デジタル署名の構成と検証

デジタル署名は、確実に否認防止を行うための仕組みです。否認防止は、参加者が発信元となってメッセージを送信したことを、参加者が否定できないようにする (「発信元とコンテンツの否認防止」と呼ばれる) サービスです。また、参加者がメッセージを受信したことを否定することができない (「受信の否認防止」と呼ばれる) ようにもします。公開鍵暗号化を使用する認証システムでは、デジタル署名を使用して証明書に署名します。

オリジネーターは、デジタル署名によってメッセージに署名することにより、その署名が確かにそのエンティティーによって付され、従って署名されて以来メッセージに変更が加えられていないことを確証することができます。WebSphere Partner Gateway - Express では、デジタル署名を使用して、インバウンドとアウトバウンドの文書を保護します。

以下のセクションでは、アウトバウンド・デジタル署名を構成する方法、およびインバウンド文書のデジタル署名検証の方法について説明します。

アウトバウンド文書のデジタル署名の構成

アウトバウンド文書のデジタル署名を構成するには、まず文書の署名鍵ペアを作成またはアップロードし、次に取引先に送信する鍵ペアの公開鍵部分をダウンロードする必要があります。文書の署名鍵ペアは、自己署名した新規文書署名鍵ペアを生成するか、既存の文書署名鍵ペアをアップロードすることによって作成できます。以下のセクションでは、アウトバウンド文書のデジタル署名の構成方法について説明します。

自己署名文書署名鍵ペアの生成

既存の文書署名鍵ペアのアップロード

文書署名公開証明書のダウンロード

自己署名文書署名鍵ペアの生成

以下の手順は、WebSphere Partner Gateway - Express を使用して新規の自己署名文書署名鍵ペアを生成する方法について説明しています。

注:
文書署名鍵ペアがすでにある場合は、既存の文書署名鍵ペアのアップロードを参照してください。

自己署名文書署名鍵ペアを生成すると、自動的に WebSphere Partner Gateway - Express にアップロードされます。アウトバウンド文書を保護するための自己署名文書署名鍵ペアを生成するには、次の手順を実行します。

  1. 「セキュリティー」タブをクリックし、ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
  2. 「選択された参加者」ドロップダウン・メニューで、自己署名鍵ペアを生成する対象となる参加者を選択します。
  3. 「検証」行を探し、「生成」列で、「自己署名証明書の生成」アイコンをクリックします。「アウトバウンド」ページが表示されます。
  4. 「アウトバウンド」ページの項目に入力します (表 9 を参照)。
  5. 「作成」ボタンをクリックします。自己署名鍵ペアがアップロードされ、「アウトバウンド」ページに表示されます。
    注:
    役割は、「検証」から「署名」に変化します。
    表 9. 生成された自己署名文書署名鍵ペアの
    「アウトバウンド」ページ
    パラメーター 説明

    共通名

    サーバーのホスト名を入力する。

    組織

    参加者の会社名を入力する。

    組織単位

    参加者が働く部門名を入力する。

    所在地

    参加者の勤務地の地域または市区町村を入力する。

    都道府県

    参加者の勤務地の都道府県を入力する。

    参加者の勤務地の国名を入力する。

    E メール・アドレス

    参加者の E メール・アドレスを入力する。

    証明書の妥当性

    鍵ペアが有効な日数を入力する。

    秘密鍵パスワード

    秘密鍵パスワードを入力する。

既存の文書署名鍵ペアのアップロード

アウトバウンド文書を保護するための文書署名鍵ペアをアップロードするには、次の手順を実行します。

注:
これらの指示は、文書署名鍵ペアがすでに存在している場合にのみ使用してください。それ以外の場合については、自己署名文書署名鍵ペアの生成を参照してください。

  1. 「セキュリティー」タブをクリックし、ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
  2. 「選択された参加者」ドロップダウン・メニューで、鍵ペアをアップロードする対象となる参加者を選択します。
  3. 「署名」行を探し、「アップロード」列で、「証明書/鍵の追加/更新」ボタンをクリックします。「文書署名鍵ペアのアップロード」ページが表示されます。
  4. このページの記入項目にすべて入力します (表 10 を参照)。
  5. 「サブミット」ボタンをクリックします。鍵ペアがアップロードされ、「アウトバウンド」ページに表示されます。
    表 10. 文書署名鍵ペアの「アウトバウンド」ページ
    パラメーター 説明

    秘密鍵ファイル

    秘密鍵ファイルは、PKCS#8 形式にする必要があります。秘密鍵ファイルが PKCS#8 形式で存在していない場合、PrivateKey ファイル・アップロード・フィールドに PKCS#12 ファイルがアップロードされていれば、PKCS12 タイプのファイルから秘密鍵が取り出されます。アップロードする秘密鍵ファイルのパスと名前を入力する。または、「参照」ボタンをクリックし、アップロードする秘密鍵ファイルを選択します。

    秘密鍵パスワード

    秘密鍵パスワードを入力する。

    公開証明書

    公開証明書は、DER 形式にする必要があります。アップロードする公開証明書ファイルのパスと名前を入力する。または、「参照」ボタンをクリックし、アップロードする公開証明書ファイルを選択します。

文書署名公開証明書のダウンロード

文書署名鍵ペアを WebSphere Partner Gateway - Express にアップロードした後は、パートナーに送信する前に鍵ペアの公開証明書をダウンロードする必要があります。パートナーが WebSphere Partner Gateway - Express を使用している場合は、パートナーが認証権限のリストに文書署名証明書をロードすることが期待されます (新規証明書の追加を参照)。

  1. 「セキュリティー」タブをクリックし、水平ナビゲーション・バーの「アウトバウンド」をクリックします。「アウトバウンド」ページが表示されます。
  2. 「選択された参加者」ドロップダウン・メニューで、ダウンロードの対象となる文書署名公開証明書を所有する参加者を選択します。
  3. 「署名」行を探し、「ダウンロード」列で、「公開証明書のダウンロード」ボタンをクリックします。ファイルのダウンロードのページが表示されます。
    注:
    ブラウザーのバージョンやファイアウォールの設定によっては、このダイアログ・ボックスで、ファイルを開くかディスクに保管するかを選択するよう求めるプロンプトが出されます。その場合は、「保管」のオプションを選択してください。
  4. 「保管」 (またはその同等オプション) をクリックして、「別名保管 (Save As)」ダイアログ・ボックスを表示します。
  5. 文書署名公開証明書をダウンロードする場所を選択し、ファイル名を適切な名前に変更して、「保管」をクリックします。
  6. 保管ファイルを取引先に送信します。

インバウンド文書のデジタル署名検証の構成

取引先がデジタル署名した文書をユーザーに送信する場合、ユーザーはその取引先の公開署名証明書を取得して、「認証権限」タブに追加する必要があります。この方法を以下の手順で説明します。

  1. 「セキュリティー」タブをクリックし、ナビゲーション・バーの「認証権限」をクリックします。「認証権限」ページが表示されます。
  2. 「新規証明書の追加」ボタンをクリックします。
  3. 追加する公開証明書ファイルのパスと名前を入力します。または、「参照」ボタンをクリックし、追加する公開証明書ファイルを選択します。
  4. 「サブミット」をクリックして、認証権限の証明書ファイルのリストにファイルを追加します。

デジタル署名の使用可能化

デジタル署名を使用可能にするには、次の手順を実行します。

  1. 「構成」タブをクリックし、ナビゲーション・バーの「AS2」をクリックします。
  2. 「選択された参加者」ドロップダウン・メニューで、暗号化を使用可能にするアウトバウンド文書を所有する参加者を選択します。
  3. 「編集」ボタンをクリックします。「AS2 の管理」編集ページが表示されます。
  4. 「アウトバウンド」セクションで、「文書への署名」チェック・ボックスを選択し、「保管」をクリックします。

Copyright IBM Corp. 2003, 2005