrustManagers プロパティーでそのトラスト・マネージャーを指定する必要があります。 この IbmPKIX オプションは、信頼性検証で IBMCertPath を必要とするため、パフォーマンスに影響を与える場合があります。 CRL 検査が必要でない限りは、IbmX509 を使用してください。 Online Certificate Status Protocol (OCSP) プロパティーを使用する場合、 このプロパティー値は IbmPKIX に設定してください。 |
com.ibm.ssl.keyManager | IbmX509 | このプロパティーは、指定した鍵ストアからクライアントの別名を選択するのに使用するデフォルトの鍵マネージャーを指定します。 この鍵マネージャーは、com.ibm.ssl.keyStoreClientAlias プロパティーを使用して鍵ストアの別名を指定します。 このプロパティーが指定されない場合は、Java Secure Socket Extension (JSSE) が 代わって選択を行います。 通常、JSSE は最初に見つかった別名を選択します。 |
com.ibm.ssl.contextProvider | IBMJSSE2 | このプロパティーは、SSL コンテキストを作成するための JSSE プロバイダーを選択する際に使用されます。 Java 仮想マシン (JVM) を使用する場合は、デフォルトの IBMJSSE2 をお勧めします。 Sun JVM を使用している場合は、クライアント・プラグインで SunJSSE プロバイダーを使用できます。 |
com.ibm.ssl.enableSignerExchangePrompt | true | このプロパティーは、クライアントのトラストストアに署名者が存在しない場合に、署名者の交換プロンプトを表示するかどうかを指定します。 このプロンプトでは、リモートの証明書に関する情報が表示されるため、WebSphere Application Server は署名者を信頼するかどうかを決定できます。 証明書のシグニチャーを検証することは非常に重要です。 このシグニチャーは、証明書が元のサーバー証明書から変更されていないことを保証できる唯一の信頼性の高い情報です。 自動化されたシナリオでは、このプロパティーを使用不可にして、SSL ハンドシェーク例外が発生しないようにしてください。 SSL 署名者の交換をセットアップする retrieveSigners スクリプトを実行して、クライアントを実行する前にサーバーから署名者をダウンロードします。 Online Certificate Status Protocol (OCSP) プロパティーを使用する場合、 この値は false に設定してください。 |
com.ibm.ssl.keyStoreClientAlias | デフォルト | このプロパティーは、ターゲットがクライアント認証を要求しない場合に、指定した鍵ストアから別名を参照するために使用します。 WebSphere Application Server が SSL 構成の自己署名証明書を作成するときに、 このプロパティーによって別名が決定され、グローバル com.ibm.ssl.defaultCertReqAlias プロパティーがオーバーライドされます。 |
com.ibm.ssl.customTrustManagers | デフォルトでコメント化 | このプロパティーを使用すると、コンマで区切られた 1 つ以上のカスタム・トラスト・マネージャーを指定できます。 これらのトラスト・マネージャーは、algorithm|provider または classname の形式で指定できます。例えば、IbmX509|IBMJSSE2 は algorithm|provider フォーマット、com.acme.myCustomTrustManager インターフェースは classname フォーマットです。 このクラスは、javax.net.ssl.X509TrustManager インターフェースを実装する必要があります。 オプションにより、このクラスで com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを実装できます。 これらのトラスト・マネージャーは、com.ibm.ssl.trustManager インターフェースで指定されたデフォルト・トラスト・マネージャーに加えて実行されます。 これらのトラスト・マネージャーは、デフォルト・トラスト・マネージャーに置き換わるものではありません。 |
com.ibm.ssl.customKeyManager | デフォルトでコメント化 | このプロパティーを使用すると、カスタム鍵マネージャーを 1 つのみ指定できます。 この鍵マネージャーは、com.ibm.ssl.keyManager プロパティーに指定されたデフォルト鍵マネージャーに置き換わります。 鍵マネージャーの形式は、algorithm|provider または classname です。 com.ibm.ssl.customTrustManagers プロパティーのフォーマットの例を参照してください。 このクラスは、javax.net.ssl.X509KeyManager インターフェースを実装する必要があります。 オプションにより、このクラスで com.ibm.wsspi.ssl.KeyManagerExtendedInfo インターフェースを実装できます。 この鍵マネージャーは、別名の選択を担当します。 |
com.ibm.ssl.dynamicSelectionInfo | デフォルトでコメント化 | このプロパティーは、SSL 構成との動的な関連付けを使用可能にします。
動的な関連付けの構文は、outbound_protocol、target_host、または target_port です。
複数を指定する場合は、区切り文字として垂直バー ( | ) を使用します。
これらの値をアスタリスク (*) に置き換えることにより、ワイルドカード値を示すことができます。
有効な outbound_protocol 値には、IIOP、HTTP、LDAP、SIP、BUS_CLIENT、BUS_TO_WEBSPHERE_MQ、BUS_TO_BUS、および ADMIN_SOAP があります。
SSL 構成を選択する動的な選択基準が必要な場合は、デフォルトのプロパティーのコメントを外し、接続情報を追加します。
例えば、以下の内容を 1 行で追加します。
|
com.ibm.ssl.enabledCipherSuites | デフォルトでコメント化 | このプロパティーを使用すると、カスタム暗号スイートのリストを指定して、com.ibm.ssl.securityLevel プロパティーのグループ選択をオーバーライドできます。 有効な暗号のリストは、プロバイダーおよび適用された JVM ポリシー・ファイルによって異なります。 暗号スイートでは、スペースを区切り文字として使用します。 |
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | このプロパティーは、鍵ストア構成名を参照します。 鍵ストアを定義していない場合、残りの鍵ストア・プロパティーはこのプロパティーに従う必要があります。 鍵ストアを定義した後で、このプロパティーを指定して、前に指定した鍵ストア構成を参照するようにできます。 ssl.client.props ファイルの新しい鍵ストア構成には、固有の名前が付けられます。 |
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | このプロパティーは、トラストストア構成名を参照します。 トラストストアを定義していない場合、残りのトラストストア・プロパティーはこのプロパティーに従う必要があります。 トラストストアを定義した後で、このプロパティーを指定して、前に指定したトラストストア構成を参照するようにできます。 ssl.client.props ファイルの新しいトラストストア構成には、固有の名前を付ける必要があります。 |
![[z/OS]](../images/ngzos.gif)
- 「z/OS セキュリティー製品の使用」オプション (1 番目のオプション) を選択した場合、 鍵ストアおよびトラストストアの構成プロパティーのデフォルト値は、JCERACFKS タイプの鍵ストアを示します。このタイプでは、RACF® などの z/OS セキュリティー製品で保管および管理されている鍵と証明書が使用されます。詳細情報については、 トピック『鍵ストア構成』のセクション『z/OS 鍵ストア』を参照してください。
- 「WebSphere Application Server セキュリティーの使用」オプション (2 番目のオプション) または「セキュリティーを有効にしない」オプション (3 番目のオプション) を選択した場合、 鍵ストアおよびトラストストアの構成プロパティーのデフォルト値は、PKCS12 ファイルの鍵ストアを示します。ファイル・ベースの鍵ストアの詳細情報については、 トピック『鍵ストア構成』のセクション『IBMJCE ファイル・ベースの鍵ストア (JCEKS、JKS、および PKCS12)』を参照してください。
鍵ストア構成:
SSL 構成は、証明書のロケーションを識別する鍵ストア構成を参照します。 証明書は、SSL 構成を使用するクライアントの ID を示します。 他の SSL 構成プロパティーを使用して、鍵ストア構成を指定できます。 ただし、ssl.client.props ファイルのこのセクションにある鍵ストア構成は、com.ibm.ssl.keyStoreName プロパティーが新しい鍵ストア構成の開始を識別した後に指定することが推奨されます。 鍵ストア構成を完全に定義すると、com.ibm.ssl.keyStoreName プロパティーは、ファイルのどこからでも鍵ストア構成を参照できるようになります。![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
プロパティー | デフォルト | 説明 |
---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | このプロパティーは、ランタイムで参照される鍵ストアの名前を指定します。 重複を回避するため、他の SSL 構成がこの名前を参照できるのは、ssl.client.props ファイルのかなり下の方です。 |
com.ibm.ssl.keyStore | ${user.root}/etc/key.p12 | このプロパティーは、鍵ストアのロケーションを com.ibm.ssl.keyStoreType プロパティーに必要なフォーマットで指定します。
通常、このプロパティーは鍵ストア・ファイル名を参照します。
ただし、暗号トークン・タイプの場合、このプロパティーはダイナミック・リンク・ライブラリー (DLL) ファイルを参照します。
![]() |
com.ibm.ssl.keyStorePassword | WebAS | このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードです。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこの参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次に鍵ストアが存在するロケーションから鍵ストアを削除します。 鍵ストア名が DefaultKeyStore で終わり、fileBased プロパティーが true の場合に限り、クライアントを再始動して、新規パスワードを使用して鍵ストアを再作成します。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにします。 |
com.ibm.ssl.keyStoreType | PKCS12 | このプロパティーは鍵ストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 を使用してください。 このプロパティーは、プロバイダー・リストの JVM でサポートされる任意の有効な鍵ストア・タイプとして指定できます。 |
com.ibm.ssl.keyStoreProvider | IBMJCE | IBM® Java Cryptography Extension プロパティーは、鍵ストア・タイプの鍵ストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。 |
com.ibm.ssl.keyStoreFileBased | true | このプロパティーは、鍵ストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。 |
com.ibm.ssl.keyStoreReadOnly | false | このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 |
以下の表では、「z/OS セキュリティー製品でのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで「z/OS セキュリティー製品の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、
「管理セキュリティーの選択」パネルの 1 番目のオプションです。「WebSphere Application Server セキュリティーのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで「WebSphere Application Server の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、
「管理セキュリティーの選択」パネルの 2 番目のオプションです。
![[z/OS]](../images/ngzos.gif)
プロパティー | z/OS セキュリティー製品でのデフォルト値 | WebSphere Application Server セキュリティーのデフォルト値 | 説明 |
---|---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | ClientDefaultKeyStore | このプロパティーは、ランタイムで参照される鍵ストアの名前を指定します。 重複を回避するため、他の SSL 構成がこの名前を参照できるのは、ssl.client.props ファイルのかなり下の方です。 |
com.ibm.ssl.keyStore | safreyring:///your_keyring この値は、z/OS プロファイル管理ツールの「SSL のカスタマイズ」パネルで設定されます。 |
${user.root}/etc/key.p12 | このプロパティーは、鍵ストアのロケーションを com.ibm.ssl.keyStoreType プロパティーに必要なフォーマットで指定します。 通常、このプロパティーは鍵ストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーはダイナミック・リンク・ライブラリー (DLL) ファイルを参照します。 |
com.ibm.ssl.keyStorePassword | password | WebAS | このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードです。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこの参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次に鍵ストアが存在するロケーションから鍵ストアを削除します。 鍵ストア名が DefaultKeyStore で終わり、fileBased プロパティーが true の場合に限り、クライアントを再始動して、新規パスワードを使用して鍵ストアを再作成します。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにします。 |
com.ibm.ssl.keyStoreType | JCERACFKS | PKCS12 | このプロパティーは鍵ストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 を使用してください。 このプロパティーは、プロバイダー・リストの JVM でサポートされる任意の有効な鍵ストア・タイプとして指定できます。 暗号デバイスのタイプには、JCERACFKS、JCECCARACFKS、または JCECCAKS があります。 |
com.ibm.ssl.keyStoreProvider | IBMJCE | IBMJCE | IBM Java Cryptography Extension プロパティーは、鍵ストア・タイプの鍵ストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。 |
com.ibm.ssl.keyStoreFileBased | false | true | このプロパティーは、鍵ストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。 |
com.ibm.ssl.keyStoreReadOnly | true | false | このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 例えば、管理コンソールまたはスクリプトを使用して、読み取り専用の鍵ストアを変更することはできません。WebSphere Application Server for z/OS で使用される SAF 鍵リングは常に読み取り専用です。 |
トラストストア構成:
SSL 構成は、このクライアントで信頼されるサーバーの署名者証明書を含むトラストストア構成を参照します。 他の SSL 構成プロパティーを使用して、これらのプロパティーを指定できます。 ただし、ssl.client.props ファイルのこのセクションにあるトラストストア構成は、com.ibm.ssl.trustStoreName プロパティーが新しいトラストストア構成の開始を識別した後に指定することが推奨されます。 トラストストア構成を完全に定義すると、com.ibm.ssl.trustStoreName プロパティーは、ファイルのどこからでもこの構成を参照できるようになります。
トラストストアは、JSSE が信頼性を評価するために使用する鍵ストアです。 トラストストアには、WebSphere Application Server がハンドシェーク中にリモート接続を信頼する前に要求する署名者が含まれています。 com.ibm.ssl.trustStoreName=ClientDefaultKeyStore プロパティーを構成すると、鍵ストアをトラストストアとして参照できます。 署名者の交換を通じて生成されたすべての署名者は、ランタイムで呼び出された鍵ストアにインポートされるため、このトラストストアではさらなる構成は必要ありません。
以下の表では、
「z/OS セキュリティー製品でのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで
「z/OS セキュリティー製品の使用」オプションが
選択された場合に使用されるデフォルト値に対応しています。このオプションは、
「管理セキュリティーの選択」パネルの 1 番目のオプションです。「WebSphere Application Server セキュリティーでのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで「WebSphere Application Server の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、
「管理セキュリティーの選択」パネルの 2 番目のオプションです。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
プロパティー | デフォルト | 説明 |
---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | このプロパティーは、ランタイムで参照されるトラストストアの名前を指定します。 重複を回避するため、他の SSL 構成が参照できるのは、ssl.client.props ファイルのかなり下の方です。 |
com.ibm.ssl.trustStore | ${user.root}/etc/trust.p12 | このプロパティーは、com.ibm.ssl.trustStoreType プロパティーで参照されるトラストストア・タイプに必要なフォーマットでトラストストアのロケーションを指定します。
通常、このプロパティーはトラストストア・ファイル名を参照します。
ただし、暗号トークン・タイプの場合、このプロパティーは DLL ファイルを参照します。![]() |
com.ibm.ssl.trustStorePassword | WebAS | このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードを指定します。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこのプロパティー内の参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次にトラストストアが存在するロケーションからトラストストアを削除します。 鍵ストア名が DefaultTrustStore で終わっていて、fileBased プロパティーが true になっている場合に限り、 クライアントを再始動して、 新規パスワードを使用してトラストストアを再作成してください。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにすることをお勧めします。 |
com.ibm.ssl.trustStoreType | PKCS12 | このプロパティーはトラストストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 タイプを使用してください。 このプロパティーは、プロバイダー・リストの JVM 機能でサポートされる任意の有効なトラストストア・タイプとして指定できます。 |
com.ibm.ssl.trustStoreProvider | IBMJCE | このプロパティーは、トラストストアのタイプのトラストストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。 |
com.ibm.ssl.trustStoreFileBased | true | このプロパティーは、トラストストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。 |
com.ibm.ssl.trustStoreReadOnly | false | このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 |
![[z/OS]](../images/ngzos.gif)
プロパティー | z/OS セキュリティー製品でのデフォルト値 | WebSphere Application Server セキュリティーでのデフォルト値 | 説明 |
---|---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | ClientDefaultTrustStore | このプロパティーは、ランタイムで参照されるトラストストアの名前を指定します。 重複を回避するため、他の SSL 構成が参照できるのは、ssl.client.props ファイルのかなり下の方です。 |
com.ibm.ssl.trustStore | safreyring:///your_keyring この値は、z/OS プロファイル管理ツールの「SSL のカスタマイズ」パネルで設定されます。 |
${user.root}/etc/trust.p12 | このプロパティーは、com.ibm.ssl.trustStoreType プロパティーで参照されるトラストストア・タイプに必要なフォーマットでトラストストアのロケーションを指定します。 通常、このプロパティーはトラストストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーは DLL ファイルを参照します。 |
com.ibm.ssl.trustStorePassword | password | WebAS | このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードを指定します。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこのプロパティー内の参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次にトラストストアが存在するロケーションからトラストストアを削除します。 鍵ストア名が DefaultTrustStore で終わっていて、fileBased プロパティーが true になっている場合に限り、 クライアントを再始動して、 新規パスワードを使用してトラストストアを再作成してください。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにすることをお勧めします。 |
com.ibm.ssl.trustStoreType | JCERACFKS | PKCS12 | このプロパティーはトラストストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 タイプを使用してください。 このプロパティーは、プロバイダー・リストの JVM 機能でサポートされる任意の有効なトラストストア・タイプとして指定できます。 暗号デバイスのタイプには、JCERACFKS、JCECCARACFKS、または JCECCAKS があります。 |
com.ibm.ssl.trustStoreProvider | IBMJCE | IBMJCE | このプロパティーは、トラストストアのタイプのトラストストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。 |
com.ibm.ssl.trustStoreFileBased | false | true | このプロパティーは、トラストストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。 |
com.ibm.ssl.trustStoreReadOnly | true | false | このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 例えば、管理コンソールまたはスクリプトを使用して、読み取り専用のトラストストアを変更することはできません。WebSphere Application Server for z/OS で使用される SAF 鍵リングは、常に読み取り専用です。 |