エンドツーエンド・プライバシーの管理
システムでのメッセージおよびビジネス・データのセキュリティーは、送信元アダプターを離れた瞬間から、InterChange Server Express を通過し、宛先アダプターに到達するそのときまで重要です。すべての機密保護機能のあるシステムにとって重要な要素は、エンドポイントでの検証です。IBM WebSphere Business Integration
Server Express により、情報の流れのエンドポイントそれぞれでセキュリティーを確保し、エンドツーエンドでの情報の安全性を保証します。
InterChange Server Express におけるほとんどのビジネス通信は、JMS や MQ シリーズなどの非同期システムを使用して送られ、処理を待つ間、メッセージはキュー・マネージャーのところでディスクに保管されます。エンドツーエンドのプライバシーにより、これらのメッセージがこのレベルで保護されるよう保証します。
エンドツーエンド・プライバシーを使用してメッセージを保護するには、適切な構成ファイルでこの機能をアクティブにする必要があります。エンドツーエンド・プライバシーは、個々のアダプターごとにオン/オフを切り替えることができます。
System Manager を使用したエンドツーエンド・プライバシーの構成は、InterChange Server Express からアダプターへのメッセージにのみ影響するのに対し、Connection Configurator を使用したアダプターの構成は、アダプターから InterChange Server へのメッセージにのみ影響することに注意することが重要です。
注:
エンドツーエンド・プライバシーの概念と機能の詳細については、「テクニカル入門 (IBM WebSphere Business Integration Server)」を参照してください。
このセクションの内容は次のとおりです。
System Manager を使用したエンドツーエンド・プライバシーのアクティブ化手順
Connector Configurator を使用したエンドツーエンド・プライバシーのアクティブ化手順
System Manager を使用したプライバシー構成の変更手順
Connector Configurator を使用したプライバシー構成の変更手順
鍵および鍵ストアの管理
System Manager を使用したエンドツーエンド・プライバシーのアクティブ化手順
System Manager を使用してエンドツーエンド・プライバシーをアクティブ化するには、以下の手順を実行します。
- 「プライバシー」タブ (サーバーの「構成を編集」コンテキスト・メニューにある) で、鍵ストアへのパスを入力します。鍵ストアの詳細については、鍵および鍵ストアの管理を参照してください。
- 鍵ストア・パスワードを入力します。
- 特定のプライバシー設定をインポートするには、「プライバシー設定のインポート」ボタンを選択し、以下の使用可能なコネクターのいずれかを選択します。これにより、特定のコネクターの構成ファイルによって指定されているプライバシー構成がロードされます。
- 汎用プライバシー設定を設定するには、ドロップダウン・リストからメッセージ・タイプを選択します。選択項目は以下のとおりです。
- ドロップダウン・リストからセキュリティー・レベルを選択します。選択項目は以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- 例えば、システム・テスト・コネクターや宛先コネクターなどの、メッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクター用に設定されている場合にのみ使用されるオプションの区別です。
- 個々のビジネス・オブジェクトのプライバシー設定を設定するには、ビジネス・オブジェクトの名前を入力するか、使用可能リストからビジネス・オブジェクトを選択します。
- ドロップダウン・リストからセキュリティー・レベルを選択します。選択項目は以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- 例えば、システム・テスト・コネクターや宛先コネクターなどの、メッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクター用に設定されている場合にのみ使用されるオプションの区別です。
Connector Configurator を使用したエンドツーエンド・プライバシーのアクティブ化手順
エンドツーエンド・プライバシーをアクティブ化するには、以下の手順を実行します。
- Connector Configurator で、「セキュリティー」タブを選択します。
- チェック・ボックスを選択してプライバシー設定をオンにします。このチェック・ボックスは、配信トランスポートが JMS の場合にのみアクティブになります。
- 「メッセージのプライバシー・レベル」見出しの下のドロップダウン・リストから選択して、メッセージ、管理メッセージ、およびビジネス・オブジェクト・メッセージごとに適切なプライバシー・レベルを割り当てます。選択項目は以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- コネクター構成を保管し、プライバシー設定をアクティブにします。
System Manager を使用したプライバシー構成の変更手順
System Manager を使用してエンドツーエンド・プライバシー・パラメーターを変更するには、以下の手順を実行します。
- 「プライバシー」タブ (サーバーの「構成を編集」コンテキスト・メニューにある) で、以下の情報を更新します。
- 鍵ストア・パス
- 鍵ストア・パスワード
- 汎用プライバシー設定
- 個々のビジネス・オブジェクト・プライバシーの設定
Connector Configurator を使用したプライバシー構成の変更手順
Connector Configurator を使用してエンドツーエンド・プライバシー・パラメーターを変更するには、以下の手順を実行します。
- Connector Configurator で、「セキュリティー」タブを選択します。
- チェック・ボックスを選択または選択解除して、プライバシー設定を変更します。このチェック・ボックスは、配信トランスポートが JMS の場合にのみアクティブになります。
- プライバシーをオンにする場合は、「メッセージのプライバシー・レベル」見出しの下のドロップダウン・リストから選択して、メッセージ、管理メッセージ、およびビジネス・オブジェクト・メッセージごとに適切なプライバシー・レベルを割り当てます。選択項目は以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- コネクター構成を保管して、変更されたプライバシー設定をアクティブにします。
鍵および鍵ストアの管理
鍵ストアは、プライバシー検証で使用する公開鍵と秘密鍵を安全に保管するために使用する、パスワードで保護されたファイルです。鍵ストアは、サーバーと個々のアダプター用に存在しています。IBM WebSphere Business Integration Server には、各アダプターの公開鍵とともに InterChange Server Express の秘密鍵ストアと公開鍵ストアがあります。個々のアダプター鍵ストアには、InterChange Server の公開鍵とともにアダプターの秘密鍵ストアと公開鍵ストアがあります。
鍵ストアへの絶対パスと該当するパスワードは、始動時に暗号化され、構成ファイルの中に含まれています。秘密鍵のパスワードは、鍵ストア・パスワードと同じにしてください。
Connector Configurator を使用した鍵の作成手順
Connector Configurator で提供されるグラフィカル・インターフェースを使用して鍵および鍵ストアを作成するには、以下の手順を実行します。
- 該当するコネクターの「Connector Configurator」画面を開き、「セキュリティー」タブを選択します。このタブから、エンドツーエンド・プライバシーをオンにし、プライバシー・レベルを設定し、鍵を保守し、アダプター・アクセス制御を設定できます。
- 「鍵の生成」ボタンを選択します。「鍵の生成」画面が表示されます。
- 以下の情報を入力して、鍵の作成プロセスを完了します。
- 証明書関連
- 生成アルゴリズム
- 出力鍵ストア
- 鍵ストア・パスワード
- 秘密鍵パスワード
- その他の追加鍵オプション
- 以下の情報のいずれかを入力します。鍵の作成に必要な情報は 1 つだけです。
- 鍵の共通名
- 組織単位
- 組織名
- 地域名
- 都道府県名
- 国名
- 「OK」ボタンを選択して鍵情報を保管します。
keytool を使用した鍵の作成手順
keytool を使用して鍵および鍵ストアを作成するには、以下の手順を実行します。
- JDK_HOME/bin ディレクトリーで keytool を開きます。
- 以下のコマンド行を入力して、サーバーの公開鍵と秘密鍵エントリーを作成します。ここで、name は鍵ストア名、password は鍵ストア・パスワード、および IC.keystore は鍵ストア・ファイル名です。
keytool -genkey -alias name -keyalg RSA -keypass password -storepass password -keystore IC.keystore
- 以下のコマンド行を入力して、サーバーの公開鍵をファイルにエクスポートします。
keytool -export -alias name -storepass password -file IC.cer -keystore IC.keystore
注:
アダプター・エージェントは、サーバーの公開鍵をその鍵ストアにインポートするときに、IC.cer ファイルをインポートします。
- 以下のコマンド行を入力して、アダプター・エージェントの公開鍵と秘密鍵エントリーを作成します。ここで、connectorname は鍵ストア名、password は鍵ストア・パスワード、および Adapter.keystore は鍵ストア・ファイル名です。
keytool -genkey -alias connectorname -keyalg RSA -keypass password -storepass password -keystore Adapter.keystore
- 以下のコマンド行を入力して、アダプターの公開鍵をファイルにエクスポートします。
keytool -export -alias connectorname -storepass password -file Adapter.cer -keystore Adapter.keystore
- 以下のコマンド行を入力してサーバー鍵ストアにアダプター・エージェントの鍵をインポートすることにより、プライバシー設定をオンにします。
keytool -import -v -trustcacerts - alias connectorname -storepass password -file Adapter.cer -keystore IC.keystore
- 以下のコマンド行を入力して、サーバーの公開鍵をアダプター・エージェントの鍵ストアにインポートします。
keytool -import -v -trustcacerts - alias connectorname.queue.manager -storepass password -file IC.cer -keystore Adapter.keystore
アダプターの公開鍵のエクスポート手順
アダプターの公開鍵をエクスポートするには、以下の手順を実行します。
- 該当するコネクターの「Connector Configurator」画面を開き、「セキュリティー」タブを選択します。
- 「アダプター公開鍵のエクスポート」ボタンを選択します。
- 「アダプター公開鍵のエクスポート」画面で、以下の情報を入力します。
- 出力証明書
- 入力鍵ストア
- 鍵ストア・パスワード
- 証明書関連
- その他の追加鍵オプション
- 「OK」ボタンを選択してアダプター鍵をエクスポートします。
サーバーの公開鍵のインポート手順
サーバーの公開鍵をインポートするには、以下の手順を実行します。
- 該当するコネクターの「Connector Configurator」画面を開き、「セキュリティー」タブを選択します。
- 「サーバー公開鍵のインポート」ボタンを選択します。
- 「サーバー公開鍵のインポート」画面で、以下の情報を入力します。
- 出力鍵ストア
- 入力証明書
- 鍵ストア・パスワード
- 秘密鍵パスワード
- 証明書関連
- その他の追加鍵オプション
- 「OK」ボタンを選択してサーバー鍵をインポートします。
