トラスト・アンカー は、署名者の証明書の妥当性を検査するトラステッド・ルート証明書を含む鍵ストアを指定します。これらの鍵ストアは、要求ジェネレーターおよび応答ジェネレーター (Web サービスがクライアントとして機能する場合)
によって、デジタル署名の署名者証明書を生成するために使用されます。
管理コンソールを使用すると、アプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成できます。
始める前に
トラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。ここでは、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
アセンブリー・ツールについて詳しくは、関連情報を参照してください。
このタスクについて
鍵ストアは、デジタル署名の検証の完全性を保つために重要なものです。
鍵ストアが改ざんされると、デジタル署名の検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。要求生成プログラムに対して指定されているバインディング構成は、
応答生成プログラムのバインディング構成と一致している必要があります。
クライアント上の要求生成プログラムの
トラスト・アンカー構成は、サーバー上の要求コンシューマーの構成と一致している必要があります。
また、サーバー上の応答生成プログラムのトラスト・アンカー構成は、
クライアント上の応答コンシューマーの構成と一致している必要があります。
アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は
ここでは説明しません。サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、
サーバーまたはセル・レベルのトラスト・アンカーの構成を参照してください。
アプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成するには、以下のステップを実行します。
手順
- 管理コンソールのトラスト・アンカー・パネルを見つけます。
- とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、以下のバインディングのトラスト・アンカー構成にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「トラスト・アンカー」をクリックします。
- 「新規」をクリックしてトラスト・アンカー構成を作成するか、「削除」をクリックして
既存の構成を削除するか、既存のトラスト・アンカー構成の名前をクリックして、その設定を編集します。 新規構成を作成している場合は、「トラスト・アンカー名」フィールドに固有名を入力します。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。
鍵ストアから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
鍵ロケーター・クラス実装に com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を指定した場合は、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 鍵ストア・ファイルのロケーションを、「鍵ストア・パス」フィールドで指定します。
- 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。 IBM® で使用されている Java™ Cryptography Extension (JCE) は以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography
Extensions (JCE) を使用していない場合、また鍵ストア・ファイルで Java Keystore
(JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- このオプションは、Java Cryptography Extensions を使用している場合に使用します。
JCERACFKS
証明書が SAF 鍵リングに保管されている場合は、JCERACFKS を使用します (z/OS® のみ)。
- PKCS11KS (PKCS11)
- 鍵ストアが PKCS#11 ファイル・フォーマットを使用する場合、このフォーマットを使用します。このフォーマットを使用する鍵ストアには、
暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストアが PKCS#12 ファイル・フォーマットを使用する場合、このオプションを使用します。
WebSphere® Application Server では、USER_INSTALL_ROOT 変数を使用した
ディレクトリー (
c:¥{USER_INSTALL_ROOT}¥etc¥ws-security¥samples![[AIX HP-UX Solaris]](../images/unix.gif)
${USER_INSTALL_ROOT}/etc/ws-security/samples にいくつかのサンプルの鍵ストア・ファイルが用意されています。
例えば、暗号鍵に enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは Storepass で、タイプは JCEKS です。
制約事項: これらの鍵ストア・ファイルは実稼働環境では使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
タスクの結果
このタスクはアプリケーション・レベルでジェネレーター・バインディングのトラスト・アンカーを構成します。
次のタスク
コンシューマーに対しても、同様のトラスト・アンカー構成を指定する必要があります。