JMS クライアントおよび JMS リソース・アダプターの接続の保護

WebSphere® Application Server での JMS 用シン・クライアントおよび WebSphere Application Server での JMS 用リソース・アダプターで Secure Sockets Layer (SSL) を構成する方法は 2 とおりあります。 グローバル構成を使用する方法は、プロセスのすべてのスタンドアロン・アウトバウンド接続が対象になります。 プライベート構成を使用する方法は、プロセスのクライアントまたはリソース・アダプターの接続のみが対象になります。

このタスクについて

WebSphere Application Server での JMS 用シン・クライアントおよび WebSphere Application Server での JMS 用リソース・アダプターは、 サポートされるすべての JRE に用意されている、Secure Sockets Layer (SSL) 接続用の標準 Java™ Secure Socket Extension (JSSE) を使用します。JSSE について詳しくは、JSSE の資料を参照してください。

グローバル構成を使用する方法では、JRE グローバル・プロパティーが使用され、ご使用のアプリケーションで開始されるすべてのアウトバウンド SSL 接続が対象になります。 SSL 接続を使用して WebSphere Application Server に接続するように構成されている JRE の場合、 通常は、以下の javax.net.ssl システム・プロパティーを設定する必要があります。
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs= 
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov

プライベート構成を使用する方法により、WebSphere Application Server での JMS 用シン・クライアントまたは WebSphere Application Server での JMS 用リソース・アダプターの接続に固有のセキュリティー設定を指定することができます。 com.ibm.ws.sib.client.ssl.properties システム・プロパティーの構成を行って、IBM SSL プロパティーのファイルの位置を指定することができます。 このシステム・プロパティーが構成されていない場合は、代わりにクラスパスからの properties ファイルのロードが試行されます。

クライアントは、特定の SSL プロパティーに対して使用する値を、以下のようにして取得します。
  • そのプロパティーに、IBM SSL プロパティーを含む properties ファイルに定義された値がある場合、クライアントはこの値を使用します。
  • properties ファイルにプロパティーの値がなく、関連付けられている JRE システム・プロパティーに適切なプロパティーがある場合、クライアントはこの値を使用します。
  • 適切な javax.net.ssl プロパティーがない場合、クライアントはデフォルト値を使用します。
次の表は、IBM SSL プロパティー・ファイル内で構成可能な IBM SSL プロパティー・キー、 および対応する javax.net.ssl.* システム・プロパティー・キーとデフォルト値を要約したものです。
表 1. IBM SSL プロパティー値、および対応する JRE グローバル・プロパティーとデフォルト値. この表の最初の列には、IBM SSL プロパティー・キーがリストされ、2 番目の列には、対応する JRE グローバル・プロパティー・キーがリストされています。3 番目の列には、プロパティーのデフォルト値が示されています。
IBM SSL プロパティー JRE グローバル・プロパティー デフォルト値
com.ibm.ssl.keyStoreType javax.net.ssl.keyStoreType JKS
com.ibm.ssl.keyStore javax.net.ssl.keyStore なし
com.ibm.ssl.keyManager javax.net.ssl.keyStoreProvider IbmX509
com.ibm.ssl.trustManager javax.net.ssl.trustStoreProvider IbmX509
com.ibm.ssl.keyStorePassword javax.net.ssl.keyStorePassword なし
com.ibm.ssl.protocol なし SSL
com.ibm.ssl.contextProvider なし IBMJSSE2
com.ibm.ws.sib.jsseProvider なし com.ibm.jsse2.IBMJSSEProvider2
com.ibm.ssl.trustStore javax.net.ssl.trustStore なし
com.ibm.ssl.trustStoreType javax.net.ssl.trustStoreType JKS
com.ibm.ssl.trustStorePassword javax.net.ssl.trustStorePassword なし
例えば、以下のプロパティーと値を持つ ssl.properties ファイルを作成することができます。
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS

WebSphere Application Server の bin ディレクトリーにある PropFilePasswordEncoder ツールを使用して、プレーン・テキストのプロパティー・ファイルに保管されているパスワードをエンコードすることができます。 詳しくは、ファイル内のパスワードのエンコードを参照してください。

注意:
  1. WebSphere Application Server での JMS 用シン・クライアントを使用する SUN JRE からの SSL 接続は、 デフォルトの WebSphere Application Server PKCS12 キーおよびトラストストアを使用できません。クライアントを SUN JRE からセキュアに実行している場合は、先に IBM Software Development Kit (SDK) を使用してトラストストアから証明書を取り出す必要があります。 その後で、JKS 鍵ストアなどの、 SUN JRE が正しく認識できる鍵ストアにそれらの証明書をインポートすることができます。
  2. SSL 接続は、WebSphere Application Server に付属の IBM JRE ではサポートされません。WebSphere Application Server によりインストールされたもの以外の JRE を使用する必要があります。

手順

  1. 必要なキーおよびトラストストア・ファイルを入手します。
  2. グローバル構成を使用する方法の場合は、必要な javax.net.ssl システム・プロパティーを設定します。
  3. プライベート構成を使用する方法の場合は、com.ibm.ws.sib.client.ssl.properties システム・プロパティーを使用して、SSL プロパティーのロード元となるファイルを指定します。以下に例を示します。
    -Dcom.ibm.ws.sib.client.ssl.properties=c:/ssl.properties

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjj_thirdparty_ssl
ファイル名:tjj_thirdparty_ssl.html