要求デジタル署名検証用のサーバーの構成: 検証方式の選択

要求のデジタル署名検証を行うためにサーバーを構成するには、アセンブリー・ツールを使用して、拡張方式の変更と、 検証中にサーバーが使用するデジタル署名メソッドの指定を行います。

始める前に

重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。 この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
次のステップを実行する前に、以下のいずれかの トピックに目を通して、IBM® アセンブリー・ツールに含まれる Web サービス・エディターの「拡張」タブおよび「バインディング構成」タブについて十分理解してください。 これら 2 つのタブは、Web Services Security 拡張および Web Services Security バインディングをそれぞれ構成するために使用できます。 サーバーによる検証が必要なデジタル署名情報がどのメッセージ・パーツに含まれているかを指定する必要があります。 要求デジタル署名検証用サーバーの構成: メッセージ・パーツの検証を参照してください。 クライアントの要求送信側に対して指定するメッセージ・パーツは、サーバーの要求受信側に対して指定するメッセージ・パーツと一致している必要があります。 同様に、クライアントに対して選択するデジタル署名方式は、サーバーが使用するデジタル署名方式と一致している必要があります。

このタスクについて

要求デジタル署名検証用サーバーを構成するには、以下のステップを実行します。 以下のステップでは、サーバーで検証時に使用されるデジタル署名方式を指定するために拡張機能を変更する方法を説明しています。

手順

  1. アセンブリー・ツールを起動します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
  2. Java™ Platform, Enterprise Edition (Java EE) パースペクティブに切り替えます。「ウィンドウ」 > 「パースペクティブを開く」 > 「その他」 > 「J2EE」とクリックします。
  3. 「EJB プロジェクト」 > application_name > 「ejbModule」 > 「META-INF」とクリックします。
  4. webservices.xml ファイルを右クリックして、「アプリケーションから開く」 > 「Web サービス・エディター」をクリックします。
  5. バインディング構成 (Binding Configurations)」タブをクリックします。
  6. 「Security request receiver binding configuration details」 > 「署名情報」セクションを展開します。
  7. 編集」をクリックして署名情報を編集します。 署名情報ダイアログが表示され、以下の情報を選択または入力します。
    • 正規化方式アルゴリズム
    • ダイジェスト方式アルゴリズム
    • シグニチャー方式アルゴリズム
    • Use certificate path reference
    • Trust anchor reference
    • Certificate store reference
    • Trust any certificate
    SOAP メッセージへのデジタル署名に関する概念的な情報については、XML デジタル署名を参照してください。 次の表では、それぞれの選択ごとの目的について説明します。 以下の定義の一部は、XML Signature 仕様を基にしています。この仕様は次の Web アドレスにあります。http://www.w3.org/TR/xmldsig-core
    表 1. デジタル署名メソッド. デジタル署名メソッドは、バインディング構成の一部です。
    名前 目的
    正規化方式アルゴリズム シグニチャー操作の一部としてダイジェストされる前に、<SignedInfo> エレメントを正規化します。 サーバーの要求受信側構成に対して選択するアルゴリズムは、クライアントの要求送信側構成で選択されたアルゴリズムと一致している必要があります。
    ダイジェスト方式アルゴリズム <DigestValue> エレメントを生成するために、 変換の適用後にデータに適用されます (指定されている場合)。 <DigestValue> エレメントの署名によって、リソース内容が署名者鍵にバインドされます。 サーバーの要求受信側構成に対して選択するアルゴリズムは、クライアントの要求送信側構成で選択されたアルゴリズムと一致している必要があります。
    シグニチャー方式アルゴリズム 正規化された <SignedInfo> エレメント を <SignatureValue> エレメントに変換します。 サーバーの要求受信側構成に対して選択するアルゴリズムは、クライアントの要求送信側構成で選択されたアルゴリズムと一致している必要があります。
    Use certificate path reference」または「Trust any certificate メッセージとともに送信される証明書またはシグニチャーを検証します。 メッセージが署名されている場合、署名に使用された公開鍵がメッセージとともに送信されます。 この公開鍵または証明書を受信側で検証することはできません。 「Use certificate path reference」を選択した場合は、メッセージとともに送信された証明書を検証するためのトラスト・アンカー参照と証明書ストア参照を構成する必要があります。 「Trust any certificate」を選択した場合は、シグニチャーはメッセージとともに送信された証明書によって検証され、証明書自体は検証されません。
    Use certificate path reference: トラスト・アンカー参照 信頼されている自己署名証明書と認証局 (CA) 証明書を 含む鍵ストアを参照します。 これらの証明書は、トラステッド証明書で、ユーザーのデプロイメント内の任意のアプリケーションで使用できます。
    Use certificate path reference: 証明書ストア参照 X.509 証明書のコレクションが含まれています。 これらの証明書は、ユーザーのデプロイメント内のすべてのアプリケーションに対してトラステッドではありません。 ただし、アプリケーションの証明書を検証するための中継として使用することがあります。
  8. オプション: FIPS 準拠アルゴリズムのみを「署名メソッド・アルゴリズム」および「ダイジェスト方式アルゴリズム」ドロップダウン・リストに表示したい場合、「FIPS 準拠アルゴリズムのみを表示」を選択します。このオプションは、管理コンソールの「SSL 証明書および鍵管理」パネルで「米国連邦情報処理標準 (FIPS) アルゴリズムを使用する」オプションを設定した WebSphere Application Server 上でこのアプリケーションを実行する場合に使用します。

タスクの結果

重要: クライアントおよびサーバーの署名情報が正しく構成されているにもかかわらず、 クライアントの実行時に Soap body not signed エラーを受信した場合には、 アクターを構成する必要がある場合があります。クライアントの以下のロケーションで、 アクターを構成することができます。
  • 「セキュリティー拡張」 > 「クライアント・サービス構成詳細」とクリックして、「アクター URI」フィールドに アクター情報を指示します。
  • 「セキュリティー拡張」 > 「要求送信側構成」>「詳細」をクリックして、「アクター」フィールドでアクター情報を示します。
要求を処理して応答を戻すサーバー上の Web サービスに対しても、同じアクター・ストリングを構成する必要があります。 以下のロケーションでアクターを構成します。
  • 「セキュリティー拡張」 > 「サーバー・サービス構成」とクリックします。
  • 「セキュリティー拡張」 > 「応答送信側サービス構成の詳細」 > 「詳細」をクリックして、「アクター」フィールドでアクター情報を示します。

クライアントおよびサーバー上のアクター情報は、両方ともまったく同一のストリングである 必要があります。クライアントとサーバーの 「アクター」フィールドが一致する場合には、 要求または応答はダウンストリームに転送されずに、処理されます。 他の Web サービスのゲートウェイとして動作する Web サービスがある場合は、「アクター」フィールドが異なる場合があります。 ただし、そのような Web サービスがない場合には、 アクター情報がクライアントとサーバーで一致していることを必ず確認してください。複数のWeb サービスがゲートウェイとして機能しており、それらの Web サービスに、そのゲートウェイを介して渡される要求として構成された同じアクターがない場合には、Web サービスはクライアントからのメッセージを処理しません。代わりに、これら Web サービスは、要求をダウンストリームに送信します。正しいアクター・ストリングを含む ダウンストリーム・プロセスによって、要求が処理されます。 応答でも同じ状況が発生します。 したがって、該当するクライアントとサーバーの「アクター」フィールドが同期化されていることを確認することが重要です。

メッセージ・パーツ内のデジタル署名の検証にサーバーが使用する方式が指定されました。

次のタスク

要求署名用のクライアントおよび要求デジタル署名検証用のサーバーを構成した後、応答処理のためにサーバーとクライアントを構成する必要があります。 次に、サーバーに対して応答署名を指定します。 詳しくは、応答署名用のサーバーの構成: デジタル署名メッセージ・パーツを参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
ファイル名:twbs_confsvrreqdigsignmeth.html