エンドツーエンド・プライバシーの管理

ソース・アダプターを離れた時点から、InterChange Server を通過して宛先アダプターに到着するまで、システム上のメッセージとビジネス・データのセキュリティーは重要です。すべてのセキュア・システムにとっては、エンドポイント検証が重要です。IBM WebSphere InterChange Server は、情報フローの各エンドポイントでセキュリティーを確保し、エンドツーエンドで情報を保護します。

InterChange Server でのビジネス通信の大部分は、JMS や MQ Series などの非同期システムを介して伝送されるので、処理を待っている間、メッセージはキュー・マネージャーのディスクに保管されます。エンドツーエンド・プライバシーにより、メッセージはこのレベルで保護されます。

エンドツーエンド・プライバシーを使用してメッセージを保護するには、該当する構成ファイルでこの機能をアクティブ化する必要があります。エンドツーエンド・プライバシーは、個々のアダプターごとにオンとオフを切り替えることができます。

System Manager を使用するエンドツーエンド・プライバシーの構成は InterChange Server からアダプターへのメッセージにのみ影響し、一方 Connection Configurator を使用するアダプターの構成はアダプターから InterChange Server へのメッセージにのみ影響することに注意してください。

注:
エンドツーエンド・プライバシーの概念と機能の詳細については、「テクニカル入門 (IBM WebSphere InterChange Server)」を参照してください。

このセクションの内容は次のとおりです。

"System Manager によるエンドツーエンド・プライバシーのアクティブ化手順"

"Connector Configurator によるエンドツーエンド・プライバシーのアクティブ化手順"

"System Manager によるプライバシー構成の変更手順"

"Connector Configurator によるプライバシー構成の変更手順"

"鍵および鍵ストアの管理"

System Manager によるエンドツーエンド・プライバシーのアクティブ化手順

System Manager を使用してエンドツーエンド・プライバシーをアクティブ化するには、以下のステップを実行します。

  1. 「プライバシー」タブで、鍵ストアへのパスを入力します。鍵ストアの詳細については、鍵および鍵ストアの管理を参照してください。
  2. 鍵ストアのパスワードを入力します。
  3. 特定のプライバシー設定をインポートするには、「プライバシー設定のインポート」ボタンを選択し、選択可能なコネクターの 1 つを選択します。これにより、特定のコネクターの構成ファイルで指定されたプライバシー設定が読み込まれます。
  4. 一般のプライバシー設定を設定するには、ドロップダウン・リストからメッセージ・タイプを選択します。使用可能な選択項目は、以下のとおりです。
  5. ドロップダウン・リストからセキュリティー・レベルを選択します。使用可能な選択項目は、以下のとおりです。
  6. 例えば、「システム Test Connector (System Test Connector)」や「宛先コネクター (Destination Connector)」などのメッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクターに設定されている場合にのみ使用される、オプションの区別です。
  7. 個々のビジネス・オブジェクトにプライバシー設定を設定するには、ビジネス・オブジェクトの名前を入力するか、選択可能なリストからビジネス・オブジェクトを選択します。
  8. ドロップダウン・リストからセキュリティー・レベルを選択します。使用可能な選択項目は、以下のとおりです。
  9. 例えば、「システム Test Connector (System Test Connector)」や「宛先コネクター (Destination Connector)」などのメッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクターに設定されている場合にのみ使用される、オプションの区別です。

Connector Configurator によるエンドツーエンド・プライバシーのアクティブ化手順

エンドツーエンド・プライバシーをアクティブ化するには、以下のステップを実行します。

  1. 「Connector Configurator」タブで、「サポート」タブを選択します。
  2. リスト表示から、「プライバシー」見出しの下のドロップダウン・リストを選択し、個々のビジネス・オブジェクトに適切なプライバシー・レベルを割り当てます。使用可能な選択項目は、以下のとおりです。
  3. 接続構成を保管して、プライバシー設定をアクティブ化します。

System Manager によるプライバシー構成の変更手順

System Manager を使用してエンドツーエンド・プライバシーのパラメーターを変更するには、以下のステップを実行します。

  1. 「プライバシー」タブで、以下の情報を更新します。

Connector Configurator によるプライバシー構成の変更手順

Connector Configurator を使用してエンドツーエンド・プライバシーのパラメーターを変更するには、以下のステップを実行します。

  1. 「セキュリティー」タブで、任意のビジネス・オブジェクトのプライバシー設定を個々に更新します。
  2. コネクター構成を保管します。

鍵および鍵ストアの管理

鍵ストアは、プライバシー検証で使用される公開鍵と秘密鍵を安全に保管するためのパスワードによる保護ファイルです。鍵ストアは、サーバー用と個々のアダプター用が用意されています。IBM WebSphere InterChange Server には、InterChange Server の秘密鍵と公開鍵の鍵ストア、および各アダプターの公開鍵が保管されています。個々のアダプターの鍵ストアには、アダプターの秘密鍵と公開鍵の鍵ストア、および InterChange Server の公開鍵が保管されています。

鍵ストアへの絶対パスと関連するパスワードは、起動時に暗号化され、構成ファイルに保管されます。秘密鍵のパスワードは、鍵ストアのパスワードと同一のものにしてください。

Connector Configurator による鍵の作成手順

Connector Configurator に搭載されるグラフィカル・ユーザー・インターフェースを使用して鍵と鍵ストアを作成するには、以下のステップを実行します。

  1. Connector Configurator 画面で、「セキュリティー」タブを選択します。このタブでは、エンドツーエンド・プライバシーの切り替え、プライバシー・レベルの設定、鍵の保守、およびアダプターのアクセス制御の設定を行うことができます。
  2. 「鍵の生成」ボタンを選択します。「鍵の生成」画面が表示されます。
  3. 以下の情報を入力して、鍵の作成処理を完了します。
  4. 以下の情報のいずれかを入力します。鍵を作成するために必要なのは 1 つの情報のみです。
  5. 「OK」ボタンを選択して鍵情報を保管します。

keytool を使用した鍵の作成手順

keytool を使用して鍵および鍵ストアを作成するには、以下のステップを実行します。

  1. JDK_HOME/bin ディレクトリーに格納されている keytool を開きます。
  2. 以下のコマンド行を入力して、サーバーの公開鍵と秘密鍵の記入項目を作成します。ここで、name は鍵ストア名、password は鍵ストアのパスワード、および IC.keystore は鍵ストアのファイル名と等しい値になります。


    keytool -genkey -alias name -keyalg RSA -keypass password -storepass password -keystore IC.keystore

  3. 以下のコマンド行を入力して、サーバーの公開鍵をファイルにエクスポートします。


    keytool -export -alias name -storepass password -file IC.cer -keystore IC.keystore

    注:
    アダプター・エージェントは、サーバーの公開鍵をエージェント自体の鍵ストアにインポートするときに、IC.cer ファイルをインポートします。
  4. 以下のコマンド行を入力して、アダプター・エージェントの公開鍵と秘密鍵の記入項目を作成します。ここで、connectorname は鍵ストア名、password は鍵ストアのパスワード、および Adapter.keystore は鍵ストアのファイル名と等しい値になります。


    keytool -genkey -alias connectorname -keyalg RSA -keypass password -storepass password -keystore Adapter.keystore

  5. 以下のコマンド行を入力して、アダプターの公開鍵をファイルにエクスポートします。


    keytool -export -alias connectorname -storepass password -file Adapter.cer -keystore Adapter.keystore

  6. 以下のコマンド行を入力し、アダプター・エージェントの鍵をサーバーの鍵ストアにインポートすることにより、プライバシー設定をオンに切り替えます。


    keytool -import -v -trustcacerts - alias connectorname -storepass password -file Adapter.cer -keystore IC.keystore

  7. 以下のコマンド行を入力して、サーバーの公開鍵をアダプター・エージェントの鍵ストアにインポートします。


    keytool -import -v -trustcacerts - alias connectorname.queue.manager -storepass password -file IC.cer -keystore Adapter.keystore

アダプターの公開鍵のエクスポート手順

アダプターの公開鍵をエクスポートするには、以下のステップを実行します。

  1. Connector Configurator 画面で、「セキュリティー」タブを選択します。
  2. 「アダプター公開鍵のエクスポート」ボタンを選択します。
  3. 「アダプター公開鍵のエクスポート」画面で、以下の情報を入力します。
  4. 「OK」ボタンを選択してアダプターの鍵をエクスポートします。

サーバーの公開鍵のインポート手順

サーバーの公開鍵をインポートするには、以下のステップを実行します。

  1. Connector Configurator 画面で、「セキュリティー」タブを選択します。
  2. 「サーバー公開鍵のインポート」ボタンを選択します。
  3. 「サーバー公開鍵のインポート」画面で、以下の情報を入力します。
  4. 「OK」ボタンを選択してサーバーの鍵をインポートします。

Copyright IBM Corp. 1997, 2004