アプリケーション・レベルでのコンシューマー・バインディングのための、 JAX-RPC による鍵ロケーターの構成
アプリケーション・レベルでのコンシューマー用鍵ロケーター情報では、 どの鍵ロケーター実装を使用するかを指定します。 鍵ロケーター実装によって、デジタル署名や暗号化情報の妥当性検査をする際にアプリケーションによって使用される鍵を見つけます。
このタスクについて
手順
- 管理コンソールで鍵ロケーター構成パネルを見付けます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求コンシューマー・バインディングおよび応答コンシューマー・バインディングの鍵情報にアクセスできます。
- 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- 「新規」をクリックして鍵ロケーター構成を作成するか、 「削除」をクリックして、構成の横にあるボックスを選択して既存の構成を削除するか、 既存の鍵ロケーター構成名をクリックして、その設定を編集します。 新規構成を作成している場合は、「鍵ロケーター名」フィールドに固有名を入力します。 例えば、klocator などです。
- 鍵ロケーター・クラスの実装の名前を指定します。 Java™ Authentication and Authorization Service (JAAS) ログイン・モジュールの実装を使用して、
コンシューマー側でセキュリティー・トークンを検証 (認証) します。アプリケーションの要件に応じてクラス名を指定します。
例えば、アプリケーションで鍵ストア・ファイルから鍵を読み込む必要がある場合は、
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を指定します。
WebSphere® Application Server は、要求コンシューマーや
応答コンシューマーと一緒に使用することができる、バージョン 6.0.x アプリケーション用の
以下のデフォルトの鍵ロケーター・クラスの実装を提供します。
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
- この実装は、指定した鍵ストア・ファイルから鍵を見つけて、これを取得します。
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- この実装は、デジタル署名の妥当性検査および暗号化用に、 送信側メッセージからの X.509 セキュリティー・トークンを使用します。 このクラス実装は、 要求コンシューマーおよび応答コンシューマーによって使用されます。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。
鍵ストア・ファイルから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator の
実装を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 鍵ストアの「パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 鍵ストアの「パス」フィールドに鍵ストア・ファイルのロケーションを指定します。
- 鍵ストアの 「タイプ」フィールドから鍵ストア・タイプを選択します。 IBM® で使用されている Java Cryptography Extension (JCE) は以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography Extensions (JCE) を使用していない場合、また鍵ストア・ファイルで Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
JCERACFKS
証明書が SAF 鍵リングに保管されている場合は、JCERACFKS を使用します (z/OS® のみ)。
- PKCS11KS (PKCS11)
- 鍵ストア・ファイルで PKCS#11 ファイル・フォーマットを使用する場合は、このフォーマットを使用します。 このフォーマットを使用する鍵ストア・ファイルには、 暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストアが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
WebSphere Application Server の ${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリーにいくつかのサンプル鍵ストア・ファイルが用意されています。 例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。 このファイルのパスワードは Storepass で、タイプは JCEKS です。
重要: これらの鍵ストア・ファイルは実稼働環境では使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
- 「追加プロパティー」の下の「鍵」をクリックします。
- 「新規」をクリックして鍵情報を作成するか、
「削除」をクリックして構成の横にあるボックスを選択して既存構成を削除するか、
既存の鍵情報名をクリックして、その設定を編集します。 この項目は鍵ストア・ファイル内の鍵オブジェクトの名前を指定します。
新規構成を作成している場合は、「鍵の名前 」フィールドに固有名を入力します。
鍵名には完全修飾識別名を使用することをお勧めします。 例えば、CN=Bob,O=IBM,C=US のようにします。
- 「鍵の別名」フィールドで別名を指定します。 鍵別名は、鍵ストア・ファイルで鍵オブジェクトを検索するために鍵ロケーターによって使用されます。
- 「鍵パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイル内の鍵オブジェクトにアクセスするために使用されます。
- 「OK」をクリックしてから「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocconsapp
ファイル名:twbs_configkeylocconsapp.html