Secure Sockets Layer (SSL) プロトコルの使用
WebSphere Partner Gateway - Express では、Secure Sockets Layer (SSL) プロトコルを使用してインバウンド文書とアウトバウンド文書を保護します。SSL は、インターネット上のセキュリティーを管理するために一般に使用されているプロトコルです。SSL では、ネットワーク接続によってリンクされた 2 つのアプリケーションが、アプリケーション間で交換されるデータを暗号化することによって他方の身元を認証できるようにすることにより、接続を保護します。
SSL 接続はハンドシェークによって開始されます。この段階では、アプリケーションどうしがデジタル証明書を交換し、使用する暗号化アルゴリズムについて同意し、セッションの残りの部分で使用される暗号化鍵を生成します。
SSL プロトコルには、以下のセキュリティー機能があります。
- サーバー認証: サーバーは、信頼できる認証局によって発行された自身のデジタル証明書を使用して、自身をクライアントに対して認証します。
- クライアント認証: オプションです。クライアントは、自身のデジタル証明書を提示することにより、サーバーに対して自身を認証するよう要求される場合があります。このタイプの認証方法は、相互認証とも呼ばれます。
- データ・プライバシー: すべてのクライアント要求およびサーバー応答を暗号化して、ネットワークを介して交換されるデータの機密性を保持します。
- データ保全性: クライアントとサーバーの間を流れるデータは、第三者による改ざんから保護されます。
以下のセクションでは、インバウンドのサーバーとクライアント認証、およびアウトバウンド・クライアント認証で SSL を使用する方法について説明します。
インバウンド・サーバー認証での鍵ストアの使用
インバウンド・クライアント認証でのトラストストアの使用
アウトバウンド・クライアント認証での鍵ペアの使用
HTTPS の使用可能化
インバウンド・サーバー認証での鍵ストアの使用
SSL 接続によってインバウンド文書を保護するための鍵ストアは、WebSphere Partner Gateway - Express 内部で自動的に生成してアップロードするか、アプリケーションの外部の場所からアップロードすることができます。その後、鍵ストアをダウンロードできます。
鍵ストアは、鍵と証明書を格納する保護されたデータベースです。参加者が鍵と証明書を持ち、SSL を使用する場合は、「インバウンド」ページを使用して鍵ストアを使用可能にすることができます。以下のトピックでは、インバウンド・サーバー認証での鍵ストアの使用方法について説明しています。
自己署名 SSL 鍵ストアの生成
SSL 鍵ストアのアップロード
SSL 鍵ストアのダウンロード
自己署名 SSL 鍵ストアの生成
以下の手順は、インバウンド文書を保護するために、WebSphere
Partner Gateway - Express を使用して自己署名 SSL 鍵ストアを生成する方法について説明しています。自己署名鍵ストアを生成すると、自動的に WebSphere Partner Gateway - Express にアップロードされます。
- 「セキュリティー」タブをクリックして「インバウンド」ページを表示します。ページが表示されない場合は、ナビゲーション・バーの「インバウンド」をクリックします。
- 「SSL 接続」行を探し、「生成」列で、「自己署名証明書の生成」アイコンをクリックします。「自己署名 SSL 鍵ストアの生成」の「インバウンド」ページが表示されます。
- 「インバウンド」ページの項目に入力します (表 11 を参照)。
- 「作成」ボタンをクリックします。自己署名鍵ストアがアップロードされ、「インバウンド」ページに表示されます。
表 11. 生成された自己署名 SSL 鍵ストアの「インバウンド」ページ
パラメーター |
説明 |
共通名 |
サーバーのホスト名を入力する。 |
組織 |
参加者の会社名を入力する。 |
組織単位 |
参加者が働く部門名を入力する。 |
所在地 |
参加者の勤務地の地域または市区町村を入力する。 |
都道府県 |
参加者の勤務地の都道府県を入力する。 |
国 |
参加者の勤務地の国名を入力する。 |
E メール・アドレス |
参加者の E メール・アドレスを入力する。 |
証明書の妥当性 |
鍵ストアが有効な日数を入力する。 |
鍵ストア・パスワード |
鍵ストアのパスワードを入力する。 |
秘密鍵パスワード |
秘密鍵パスワードを入力する。 |
SSL 鍵ストアのアップロード
WebSphere Partner Gateway - Express にアップロードする SSL 鍵ストアがある場合は、次の手順を実行します。
- 「セキュリティー」タブをクリックして「インバウンド」ページを表示します。ページが表示されない場合は、水平ナビゲーション・バーの「インバウンド」をクリックします。
- 「SSL 接続」行を探し、「アップロード」列で、「証明書/鍵の追加/更新」アイコンをクリックします。「インバウンド」ページが表示されます。
- 「インバウンド」ページの項目に入力します (表 12 を参照)。
- 「サブミット」ボタンをクリックします。鍵ストアがアップロードされ、「インバウンド」ページに表示されます。
表 12. アップロードされた SSL 鍵ストアの「インバウンド」ページ
パラメーター |
説明 |
鍵ストア・ファイル |
アップロードする鍵ストア・ファイルのパスと名前を入力する。または、「参照」ボタンをクリックし、アップロードする鍵ストア・ファイルを選択します。 |
鍵ストア・パスワード |
アップロードする鍵ストアの鍵ストア・パスワードを入力する。 |
鍵パスワード |
アップロードする鍵ストアの鍵パスワードを入力する。 |
SSL 鍵ストアのダウンロード
SSL 鍵ストアを WebSphere Partner Gateway - Express にアップロードした後は、次の手順を実行してカプセル化された公開証明書を鍵ストア・データベースにダウンロードできます。
- 「セキュリティー」タブをクリックして「インバウンド」ページを表示します。ページが表示されない場合は、水平ナビゲーション・バーの「インバウンド」をクリックします。
- 「SSL 接続」行を探し、「ダウンロード」列で、「公開証明書のダウンロード」アイコンをクリックします。ファイルのダウンロードのページが表示されます。
注:
ブラウザーのバージョンやファイアウォールの設定によっては、このダイアログ・ボックスで、ファイルを開くかディスクに保管するかを選択するよう求めるプロンプトが出されます。その場合は、「保管」のオプションを選択してください。
- 「保管」 (または同等のオプション) をクリックして「別名保管 (Save As)」ダイアログ・ボックスを表示し、証明書をダウンロードする場所を選択して、「保管」をクリックします。
インバウンド・クライアント認証でのトラストストアの使用
トラストストアは、サーバーによって提示された証明書を WebSphere
Partner Gateway - Express で検証するときに、クライアント認証のために使用されます。システムは、トラストストアにより、クライアントを信頼し、サイトへのクライアント・アクセスを許可するかどうかを確認できます。
「インバウンド」ページを使用することにより、クライアント認証のためにトラストストアをアップロードできます。トラストストアは、不要になった場合は削除することができます。
アップロードするトラストストアが作成されていない場合は、鍵ツールを使用して作成できます。以下のセクションでは、そのための手順を説明します。
重要:
クライアント認証を使用可能にするには、まず <ProductDir>/jaclScripts にある bcgClientAuth.jacl スクリプトを実行する必要があります。スクリプトを呼び出す場合の指示は、スクリプト自体に含まれています。
鍵ツールの使用
鍵ツールは、鍵と証明書の管理ユーティリティーです。これにより、デジタル署名を使用して、自己認証 (WebSphere
Partner Gateway - Express が他のエンティティーやサービスに対して自身を認証) またはデータ保全性や認証サービスで使用する鍵を作成できます。また、通信ピアの公開鍵を (証明書の形式で) キャッシュに入れることもできます。
鍵ツールは、トラストストアに証明書を保管します。デフォルトのトラストストア実装では、鍵ストアをファイルとして実装します。一度ファイルを作成したら、クライアント認証用トラストストアのアップロードの説明にある手順を使用して WebSphere Partner Gateway
- Express にファイルをアップロードできます。
以下の手順では、トラストストアの作成、トラストストアへの証明書の登録、トラストストアへの証明書の追加、およびトラストストアからの証明書の削除を目的とした鍵ツールの使用方法について説明します。これらの手順を実行するために使用されるコマンドは、Java がインストールされたシステムから実行することができます。便宜上、鍵ツールは WebSphere Partner Gateway - Express CD の was¥java¥jre¥bin ディレクトリーに収録されています。
注:
WebSphere Partner Gateway - Express に組み込まれている GUI である IKEYMAN も使用できます。これを使用すると、証明書をトラストストア内で管理できます。IKEYMAN 実行可能ファイルは、was¥bin ディレクトリーに置かれています。
トラストストアの作成
トラストストアを作成するには、次の手順を実行します。
- コマンド・プロンプト・ウィンドウを開き、現行ディレクトリーを keytool.exe ファイルの場所に設定します。
- 以下のコマンドを実行します。
keytool -genkey -keystore <truststore filename> -storetype PKCS12
トラストストア内の証明書のリスト
トラストストア内の証明書をリストするには、次の手順を実行します。
- コマンド・プロンプト・ウィンドウを開き、現行ディレクトリーを keytool.exe ファイルの場所に設定します。
- 以下のコマンドを実行します。
keytool -list -v -keystore <truststore>
- 鍵ツールによってトラストストア・パスワードの入力を求めるプロンプトが出されたら、適切なパスワードを入力してトラストストア内の証明書をリストします。
トラストストアへの証明書の追加
トラストストアに証明書を追加するには、次の手順を実行します。
- コマンド・プロンプト・ウィンドウを開き、現行ディレクトリーを keytool.exe ファイルの場所に設定します。
- 以下のコマンドを実行します。このコマンドでは、別名オプションにより、覚えやすい名前を証明書に割り当てることができます。これにより、将来リストするときに、トラストストアのエントリーを用意に識別することができます。
keytool -import -keystore <truststore> -file <certificate file> -trustcacerts -alias <cert name>
- 鍵ツールによってトラストストア・パスワードの入力を求めるプロンプトが出されたら、適切なパスワードを入力してトラストストアに証明書を追加します。
トラストストアからの証明書の除去
トラストストアから証明書を除去するには、次の手順を実行します。
- コマンド・プロンプト・ウィンドウを開き、現行ディレクトリーを keytool.exe ファイルの場所に設定します。
- 以下のコマンドを実行します。
keytool -delete -alias <cert name> -keystore truststore
- 鍵ツールによってトラストストア・パスワードの入力を求めるプロンプトが出されたら、適切なパスワードを入力してトラストストアから証明書を除去します。
クライアント認証用トラストストアのアップロード
トラストストアが作成されたら、次の手順を実行してインバウンド文書のクライアント認証用にアップロードします。
- 「セキュリティー」タブをクリックして「インバウンド」ページを表示します。ページが表示されない場合は、ナビゲーション・バーの「インバウンド」をクリックします。
- 「選択された参加者」ドロップダウン・メニューで、トラストストアをアップロードする対象の参加者を選択します。
- 「クライアント認証」行を探し、「アップロード」列で、「証明書/鍵の追加/更新」アイコンをクリックします。「クライアント認証のトラストストアのアップロード」の「インバウンド」ページが表示されます。
- このページの記入項目にすべて入力します (表 13 を参照)。
- 「サブミット」ボタンをクリックします。トラストストアがアップロードされ、「インバウンド」ページに表示されます。
表 13. アップロードされたクライアント認証用トラストストアの「インバウンド」ページ
パラメーター |
説明 |
トラストストア・ファイル |
アップロードするトラストストア・ファイルのパスと名前を入力する。または、「参照」ボタンをクリックし、アップロードするトラストストア・ファイルを選択します。 |
トラストストア・パスワード |
トラストストアのパスワードを入力する。 |
アウトバウンド・クライアント認証での鍵ペアの使用
アウトバウンド文書の場合は、クライアント認証により WebSphere Partner Gateway - Express が自身をリモート・サーバーに対して示します。以下のトピックでは、アウトバウンド・クライアント認証での鍵ペアの使用方法について説明しています。
自己署名 SSL クライアント証明書鍵ペアの生成
クライアント認証鍵ペアのアップロード
クライアント認証用クライアント証明書のダウンロード
自己署名 SSL クライアント証明書鍵ペアの生成
以下の手順は、WebSphere
Partner Gateway - Express を使用して自己署名 SSL クライアント証明書鍵ペアを生成する方法について説明しています。自己署名 SSL クライアント証明書鍵ペアを生成すると、自動的に WebSphere Partner Gateway - Express にアップロードされます。
- 「セキュリティー」タブをクリックし、ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
- 「選択された参加者」ドロップダウン・メニューで、自己署名鍵ペアを生成する対象となる参加者を選択します。
- 「クライアント認証」行を探し、「生成」列で、「自己署名証明書の生成」アイコンをクリックします。「アウトバウンド」ページが表示されます。
- 「アウトバウンド」ページの項目に入力します (表 14 を参照)。
- 「作成」ボタンをクリックします。自己署名鍵ストアがアップロードされ、「アウトバウンド」ページに表示されます。
表 14. 生成された自己署名 SSL クライアント証明書鍵ペアの
「アウトバウンド」ページ
パラメーター |
説明 |
共通名 |
サーバーのホスト名を入力する。 |
組織 |
参加者の会社名を入力する。 |
組織単位 |
参加者が働く部門名を入力する。 |
所在地 |
参加者の勤務地の地域または市区町村を入力する。 |
都道府県 |
参加者の勤務地の都道府県を入力する。 |
国 |
参加者の勤務地の国名を入力する。 |
E メール・アドレス |
参加者の E メール・アドレスを入力する。 |
証明書の妥当性 |
鍵ペアが有効な日数を入力する。 |
秘密鍵パスワード |
秘密鍵パスワードを入力する。 |
クライアント認証鍵ペアのアップロード
クライアント認証鍵ペアをアップロードしてこのクライアントをリモート SSL 使用可能ホストに対して識別するには、次の手順を実行します。
- 「セキュリティー」タブをクリックし、ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
- 「選択された参加者」ドロップダウン・メニューで、鍵ペアをアップロードする対象となる参加者を選択します。
- 「クライアント認証」行を探し、「アップロード」列で、「証明書/鍵の追加/更新」アイコンをクリックします。「クライアント証明書鍵ペアのアップロード (Upload Client Certificate Keypair)」の「アウトバウンド」ページが表示されます。
- 「アウトバウンド」ページの「公開証明書」の記入項目にのみ記入します (表 15 を参照)。
- 「サブミット」ボタンをクリックします。鍵ペアがアップロードされ、「アウトバウンド」ページに表示されます。
表 15. クライアント認証鍵ペアの「アウトバウンド」ページ
パラメーター |
説明 |
公開証明書 |
アップロードする公開証明書ファイルのパスと名前を入力する。または、「参照」ボタンをクリックし、アップロードする公開証明書ファイルを選択します。 |
クライアント認証用クライアント証明書のダウンロード
鍵ペアを WebSphere Partner Gateway
- Express にアップロードした後は、次の手順を実行して公開証明書をダウンロードできます。この公開証明書は、パートナーに E メールで送信して、パートナーのトラストストア内に取り込むことができます。
- 「セキュリティー」タブをクリックし、ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
- 「選択された参加者」ドロップダウン・メニューで、ダウンロードする鍵ペアを所有する参加者を選択します。
- 「クライアント認証」行を探し、「ダウンロード」列で、「公開証明書のダウンロード」アイコンをクリックします。ファイルのダウンロードのページが表示されます。
注:
ブラウザーのバージョンやファイアウォールの設定によっては、このダイアログ・ボックスで、ファイルを開くかディスクに保管するかを選択するよう求めるプロンプトが出されます。その場合は、「保管」のオプションを選択してください。
- 「保管」 (または同等のオプション) をクリックして「別名保管 (Save As)」ダイアログ・ボックスを表示し、鍵ペアをダウンロードする場所を選択して、「保管」をクリックします。
HTTPS の使用可能化
以下の手順は、HTTPS を使用可能にする方法について説明しています。
- 「構成」タブをクリックし、ナビゲーション・バーの「ユーザー・プロファイル」をクリックします。「ユーザー・プロファイルの管理」ページが表示されます。
- 「編集」ボタンをクリックして、「ユーザー・プロファイルの管理」編集ページを開きます。
- 「受取アドレス」セクションの「セキュア」フィールド (「ドメイン」の下) で、ドメイン名を入力し、対応する「ポート」フィールドに使用可能な HTTPS ポート番号を入力します。
- 必要に応じて、「会社 AS2 ID」と「会社の詳細」の下のフィールドに値を入力し、「保管」をクリックします。
- 「構成」タブをクリックし、ナビゲーション・バーの「参加者の管理」をクリックします。「参加者の管理」ページが表示されます。
- HTTPS を使用可能にする参加者の「編集」をクリックします。「参加者の編集」ページが表示されます。
- 「HTTPS」チェック・ボックスにチェック・マークを付け、「保管」をクリックします。
