デジタル証明書のアップロード

デジタル証明書とは、運転免許証やパスポートと同様の、オンラインの身分証明書のことです。デジタル証明書を使用して、個人または組織を識別することができます。

デジタル署名とは、公開鍵暗号方式を使用した電子文書に基づいた計算のことです。この処理によって、デジタル署名は署名される文書および署名者と結合されるため、複製することはできません。連邦政府のデジタル署名法案が通過したことにより、デジタル署名のある電子取引には、手書きで署名された取り引きと同等の法的効力があります。

WebSphere Partner Gateway はデジタル証明書を使用して、コミュニティー・マネージャーと参加者間で行われるビジネス文書トランザクションが信頼できるものであるかどうかを検証します。また、暗号化と暗号化解除にも使用されます。

アウトバウンド文書の 1 次証明書と 2 次証明書を指定して、文書交換が中断されないようにすることができます。1 次証明書はすべてのトランザクションで使用します。2 次証明書は、1 次証明書が期限切れになったり失効したりした場合に使用します。

デジタル証明書は、構成処理時にアップロードされ、識別されます。

証明書の有効期限が切れていたり失効していたりすると、証明書は使用不可になり、コンソールにその状態が反映されます。1 次証明書が期限切れになったり失効したりすると、使用不可になり、2 次証明書が 1 次証明書として設定されます。証明書が期限切れになったり失効したりすると、イベントが生成されます。

選択した証明書タイプを基にした「証明書の使用」オプションを使用できます。ハブ・オペレーター・プロファイルでは、デジタル署名または SSL クライアント証明書に対して「証明書の使用」を設定できます。参加者プロファイルでは、暗号化証明書に対して「証明書の使用」を設定できます。 例えばハブ・オペレーター・プロファイル内でのデジタル署名と暗号化のように、同じ証明書が異なる目的で使用されることになっている場合は、デジタル署名のために 1 度と、暗号化証明書のために 1 度の、合わせて 2 度ロードする必要があります。ただし、証明書がデジタル署名と SSL クライアントに使用される場合は、同一の証明書項目内で対応するチェック・ボックスを設定できます。

このような証明書は、デジタル署名のために 1 度と、SSL クライアントのために 1 度の、合わせて 2 度ロードすることもできます。その場合、2 次証明書用に、同一のパターンがロードされる必要があります。例えば、1 次証明書が、デジタル署名用と SSL クライアント用の異なる証明書としてロードされた場合、2 次証明書も (同一の証明書であっても) 異なる証明書項目としてロードする必要があります。

完全な certpath を構築して検証するには、証明書チェーン内の証明書すべてをアップロードする必要があります。例えば、証明書チェーンに A -> B -> C -> D (A -> B は、A が B の発行者という意味) という証明書がある場合は、証明書 A、B、および C はルート証明書としてアップロードしてください。証明書の 1 つが使用不可の場合は、certpath が構築されず、トランザクションは正常に行われません。CA 証明書は、認証局が保持する証明書リポジトリーから取得するか、証明書を供給したパートナーから取得することができます。ルート証明書および中間証明書は、ハブ・オペレーター・プロファイルでのみアップロードできます。

注:
以下のセクションの手順を実行する場合は、先に証明書をシステムにロードしておく必要があります。証明書のロードの詳細については、「ハブ構成ガイド」を参照してください。

証明書の有効期限がもうすぐ切れることを通知する証明書有効期限アラートを作成できます。詳しくは、アラートの作成と連絡先の追加を参照してください。有効期限が切れた証明書は IBM WebSphere Partner Gateway データベースに保管されます。システムから削除することはできません。

証明書の用語

認証局 (CA)。メッセージ暗号化用のセキュリティー信任状と公開鍵を発行し、管理する機関。個人または会社がデジタル証明書を要求すると、CA は登録局 (RA) に確認し、個人または会社から提出された情報を検査します。RA が処理依頼された情報を検証すると、CA は証明書を発行します。

CA には、VeriSign、Thawte などがあります。

デジタル証明書。デジタル証明書は、電子版の ID カードです。インターネットを介して B2B トランザクションを行うとき、デジタル証明書はユーザーの身元を保証します。デジタル証明書は認証局 (CA) から取得され、次の 3 つの部分から構成されます。

デジタル署名。秘密鍵で作成されたデジタル・コード。デジタル署名により、ハブ・コミュニティーのメンバーは、シグニチャーを検証して伝送を認証できます。ファイルに署名すると、ファイルの内容と秘密鍵に固有のデジタル・コードが作成されます。シグニチャーの検証には公開鍵が使用されます。

暗号化。情報を加工し、意図された受信者以外には読めないようにする方法。受信者は読むために、情報の暗号化を解除する必要があります。

暗号化解除。暗号化された情報の加工を解除し、もう一度読めるようにする方法。暗号化解除には受信者の秘密鍵が使用されます。

。ファイルの暗号化、署名、暗号化解除、および検証に使用されるデジタル・コード。鍵は秘密鍵と公開鍵の鍵ペアで使用されます。

否認防止。以前の関与またはアクションが否認されないようにすること。B2B 電子トランザクションでは、デジタル署名を使用して送信側を検証し、トランザクションのタイム・スタンプを設定します。否認防止により、関係者はトランザクションが許可されていない、または無効であると主張できないようになります。

秘密鍵。鍵ペアの秘密部分。この鍵は情報の署名と暗号化解除に使用されます。ユーザーの秘密鍵にはユーザーしかアクセスできません。文書の内容に基づく固有のデジタル署名生成にも、秘密鍵が使用されます。

公開鍵。鍵ペアの公開部分。この鍵は情報の暗号化とシグニチャーの検証に使用されます。公開鍵はハブ・コミュニティーのほかのメンバーに配布できます。他人の公開鍵を知っても、対応する秘密鍵を見つけることはできません。

自己署名鍵。所有権を証明するため、対応する秘密鍵で署名された公開鍵。

X.509 証明書。通信ネットワーク上で身元と公開鍵の所有権の証明に使用されるデジタル証明書。証明書には、発行者の名前 (つまり、CA)、ユーザーの識別情報、および発行者のデジタル署名が入っています。

証明書は組織、および証明書が有効である期間を識別します。

証明書のタイプとサポートされているフォーマット

すべての証明書は DER フォーマットまたは ASCII Privacy Enhanced Mail (PEM) フォーマットにする必要があります。証明書は、一方のフォーマットから他方のフォーマットに変換できます。

証明書にはいくつかのタイプがあります。

SSL サーバーとクライアントの認証

クライアント認証が必要とされないのは、次の場合です。

クライアント認証が必要とされるのは、次の場合です。

デジタル証明書のロードと定義

  1. 「アカウント管理」 > 「プロファイル」 > 「証明書」をクリックします。「証明書リスト」画面が表示されます。
  2. 画面の右上隅にある「証明書のロード」をクリックします。「新規証明書の作成」画面が表示されます。
  3. 証明書タイプとして「デジタル署名の検証」、「暗号化」、「SSL クライアント」のいずれかを選択します。複数のデジタル署名と SSL 証明書をアップロードできます。しかし、暗号化証明書は 1 つしかアップロードできません。
  4. 「証明書」テキスト・ボックスの証明書の「説明」フィールドに、固有の名前を入力します。
  5. 「使用可能」または「使用不可」を選択します。
  6. 「参照」をクリックし、デジタル証明書にナビゲートします。
  7. CPS 参加者などのゲートウェイ・タイプを選択します (SSL 証明書のみ)。この機能では、宛先に基づいて証明書を選択できます。
  8. 「証明書の使用」タイプを選択します。
  9. 「アップロード」をクリックします。

Copyright IBM Corp. 2003, 2005