ソース・アダプターを離れた時点から、InterChange Server
を通過して宛先アダプターに到着するまで、システム上のメッセージとビジネス・データのセキュリティーは重要です。すべてのセキュア・システムにとっては、エンドポイント検証が重要です。IBM
WebSphere InterChange Server
は、情報フローの各エンドポイントでセキュリティーを確保し、エンドツーエンドで情報を保護します。
InterChange Server でのビジネス通信の大部分は、JMS や MQ Series
などの非同期システムを介して伝送されるので、処理を待っている間、メッセージはキュー・マネージャーのディスクに保管されます。エンドツーエンド・プライバシーにより、メッセージはこのレベルで保護されます。
エンドツーエンド・プライバシーを使用してメッセージを保護するには、該当する構成ファイルでこの機能をアクティブ化する必要があります。エンドツーエンド・プライバシーは、個々のアダプターごとにオンとオフを切り替えることができます。
System Manager を使用するエンドツーエンド・プライバシーの構成は InterChange
Server からアダプターへのメッセージにのみ影響し、一方 Connection Configurator
を使用するアダプターの構成はアダプターから InterChange Server
へのメッセージにのみ影響することに注意してください。
- 注:
- エンドツーエンド・プライバシーの概念と機能の詳細については、「テクニカル入門
(IBM WebSphere InterChange Server)」を参照してください。
このセクションの内容は次のとおりです。
"System Manager によるエンドツーエンド・プライバシーのアクティブ化手順"
"Connector Configurator によるエンドツーエンド・プライバシーのアクティブ化手順"
"System Manager によるプライバシー構成の変更手順"
"Connector Configurator によるプライバシー構成の変更手順"
"鍵および鍵ストアの管理"
System Manager
を使用してエンドツーエンド・プライバシーをアクティブ化するには、以下のステップを実行します。
- 「プライバシー」タブで、鍵ストアへのパスを入力します。鍵ストアの詳細については、鍵および鍵ストアの管理を参照してください。
- 鍵ストアのパスワードを入力します。
- 特定のプライバシー設定をインポートするには、「プライバシー設定のインポート」ボタンを選択し、選択可能なコネクターの
1
つを選択します。これにより、特定のコネクターの構成ファイルで指定されたプライバシー設定が読み込まれます。
- 一般のプライバシー設定を設定するには、ドロップダウン・リストからメッセージ・タイプを選択します。使用可能な選択項目は、以下のとおりです。
- ドロップダウン・リストからセキュリティー・レベルを選択します。使用可能な選択項目は、以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- 例えば、「システム Test Connector (System Test
Connector)」や「宛先コネクター (Destination
Connector)」などのメッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクターに設定されている場合にのみ使用される、オプションの区別です。
- 個々のビジネス・オブジェクトにプライバシー設定を設定するには、ビジネス・オブジェクトの名前を入力するか、選択可能なリストからビジネス・オブジェクトを選択します。
- ドロップダウン・リストからセキュリティー・レベルを選択します。使用可能な選択項目は、以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- 例えば、「システム Test Connector (System Test
Connector)」や「宛先コネクター (Destination
Connector)」などのメッセージの宛先を選択します。これは、エンドツーエンド・プライバシーが特定のコネクターに設定されている場合にのみ使用される、オプションの区別です。
エンドツーエンド・プライバシーをアクティブ化するには、以下のステップを実行します。
- 「Connector Configurator」タブで、「サポート」タブを選択します。
- リスト表示から、「プライバシー」見出しの下のドロップダウン・リストを選択し、個々のビジネス・オブジェクトに適切なプライバシー・レベルを割り当てます。使用可能な選択項目は、以下のとおりです。
- なし
- プライバシー
- 保全性
- 保全性およびプライバシー (Integrity plus Privacy)
- 接続構成を保管して、プライバシー設定をアクティブ化します。
System Manager
を使用してエンドツーエンド・プライバシーのパラメーターを変更するには、以下のステップを実行します。
- 「プライバシー」タブで、以下の情報を更新します。
- 鍵ストア・パス
- 鍵ストア・パスワード
- 一般プライバシー設定
- 個々のビジネス・オブジェクトのプライバシー設定
Connector Configurator
を使用してエンドツーエンド・プライバシーのパラメーターを変更するには、以下のステップを実行します。
- 「セキュリティー」タブで、任意のビジネス・オブジェクトのプライバシー設定を個々に更新します。
- コネクター構成を保管します。
鍵ストアは、プライバシー検証で使用される公開鍵と秘密鍵を安全に保管するためのパスワードによる保護ファイルです。鍵ストアは、サーバー用と個々のアダプター用が用意されています。IBM
WebSphere InterChange Server には、InterChange Server
の秘密鍵と公開鍵の鍵ストア、および各アダプターの公開鍵が保管されています。個々のアダプターの鍵ストアには、アダプターの秘密鍵と公開鍵の鍵ストア、および
InterChange Server の公開鍵が保管されています。
鍵ストアへの絶対パスと関連するパスワードは、起動時に暗号化され、構成ファイルに保管されます。秘密鍵のパスワードは、鍵ストアのパスワードと同一のものにしてください。
Connector Configurator
に搭載されるグラフィカル・ユーザー・インターフェースを使用して鍵と鍵ストアを作成するには、以下のステップを実行します。
- Connector Configurator
画面で、「セキュリティー」タブを選択します。このタブでは、エンドツーエンド・プライバシーの切り替え、プライバシー・レベルの設定、鍵の保守、およびアダプターのアクセス制御の設定を行うことができます。
- 「鍵の生成」ボタンを選択します。「鍵の生成」画面が表示されます。
- 以下の情報を入力して、鍵の作成処理を完了します。
- 証明書関連
- 生成アルゴリズム
- 出力鍵ストア
- 鍵ストア・パスワード
- 秘密鍵パスワード
- その他の任意の鍵オプション
- 以下の情報のいずれかを入力します。鍵を作成するために必要なのは 1
つの情報のみです。
- 鍵の共通名
- 組織単位
- 組織名
- 地域名
- 都道府県名
- 国名
- 「OK」ボタンを選択して鍵情報を保管します。
keytool
を使用して鍵および鍵ストアを作成するには、以下のステップを実行します。
- JDK_HOME/bin ディレクトリーに格納されている keytool を開きます。
- 以下のコマンド行を入力して、サーバーの公開鍵と秘密鍵の記入項目を作成します。ここで、name
は鍵ストア名、password は鍵ストアのパスワード、および
IC.keystore は鍵ストアのファイル名と等しい値になります。
keytool -genkey -alias name -keyalg RSA -keypass password -storepass
password -keystore IC.keystore
- 以下のコマンド行を入力して、サーバーの公開鍵をファイルにエクスポートします。
keytool -export -alias name -storepass password -file IC.cer
-keystore IC.keystore
- 注:
- アダプター・エージェントは、サーバーの公開鍵をエージェント自体の鍵ストアにインポートするときに、IC.cer
ファイルをインポートします。
- 以下のコマンド行を入力して、アダプター・エージェントの公開鍵と秘密鍵の記入項目を作成します。ここで、connectorname
は鍵ストア名、password は鍵ストアのパスワード、および
Adapter.keystore
は鍵ストアのファイル名と等しい値になります。
keytool -genkey -alias connectorname -keyalg RSA -keypass password
-storepass password -keystore Adapter.keystore
- 以下のコマンド行を入力して、アダプターの公開鍵をファイルにエクスポートします。
keytool -export -alias connectorname -storepass password -file
Adapter.cer -keystore Adapter.keystore
- 以下のコマンド行を入力し、アダプター・エージェントの鍵をサーバーの鍵ストアにインポートすることにより、プライバシー設定をオンに切り替えます。
keytool -import -v -trustcacerts - alias connectorname -storepass
password -file Adapter.cer -keystore IC.keystore
- 以下のコマンド行を入力して、サーバーの公開鍵をアダプター・エージェントの鍵ストアにインポートします。
keytool -import -v -trustcacerts - alias
connectorname.queue.manager -storepass password -file
IC.cer -keystore Adapter.keystore
アダプターの公開鍵をエクスポートするには、以下のステップを実行します。
- Connector Configurator 画面で、「セキュリティー」タブを選択します。
- 「アダプター公開鍵のエクスポート」ボタンを選択します。
- 「アダプター公開鍵のエクスポート」画面で、以下の情報を入力します。
- 出力証明書
- 入力鍵ストア
- 鍵ストア・パスワード
- 証明書関連
- その他の任意の鍵オプション
- 「OK」ボタンを選択してアダプターの鍵をエクスポートします。
サーバーの公開鍵をインポートするには、以下のステップを実行します。
- Connector Configurator 画面で、「セキュリティー」タブを選択します。
- 「サーバー公開鍵のインポート」ボタンを選択します。
- 「サーバー公開鍵のインポート」画面で、以下の情報を入力します。
- 出力鍵ストア
- 入力証明書
- 鍵ストア・パスワード
- 秘密鍵パスワード
- 証明書関連
- その他の任意の鍵オプション
- 「OK」ボタンを選択してサーバーの鍵をインポートします。
