ssl.client.props クライアント構成ファイル

ssl.client.props ファイルを使用して、クライアントの Secure Sockets Layer (SSL) を構成します。 WebSphere® Application Server の前のリリースでは、 SSL プロパティーは、sas.client.props または soap.client.props ファイル内に指定されているか、システム・プロパティーとして指定されていました。構成を統合することにより、WebSphere Application Server では、サーバー・サイドの構成管理と同じような方法でセキュリティーを管理できます。ssl.client.props ファイルを複数の SSL 構成を使用して構成できます。

クライアントの SSL 構成のセットアップ

クライアント・ランタイムは、 WebSphere Application Serverssl.client.props の構成に依存します。

[AIX Solaris HP-UX Linux Windows]コマンド行から setupCmdLine.bat スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。

[z/OS]コマンド行から setupCmdLine.sh スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。

[AIX Solaris HP-UX Linux Windows]com.ibm.SSL.ConfigURL プロパティーは、ssl.client.props ファイルを指すファイル URL を参照します。 setupCmdLine.bat ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。

[z/OS]com.ibm.SSL.ConfigURL プロパティーは、ssl.client.props ファイルを指すファイル URL を参照します。 setupCmdLine.sh ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。

[IBM i]コマンド行から setupCmdLine スクリプトを使用して、com.ibm.SSL.ConfigURL システム・プロパティーを指定します。 setupclient スクリプトは、CLIENTSSL 変数の設定も行います。com.ibm.SSL.ConfigURL プロパティー は、ssl.client.props ファイルを指すファイル URL を参照します。 setupCmdLine ファイルを使用するすべてのスクリプトのコマンド行で、CLIENTSSL 変数を参照できます。

com.ibm.SSL.ConfigURL システム・プロパティーを指定すると、SSL を使用するすべてのプロトコルで SSL 構成が使用可能になります。 ssl.client.props ファイルで参照される SSL 構成は、参照できる別名も持っています。 以下の sas.client.props ファイルのサンプル・コードでは、すべての SSL プロパティーが、ssl.client.props ファイルの SSL 構成を指すプロパティーで置き換えられています。
com.ibm.ssl.alias=DefaultSSLSettings
以下のサンプル・コードは、com.ibm.SSL.ConfigURL プロパティーと類似した soap.client.props ファイルのプロパティーを示しています。 このプロパティーは、クライアント・サイドの別の SSL 構成を参照します。
com.ibm.ssl.alias=DefaultSSLSettings
ssl.client.props ファイルでは、管理 SSL 構成を変更することで、soap.client.props ファイルが変更されないようにすることができます。
ヒント: SSL プロパティーのサポートは、引き続き sas.client.props および soap.client.props ファイルで指定されています。 ただし、この SSL 構成を ssl.client.props ファイルに移動することを検討してください。これは、このファイルがクライアント SSL の新しい構成モデルであるためです。
[IBM i][z/OS]構成するクライアントが、セキュリティーを使用するアプリケーション・サーバーへの接続で setupCmdLine.sh を呼び出さない場合は、次のシステム・プロパティーがクライアント構成で定義されていることを確認してください。
-Djava.security.properties=profile_root/properties/java.security 

ssl.client.props ファイルのプロパティー

このセクションでは、デフォルトの ssl.client.props ファイルのプロパティーを、ファイル内のセクションごとに詳しく説明します。 javax.net.ssl システム・プロパティーを指定した場合、ssl.client.props ファイルの設定がオーバーライドされることに注意してください。

グローバル・プロパティー:

[AIX Solaris HP-UX Linux Windows][z/OS]グローバル SSL プロパティーは、プロセス固有のプロパティーであり、連邦情報処理標準 (FIPS) の使用可能化、デフォルトの SSL 別名、鍵およびトラストストア・パスのルート・ロケーションを指定する user.root プロパティーなどが含まれています。

[IBM i]グローバル SSL プロパティーは、プロセス固有のプロパティーであり、連邦情報処理標準 (FIPS) の使用可能化、デフォルトの SSL 別名、鍵およびトラストストア・パスのルート・ロケーションを指定するプロファイルの profile_root などが含まれています。

表 1. ssl.client.props ファイルのプロパティー. この表では、ssl.client.props ファイルのプロパティーについて説明します。
プロパティー デフォルト 説明
com.ibm.ssl.defaultAlias DefaultSSLSettings JSSEHelper API を呼び出して SSL 構成を検索するプロトコルによって別名が指定されていない場合に使用されるデフォルトの別名を指定します。 このプロパティーは、使用する SSL 構成を決定する、クライアント・サイドの最後のアービターです。
com.ibm.ssl.validationEnabled false true に設定すると、このプロパティーは、各 SSL 構成がロードされるたびにそれを検証します。 このプロパティーはデバッグ目的のみに使用し、実動中に不要なパフォーマンス・オーバーヘッドが発生しないようにしてください。
com.ibm.ssl.performURLHostNameVerification false true に設定すると、このプロパティーは、URL ホスト名の検証を強制します。 ターゲット・サーバーに対して HTTP URL 接続が行われた場合、サーバー証明書の共通名 (CN) がターゲット・ホスト名と一致している必要があります。 一致していない場合は、ホスト名のベリファイヤーが接続を拒否します。 デフォルト値の false は、この検査を省略します。 グローバル・プロパティーとして、デフォルトのホスト名のベリファイヤーを設定します。 すべての javax.net.ssl.HttpsURLConnection オブジェクトは、setHostnameVerifier メソッドを独自の HostnameVerifier インスタンスとともに呼び出すことで、この特定のインスタンスのホスト名検証を使用可能にすることができます。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このプロパティーは、SSL チャネルに適用されません。gotcha
com.ibm.security.useFIPS false true に設定すると、SSL およびその他の Java™ Cryptography Extension (JCE) 固有のアプリケーションに対して、FIPS 準拠アルゴリズムが使用されます。 通常、このプロパティーは、稼働環境で要求されない限りは使用不可です。
com.ibm.websphere.security.FIPSLevel false 使用するセキュリティー標準のレベルを 指定します。有効な値は、140-2、SP800-131、および transition です。 Suite B を使用可能にするには、com.ibm.security.useFIPS プロパティーを true に設定する必要があります。 このプロパティーは、ssl.client.props ファイル内のグローバル・プロパティーのセクションで、 なるべく com.ibm.security.useFIPS の後に入力する必要があります。
com.ibm.websphere.security.suiteB false 使用可能にする Suite B セキュリティー標準 のレベルを指定します。有効な値は、128 および 192 です。com.ibm.security.useFIPS プロパティー を使用可能にするには、true に設定する必要があります。 このプロパティーは、ssl.client.props ファイル 内のグローバル・プロパティーのセクションで、なるべく com.ibm.security.useFIPS の後に入力する必要があります。
[z/OS]user.root [z/OS]${WASROOT} [z/OS]このプロパティーは、鍵およびトラストストアへのルート・パスを指定する単一プロパティーとして、鍵およびトラストストアのロケーション・プロパティーで使用できます。 ${WASROOT} は、現行プロファイルのルート・ディレクトリー です。通常、このプロパティーはプロファイル・ルートです。 ただし、このプロパティーを、ルート・ディレクトリーに対する適切な読み取り権限および (場合によっては) 書き込み権限を持つ、ローカル・マシン上の任意のルート・ディレクトリーに変更することができます。

証明書作成プロパティー:

証明書作成プロパティーを使用して、証明書の主な属性の自己署名証明書のデフォルト値を指定します。 鍵ストアに保管される識別名 (DN)、有効期限、鍵サイズ、および別名を定義できます。
表 2. 証明書作成プロパティー. この表では、証明書作成プロパティーについて説明します。
プロパティー デフォルト 説明
com.ibm.ssl.defaultCertReqAlias default_alias このプロパティーは、鍵ストア内で作成された自己署名証明書を参照するのに使用するデフォルトの別名を指定します。 その名前の別名が既に存在する場合は、デフォルトの別名に _# が追加されます。ここで、番号記号 (#) は、1 から始まる整数であり、固有の別名を検出するまで増分します。
com.ibm.ssl.defaultCertReqSubjectDN cn=${hostname}、o=IBM、c=US このプロパティーは、証明書の作成時にその証明書に設定されたプロパティー識別名 (DN) を使用します。 ${hostname} 変数は、そのプロパティーが存在するホスト名として展開されます。 X.509 証明書で指定された、正しい形式の DN を使用できます。
com.ibm.ssl.defaultCertReqDays 365 このプロパティーは証明書の有効期間を指定します。最短で 1 日から最長で証明書に設定できる最大日数 (約 15 年) まで設定できます。
com.ibm.ssl.defaultCertReqKeySize 1024 このプロパティーは、デフォルトの鍵サイズです。 有効な値は、インストールされている Java 仮想マシン (JVM) セキュリティー・ポリシー・ファイルによって決まります。 製品 JVM のデフォルトのエクスポート・ポリシー・ファイルでは、鍵サイズが 1024 に制限されています。 2048 などの大きい鍵サイズを取得するには、Web サイトから制限付きポリシー・ファイルをダウンロードします。

証明書の失効検査:

証明書の失効検査を有効にするために、 Online Certificate Status Protocol (OCSP) プロパティーの組み合わせを設定できます。これらのプロパティーは com.ibm.ssl.trustManager プロパティーを IbmPKIX に設定しない限り使用されません。また、 クライアントで取り消し検査を正常に処理するには、署名者交換プロンプトをオフにする必要があります。署名者交換プロンプトをオフにするには、 com.ibm.ssl.enableSignerExchangePrompt プロパティーを false に変更します。 詳細情報については、『デフォルトの IbmPKIX トラスト・マネージャーを使用した証明書の失効検査の有効化』の資料を参照してください。

SSL 構成プロパティー:

SSL 構成プロパティーのセクションを使用して、複数の SSL 構成を設定します。 新しい SSL 構成仕様のために com.ibm.ssl.alias プロパティーを設定します。これは、パーサーがこの別名を使用して新しい SSL 構成を開始するためです。 SSL 構成は、デフォルトの別名プロパティーを通じて、sas.client.propssoap.client.props などの別のファイルからの別名プロパティーを使用して参照されます。 以下の表で指定されているプロパティーを使用すると、他の SSL オブジェクトの中でも特に javax.net.ssl.SSLContext を作成できます。
表 3. SSL 構成プロパティー. 次の表に、SSL 構成プロパティーを示します。
プロパティー デフォルト 説明
com.ibm.ssl.alias DefaultSSLSettings このプロパティーは、この SSL 構成の名前であり、SSL 構成の最初のプロパティーにする必要があります。これは、このプロパティーが SSL 構成を参照するためです。 構成内で参照された後にこのプロパティーの名前を変更すると、参照が見つからない場合に、ランタイムはデフォルトの com.ibm.ssl.defaultAlias プロパティーになります。 有効でない SSL 参照を使用してアプリケーションを開始すると、エラー「trust file is null」または「key file is null」が表示される場合があります。
com.ibm.ssl.protocol SSL_TLS このプロパティーは、この SSL 構成で使用される SSL ハンドシェーク・プロトコルです。 このプロパティーは、Transport Layer Security (TLS) を最初に試行しますが、SSLv3 および TLSv1 を含むすべてのリモート・ハンドシェーク・プロトコルを受け入れます。このプロパティー の有効な値は、SSL_TLS、SSL、SSLv2 (クライアント・サイドのみ)、SSLv3、TLS、TLSv1、 SSL_TLSv2、TLSv1.1、および TLSv1.2 です。
com.ibm.ssl.securityLevel STRONG このプロパティーは、SSL ハンドシェークで使用される暗号グループを指定します。 通常は STRONG が選択されており、128 ビット以上の暗号を指定します。 MEDIUM を選択すると、40 ビットの暗号が使用されます。 WEAK を選択すると、暗号化は行わないものの、データ保全性のために署名を実行する暗号が使用されます。 独自の暗号リスト選択を指定した場合は、com.ibm.ssl.enabledCipherSuites プロパティーのコメントを外します。
注: javax.net.ssl システム・プロパティーを使用すると、この値が常に HIGH になります。
com.ibm.ssl.trustManager IbmX509 このプロパティーは、ターゲット・サーバーによって送信された証明書を検証するのに必要なデフォルトのトラスト・マネージャーを指定します。 このトラスト・マネージャーは、証明書失効リスト (CRL) 検査を行いません。 この値を IbmPKIX に変更すると、証明書の CRL 配布リストを使用した CRL 検査を行うことができます。これは、CRL 検査の標準的な実行方法です。 カスタム CRL 検査を実行する必要がある場合は、カスタム・トラスト・マネージャーを実装し、com.ibm.ssl.customTrustManagers プロパティーでそのトラスト・マネージャーを指定する必要があります。 この IbmPKIX オプションは、信頼性検証で IBMCertPath を必要とするため、パフォーマンスに影響を与える場合があります。 CRL 検査が必要でない限りは、IbmX509 を使用してください。 Online Certificate Status Protocol (OCSP) プロパティーを使用する場合、 このプロパティー値は IbmPKIX に設定してください。
com.ibm.ssl.keyManager IbmX509 このプロパティーは、指定した鍵ストアからクライアントの別名を選択するのに使用するデフォルトの鍵マネージャーを指定します。 この鍵マネージャーは、com.ibm.ssl.keyStoreClientAlias プロパティーを使用して鍵ストアの別名を指定します。 このプロパティーが指定されない場合は、Java Secure Socket Extension (JSSE) が 代わって選択を行います。 通常、JSSE は最初に見つかった別名を選択します。
com.ibm.ssl.contextProvider IBMJSSE2 このプロパティーは、SSL コンテキストを作成するための JSSE プロバイダーを選択する際に使用されます。 Java 仮想マシン (JVM) を使用する場合は、デフォルトの IBMJSSE2 をお勧めします。 Sun JVM を使用している場合は、クライアント・プラグインで SunJSSE プロバイダーを使用できます。
com.ibm.ssl.enableSignerExchangePrompt true このプロパティーは、クライアントのトラストストアに署名者が存在しない場合に、署名者の交換プロンプトを表示するかどうかを指定します。 このプロンプトでは、リモートの証明書に関する情報が表示されるため、WebSphere Application Server は署名者を信頼するかどうかを決定できます。 証明書のシグニチャーを検証することは非常に重要です。 このシグニチャーは、証明書が元のサーバー証明書から変更されていないことを保証できる唯一の信頼性の高い情報です。 自動化されたシナリオでは、このプロパティーを使用不可にして、SSL ハンドシェーク例外が発生しないようにしてください。 SSL 署名者の交換をセットアップする retrieveSigners スクリプトを実行して、クライアントを実行する前にサーバーから署名者をダウンロードします。 Online Certificate Status Protocol (OCSP) プロパティーを使用する場合、 この値は false に設定してください。
com.ibm.ssl.keyStoreClientAlias デフォルト このプロパティーは、ターゲットがクライアント認証を要求しない場合に、指定した鍵ストアから別名を参照するために使用します。 WebSphere Application Server が SSL 構成の自己署名証明書を作成するときに、 このプロパティーによって別名が決定され、グローバル com.ibm.ssl.defaultCertReqAlias プロパティーがオーバーライドされます。
com.ibm.ssl.customTrustManagers デフォルトでコメント化 このプロパティーを使用すると、コンマで区切られた 1 つ以上のカスタム・トラスト・マネージャーを指定できます。 これらのトラスト・マネージャーは、algorithm|provider または classname の形式で指定できます。例えば、IbmX509|IBMJSSE2 は algorithm|provider フォーマット、com.acme.myCustomTrustManager インターフェースは classname フォーマットです。 このクラスは、javax.net.ssl.X509TrustManager インターフェースを実装する必要があります。 オプションにより、このクラスで com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを実装できます。 これらのトラスト・マネージャーは、com.ibm.ssl.trustManager インターフェースで指定されたデフォルト・トラスト・マネージャーに加えて実行されます。 これらのトラスト・マネージャーは、デフォルト・トラスト・マネージャーに置き換わるものではありません。
com.ibm.ssl.customKeyManager デフォルトでコメント化 このプロパティーを使用すると、カスタム鍵マネージャーを 1 つのみ指定できます。 この鍵マネージャーは、com.ibm.ssl.keyManager プロパティーに指定されたデフォルト鍵マネージャーに置き換わります。 鍵マネージャーの形式は、algorithm|provider または classname です。 com.ibm.ssl.customTrustManagers プロパティーのフォーマットの例を参照してください。 このクラスは、javax.net.ssl.X509KeyManager インターフェースを実装する必要があります。 オプションにより、このクラスで com.ibm.wsspi.ssl.KeyManagerExtendedInfo インターフェースを実装できます。 この鍵マネージャーは、別名の選択を担当します。
com.ibm.ssl.dynamicSelectionInfo デフォルトでコメント化 このプロパティーは、SSL 構成との動的な関連付けを使用可能にします。 動的な関連付けの構文は、outbound_protocoltarget_host、または target_port です。 複数を指定する場合は、区切り文字として垂直バー ( | ) を使用します。 これらの値をアスタリスク (*) に置き換えることにより、ワイルドカード値を示すことができます。 有効な outbound_protocol 値には、IIOP、HTTP、LDAP、SIP、BUS_CLIENT、BUS_TO_WEBSPHERE_MQ、BUS_TO_BUS、および ADMIN_SOAP があります。 SSL 構成を選択する動的な選択基準が必要な場合は、デフォルトのプロパティーのコメントを外し、接続情報を追加します。 例えば、以下の内容を 1 行で追加します。
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites デフォルトでコメント化 このプロパティーを使用すると、カスタム暗号スイートのリストを指定して、com.ibm.ssl.securityLevel プロパティーのグループ選択をオーバーライドできます。 有効な暗号のリストは、プロバイダーおよび適用された JVM ポリシー・ファイルによって異なります。 暗号スイートでは、スペースを区切り文字として使用します。
com.ibm.ssl.keyStoreName ClientDefaultKeyStore このプロパティーは、鍵ストア構成名を参照します。 鍵ストアを定義していない場合、残りの鍵ストア・プロパティーはこのプロパティーに従う必要があります。 鍵ストアを定義した後で、このプロパティーを指定して、前に指定した鍵ストア構成を参照するようにできます。 ssl.client.props ファイルの新しい鍵ストア構成には、固有の名前が付けられます。
com.ibm.ssl.trustStoreName ClientDefaultTrustStore このプロパティーは、トラストストア構成名を参照します。 トラストストアを定義していない場合、残りのトラストストア・プロパティーはこのプロパティーに従う必要があります。 トラストストアを定義した後で、このプロパティーを指定して、前に指定したトラストストア構成を参照するようにできます。 ssl.client.props ファイルの新しいトラストストア構成には、固有の名前を付ける必要があります。
[z/OS]鍵ストアおよびトラストストアの構成プロパティーのデフォルト値は、z/OS® プロファイル管理ツールの 「管理セキュリティーの選択」パネルで選択したセキュリティー構成によって決定されます。「管理セキュリティーの選択」パネルでは、 以下のオプションが選択可能です。
  • z/OS セキュリティー製品の使用」オプション (1 番目のオプション) を選択した場合、 鍵ストアおよびトラストストアの構成プロパティーのデフォルト値は、JCERACFKS タイプの鍵ストアを示します。このタイプでは、RACF® などの z/OS セキュリティー製品で保管および管理されている鍵と証明書が使用されます。詳細情報については、 トピック『鍵ストア構成』のセクション『z/OS 鍵ストア』を参照してください。
  • WebSphere Application Server セキュリティーの使用」オプション (2 番目のオプション) または「セキュリティーを有効にしない」オプション (3 番目のオプション) を選択した場合、 鍵ストアおよびトラストストアの構成プロパティーのデフォルト値は、PKCS12 ファイルの鍵ストアを示します。ファイル・ベースの鍵ストアの詳細情報については、 トピック『鍵ストア構成』のセクション『IBMJCE ファイル・ベースの鍵ストア (JCEKS、JKS、および PKCS12)』を参照してください。

鍵ストア構成:

SSL 構成は、証明書のロケーションを識別する鍵ストア構成を参照します。 証明書は、SSL 構成を使用するクライアントの ID を示します。 他の SSL 構成プロパティーを使用して、鍵ストア構成を指定できます。 ただし、ssl.client.props ファイルのこのセクションにある鍵ストア構成は、com.ibm.ssl.keyStoreName プロパティーが新しい鍵ストア構成の開始を識別した後に指定することが推奨されます。 鍵ストア構成を完全に定義すると、com.ibm.ssl.keyStoreName プロパティーは、ファイルのどこからでも鍵ストア構成を参照できるようになります。
[AIX Solaris HP-UX Linux Windows][IBM i]
表 4. 鍵ストア構成プロパティー. 次の表に、鍵ストア構成プロパティーを示します。
プロパティー デフォルト 説明
com.ibm.ssl.keyStoreName ClientDefaultKeyStore このプロパティーは、ランタイムで参照される鍵ストアの名前を指定します。 重複を回避するため、他の SSL 構成がこの名前を参照できるのは、ssl.client.props ファイルのかなり下の方です。
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 このプロパティーは、鍵ストアのロケーションを com.ibm.ssl.keyStoreType プロパティーに必要なフォーマットで指定します。 通常、このプロパティーは鍵ストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーはダイナミック・リンク・ライブラリー (DLL) ファイルを参照します。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 4764 暗号化カードを使用する 場合、クライアント構成の鍵ストア・ファイル名をファイル 4764.cfg と指定し (これを入れるディレクトリー構造は任意です)、 対応する com.ibm.ssl.keyStoreType を PKCS11 に設定する必要があります。4764.cfg ファイルは、WebSphere Application Server に同梱されていません。gotcha
com.ibm.ssl.keyStorePassword WebAS このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードです。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこの参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次に鍵ストアが存在するロケーションから鍵ストアを削除します。 鍵ストア名が DefaultKeyStore で終わり、fileBased プロパティーが true の場合に限り、クライアントを再始動して、新規パスワードを使用して鍵ストアを再作成します。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにします。
com.ibm.ssl.keyStoreType PKCS12 このプロパティーは鍵ストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 を使用してください。 このプロパティーは、プロバイダー・リストの JVM でサポートされる任意の有効な鍵ストア・タイプとして指定できます。
com.ibm.ssl.keyStoreProvider IBMJCE IBM® Java Cryptography Extension プロパティーは、鍵ストア・タイプの鍵ストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。
com.ibm.ssl.keyStoreFileBased true このプロパティーは、鍵ストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。
com.ibm.ssl.keyStoreReadOnly false このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。

[z/OS]以下の表では、「z/OS セキュリティー製品でのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで「z/OS セキュリティー製品の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、 「管理セキュリティーの選択」パネルの 1 番目のオプションです。「WebSphere Application Server セキュリティーのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルでWebSphere Application Server の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、 「管理セキュリティーの選択」パネルの 2 番目のオプションです。

[z/OS]
表 5. 鍵ストア構成プロパティー. 次の表に、鍵ストア構成プロパティーを示します。
プロパティー z/OS セキュリティー製品でのデフォルト値 WebSphere Application Server セキュリティーのデフォルト値 説明
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore このプロパティーは、ランタイムで参照される鍵ストアの名前を指定します。 重複を回避するため、他の SSL 構成がこの名前を参照できるのは、ssl.client.props ファイルのかなり下の方です。
com.ibm.ssl.keyStore

safreyring:///your_keyring

この値は、z/OS プロファイル管理ツールの「SSL のカスタマイズ」パネルで設定されます。

${user.root}/etc/key.p12 このプロパティーは、鍵ストアのロケーションを com.ibm.ssl.keyStoreType プロパティーに必要なフォーマットで指定します。 通常、このプロパティーは鍵ストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーはダイナミック・リンク・ライブラリー (DLL) ファイルを参照します。
com.ibm.ssl.keyStorePassword password WebAS このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードです。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこの参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次に鍵ストアが存在するロケーションから鍵ストアを削除します。 鍵ストア名が DefaultKeyStore で終わり、fileBased プロパティーが true の場合に限り、クライアントを再始動して、新規パスワードを使用して鍵ストアを再作成します。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにします。
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 このプロパティーは鍵ストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 を使用してください。 このプロパティーは、プロバイダー・リストの JVM でサポートされる任意の有効な鍵ストア・タイプとして指定できます。 暗号デバイスのタイプには、JCERACFKS、JCECCARACFKS、または JCECCAKS があります。
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE IBM Java Cryptography Extension プロパティーは、鍵ストア・タイプの鍵ストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。
com.ibm.ssl.keyStoreFileBased false true このプロパティーは、鍵ストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。
com.ibm.ssl.keyStoreReadOnly true false このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 例えば、管理コンソールまたはスクリプトを使用して、読み取り専用の鍵ストアを変更することはできません。WebSphere Application Server for z/OS で使用される SAF 鍵リングは常に読み取り専用です。

トラストストア構成:

SSL 構成は、このクライアントで信頼されるサーバーの署名者証明書を含むトラストストア構成を参照します。 他の SSL 構成プロパティーを使用して、これらのプロパティーを指定できます。 ただし、ssl.client.props ファイルのこのセクションにあるトラストストア構成は、com.ibm.ssl.trustStoreName プロパティーが新しいトラストストア構成の開始を識別した後に指定することが推奨されます。 トラストストア構成を完全に定義すると、com.ibm.ssl.trustStoreName プロパティーは、ファイルのどこからでもこの構成を参照できるようになります。

トラストストアは、JSSE が信頼性を評価するために使用する鍵ストアです。 トラストストアには、WebSphere Application Server がハンドシェーク中にリモート接続を信頼する前に要求する署名者が含まれています。 com.ibm.ssl.trustStoreName=ClientDefaultKeyStore プロパティーを構成すると、鍵ストアをトラストストアとして参照できます。 署名者の交換を通じて生成されたすべての署名者は、ランタイムで呼び出された鍵ストアにインポートされるため、このトラストストアではさらなる構成は必要ありません。

[z/OS]以下の表では、 「z/OS セキュリティー製品でのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルで 「z/OS セキュリティー製品の使用」オプションが 選択された場合に使用されるデフォルト値に対応しています。このオプションは、 「管理セキュリティーの選択」パネルの 1 番目のオプションです。「WebSphere Application Server セキュリティーでのデフォルト値」列の値は、z/OS プロファイル管理ツールの「管理セキュリティーの選択」パネルでWebSphere Application Server の使用」オプションが選択された場合に使用されるデフォルト値に対応しています。このオプションは、 「管理セキュリティーの選択」パネルの 2 番目のオプションです。

[AIX Solaris HP-UX Linux Windows][IBM i]
表 6. トラストストア構成プロパティー. 次の表に、トラストストア構成プロパティーを示します。
プロパティー デフォルト 説明
com.ibm.ssl.trustStoreName ClientDefaultTrustStore このプロパティーは、ランタイムで参照されるトラストストアの名前を指定します。 重複を回避するため、他の SSL 構成が参照できるのは、ssl.client.props ファイルのかなり下の方です。
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 このプロパティーは、com.ibm.ssl.trustStoreType プロパティーで参照されるトラストストア・タイプに必要なフォーマットでトラストストアのロケーションを指定します。 通常、このプロパティーはトラストストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーは DLL ファイルを参照します。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 4764 暗号化カードを使用する 場合、クライアント構成の鍵ストア・ファイル名をファイル 4764.cfg と指定し (これを入れるディレクトリー構造は任意です)、 対応する com.ibm.ssl.keyStoreType を PKCS11 に設定する必要があります。4764.cfg ファイルは、WebSphere Application Server に同梱されていません。gotcha
com.ibm.ssl.trustStorePassword WebAS このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードを指定します。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこのプロパティー内の参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次にトラストストアが存在するロケーションからトラストストアを削除します。 鍵ストア名が DefaultTrustStore で終わっていて、fileBased プロパティーが true になっている場合に限り、 クライアントを再始動して、 新規パスワードを使用してトラストストアを再作成してください。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにすることをお勧めします。
com.ibm.ssl.trustStoreType PKCS12 このプロパティーはトラストストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 タイプを使用してください。 このプロパティーは、プロバイダー・リストの JVM 機能でサポートされる任意の有効なトラストストア・タイプとして指定できます。
com.ibm.ssl.trustStoreProvider IBMJCE このプロパティーは、トラストストアのタイプのトラストストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。
com.ibm.ssl.trustStoreFileBased true このプロパティーは、トラストストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。
com.ibm.ssl.trustStoreReadOnly false このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。
[z/OS]
表 7. トラストストア構成プロパティー. 次の表に、トラストストア構成プロパティーを示します。
プロパティー z/OS セキュリティー製品でのデフォルト値 WebSphere Application Server セキュリティーでのデフォルト値 説明
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore このプロパティーは、ランタイムで参照されるトラストストアの名前を指定します。 重複を回避するため、他の SSL 構成が参照できるのは、ssl.client.props ファイルのかなり下の方です。
com.ibm.ssl.trustStore

safreyring:///your_keyring

この値は、z/OS プロファイル管理ツールの「SSL のカスタマイズ」パネルで設定されます。

${user.root}/etc/trust.p12 このプロパティーは、com.ibm.ssl.trustStoreType プロパティーで参照されるトラストストア・タイプに必要なフォーマットでトラストストアのロケーションを指定します。 通常、このプロパティーはトラストストア・ファイル名を参照します。 ただし、暗号トークン・タイプの場合、このプロパティーは DLL ファイルを参照します。
com.ibm.ssl.trustStorePassword password WebAS このプロパティーは、プロファイル作成時におけるプロファイルのセル名であるデフォルトのパスワードを指定します。 通常、このパスワードは、{xor} アルゴリズムを使用してエンコードされます。 iKeyman を使用して鍵ストアのパスワードを変更し、次にこのプロパティー内の参照を変更できます。 パスワードが不明で、証明書が作成されている場合、このプロパティーのパスワードを変更し、次にトラストストアが存在するロケーションからトラストストアを削除します。 鍵ストア名が DefaultTrustStore で終わっていて、fileBased プロパティーが true になっている場合に限り、 クライアントを再始動して、 新規パスワードを使用してトラストストアを再作成してください。 鍵ストアとトラストストアの両方を同時に削除し、両方が一緒に再作成された場合に、適切な署名者の交換が行われるようにすることをお勧めします。
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 このプロパティーはトラストストアのタイプです。 他のアプリケーションとのインターオペラビリティーという観点から、デフォルトの PKCS12 タイプを使用してください。 このプロパティーは、プロバイダー・リストの JVM 機能でサポートされる任意の有効なトラストストア・タイプとして指定できます。 暗号デバイスのタイプには、JCERACFKS、JCECCARACFKS、または JCECCAKS があります。
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE このプロパティーは、トラストストアのタイプのトラストストア・プロバイダーです。 通常、このプロバイダーは、暗号デバイスの IBMJCE または IBMPKCS11Impl です。
com.ibm.ssl.trustStoreFileBased false true このプロパティーは、トラストストアがファイル・ベースである、つまりファイル・システム上にあることをランタイムに示します。
com.ibm.ssl.trustStoreReadOnly true false このプロパティーは、WebSphere Application Server のランタイムに対して、ランタイム中に鍵ストアを変更できるかどうかを指定します。 例えば、管理コンソールまたはスクリプトを使用して、読み取り専用のトラストストアを変更することはできません。WebSphere Application Server for z/OS で使用される SAF 鍵リングは、常に読み取り専用です。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
ファイル名:rsec_sslclientpropsfile.html