ここでは、セキュリティーのタイプ、証明書の生成とアップロードに使用するツール、および WebSphere Business Integration Connect でインストールされるデータ・ストアのタイプについて概説します。
ここでは、SSL、ディジタル署名、および暗号化について概説します。
WebSphere Business Integration Connect では、SSL を使用してインバウンドおよびアウトバウンド文書を保護することができます。インバウンド文書とは、ハブに送信される文書のことです。アウトバウンド文書とは、ハブから送信される文書のことです。
SSL は、インターネットのセキュリティーを管理するためによく利用されるプロトコルです。 SSL は、ネットワーク接続を介してリンクされている 2 つのアプリケーションが 相互の ID を認証できるようにすることで、セキュア接続を提供します。
SSL 接続は、ハンドシェークで開始します。このステージでアプリケーションは、ディジタル証明書を交換し、使用する暗号化アルゴリズムに同意して、残りのセッションで使用される暗号鍵を生成します。
SSL プロトコルには、以下のセキュリティー機能があります。
ディジタル署名は、否認防止を保証するメカニズムです。否認防止とは、参加者がメッセージを生成して送信したことを否認できないことを意味します。また、参加者はメッセージを受信したことも否認できません。
ディジタル署名の場合、オリジネーターはメッセージに署名できるため、オリジネーターが実際にメッセージを送信したユーザーとして証明されます。また、メッセージが、署名された後に変更されていないことも保証されます。
WebSphere Business Integration Connect は、公開鍵暗号化と呼ばれる暗号システムを使用して、参加者とハブの間の通信を保護します。公開鍵暗号化では、数学的に関連した鍵のペアが使用されます。最初の鍵で暗号化された文書は、2 番目の鍵を使用して暗号化解除する必要があります。また、2 番目の鍵で暗号化された文書は、最初の鍵を使用して暗号化解除する必要があります。
公開鍵システムの各参加者は、鍵のペアを持ちます。 1 つの鍵は秘密にされ、秘密鍵となります。もう 1 つの鍵は、必要とするユーザーに配布され、公開鍵となります。 WebSphere Business Integration Connect は、参加者の公開鍵を使用して、文書を暗号化します。秘密鍵は、文書を暗号化解除するときに使用されます。
以降のセクションで説明するように、IBM 鍵管理ツール (IKEYMAN) を使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成します。IKEYMAN を使用して自己署名証明書を作成することもできます。IKEYMAN ユーティリティーは、インストール時に WebSphere Business Installation Connect によって作成される <WBIC_install_dir>/router/was/bin ディレクトリーに置かれています。
また、IKEYMAN を使用すると、認証局 (CA) に対する証明書の要求を生成することもできます。
注: createCert.sh ユーティリティーを使用して、自己署名証明書を生成することもできます。
Community Console を使用すると、WebSphere Business Integration Connect ストレージに必要なクライアント、署名、および暗号化証明書をすべてインストールすることができます。また、Community Console を使用して、ルート証明書および CA (認証局) 証明書をインストールすることもできます。
注: 参加者の証明書の有効期限が切れている場合は、参加者自身が新規証明書を取得する必要があります。 Community Console のアラート機能には、WebSphere Business Integration Connect に格納されている証明書の有効期限アラートが含まれています。
WebSphere Business Integration Connect をインストールすると、Receiver および Console の鍵ストアとトラストストアがインストールされます。
デフォルトでは、WBIC_install_root/common/security/keystore ディレクトリーに、鍵ストアとトラストストアが 2 つずつ作成されます。名前は、以下のとおりです。
4 つのストアにアクセスするためのデフォルトのパスワードは、WebAS です。組み込みの WebSphere Application Server は、これら 4 つのストアを使用するよう構成されています。
注: 以下の Unix コマンドを使用すると、鍵ストア・ファイルのパスワードを変更できます。
/WBIC_install_root/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
鍵ストア・パスワードを変更する場合は、各 WebSphere Application Server インスタンスの構成も変更する必要があります。この場合、bcgChgPassword.jacl スクリプトを使用します。Console インスタンスにおいて、以下のディレクトリーに移動します。
/WBIC_install_root/console/was/bin
次に、以下のコマンドを実行します。
./wsadmin.sh -f /WBIC_install_root/console/scripts/ bcgChgPassword.jacl -conntype NONE
Receiver および Document Manager の WebSphere Application Server インスタンスに対して、このステップを繰り返します。
新規パスワードを求めるプロンプトが出されます。
注: トラストストアの証明書の有効期限が切れている場合は、以下の手順に従って、新規証明書を追加し、証明書を置き換える必要があります。
このデータ・タイプは、インポートする証明書のデータ・タイプと一致している必要があります。