アプリケーション・レベルでのコンシューマー・バインディングのための、 JAX-RPC による署名情報の構成

アプリケーション・レベルで、 サーバー・サイドの要求コンシューマー・バインディングおよびクライアント・サイドの 応答コンシューマー・バインディングの署名情報を構成できます。

始める前に

注: WebSphere® Application Server バージョン 6.x 以前の場合にのみ、 サーバー・サイドの拡張ファイルおよびクライアント・サイドのデプロイメント記述子拡張ファイルで、 メッセージのどのパーツが署名されるかを指定する必要があります。

このタスクについて

管理コンソール内の「署名情報」パネルで、鍵情報参照が参照する鍵情報を構成する必要があります。WebSphere Application Server は、コンシューマー側の署名情報を使用して、メッセージ・パーツが署名されていることを検証することによって、 受け取った SOAP メッセージの保全性を検査します。 以下のステップを実行して、アプリケーション・レベルで、バインディング・ファイルの サーバー・サイドの要求コンシューマー・セクションおよびクライアント・サイドの応答コンシューマー・セクションの 署名情報を構成します。

手順

  1. 管理コンソールにアクセスします。

    [AIX Solaris HP-UX Linux Windows][z/OS]ポート番号を変更していない場合、管理コンソールにアクセスするには、 Web ブラウザーで http://localhost:port_number/ibm/console と入力します。

    [IBM i]ポート番号を変更していない場合、管理コンソールにアクセスするには、 Web ブラウザーで http://server_name:port_number/ibm/console と入力します。

  2. 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > application_nameとクリックします。
  3. 「モジュールの管理」の下で、「URI_name」をクリックします。
  4. 「Web Services Security プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの署名情報にアクセスできます。
    • 要求コンシューマーの署名情報を構成するには、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
    • 応答コンシューマーの署名情報を構成するには、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
  5. 「必須プロパティー」の下の「署名情報」をクリックします。
  6. 新規」をクリックして署名情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、既存の署名情報構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「署名情報名」フィールドに名前を入力します。
  7. 「Signature method」フィールドからシグニチャー方式アルゴリズムを選択します。 シグニチャー方式は、バインディング・ファイル内の正規化された <SignedInfo> エレメントを <SignatureValue> エレメントに変換するために使用されるアルゴリズムです。コンシューマー (要求コンシューマーまたは応答コンシューマー構成のいずれか) 用に指定されたアルゴリズムは、 生成プログラム (要求生成プログラムまたは応答生成プログラム構成のいずれか) 用に指定されたアルゴリズムと一致している必要があります。 WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
  8. 「正規化方式」フィールドから、正規化方式を選択します。 正規化方式アルゴリズムは、デジタル署名操作の一部として取り込まれる前に、 <SignedInfo> エレメントを正規化するために使用されます。生成プログラム用にユーザーが指定する正規化アルゴリズムは、 コンシューマー用のアルゴリズムと一致している必要があります。 WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
  9. 「鍵情報署名タイプ」フィールドから鍵情報シグニチャー・タイプを選択します。 鍵情報シグニチャー・タイプは、SOAP メッセージ内の <KeyInfo> エレメントがどのようにデジタル署名されるかを指定します。WebSphere Application Server では、以下のシグニチャー・タイプがサポートされています。
    なし
    鍵が署名されないように指定します。
    Keyinfo
    KeyInfo エレメント全体が署名されるように指定します。
    Keyinfochildelements
    KeyInfo エレメントの子エレメントが署名されるように指定します。

    上記のシグニチャー・タイプのいずれも指定しない場合、 WebSphere Application Server はデフォルトで keyinfo を使用します。 コンシューマーの鍵情報シグニチャー・タイプは、 生成プログラムのシグニチャー・タイプと一致している必要があります。

  10. 「追加プロパティー」の下の「鍵情報参照」をクリックします。
    1. 新規」をクリックして鍵情報参照を作成するか、 既存項目の名前をクリックして、その構成を編集します。 「鍵情報参照」パネルが表示されます。
    2. 「名前」フィールドに名前を入力します。
    3. 「鍵情報参照」フィールドで、鍵情報参照を選択します。 この参照は、この署名情報構成が使用する鍵情報を指定する鍵情報構成名です。
  11. 「署名情報」パネルに戻ります。 「追加プロパティー」の下の「パーツ参照」をクリックします。 「パーツ参照」パネルでは、 デプロイメント記述子拡張ファイルで定義されるメッセージ・パートに対する参照を指定することができます。
    1. 新規」をクリックして新規パーツ参照を作成するか、 既存のパーツ参照の名前をクリックして、その構成を編集します。 「Part reference」パネルが表示されます。
    2. 「Part name」フィールドに名前を入力します。 この名前は、デプロイメント記述子拡張ファイルの必要な保全性構成の名前で、 デジタル署名する必要があるメッセージ・パーツを指定します。
    3. 「Digest method algorithm」フィールドからダイジェスト方式アルゴリズムを選択します。
      WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512

      カスタム・アルゴリズムを指定する場合、 ダイジェスト方式アルゴリズムを設定する前に、「Algorithm URI」パネルでカスタム・アルゴリズムを構成する必要があります。

  12. 「追加プロパティー」の下の「変換」をクリックします。
    1. 新規」をクリックして新規変換を作成するか、 既存の変換の名前をクリックして、その構成を編集します。
    2. 「Transform name」フィールドに名前を入力します。
    3. 「Transform algorithm」フィールドから変換アルゴリズムを選択します。 WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116

        ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 この変換アルゴリズムを使用しないでください。 代わりに http://www.w3.org/2002/06/xmldsig-filter2 を使用して準拠させてください。

      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      コンシューマー用にユーザーが選択する変換アルゴリズムは、 生成プログラム用に選択する変換アルゴリズムと一致している必要があります。 署名情報の各パーツ参照について、ダイジェスト方式アルゴリズムと変換アルゴリズムの両方を指定します。

  13. 「OK」をクリックします。
  14. 「保存」をクリックして、構成を保存します。

タスクの結果

これらのステップが完了すると、コンシューマーの署名情報が構成されます。

次のタスク

ジェネレーターに対しても、同様の署名情報構成を指定する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfoconsapp
ファイル名:twbs_configsigninfoconsapp.html