セキュリティーの用語と概念

ここでは、セキュリティーのタイプ、証明書の生成とアップロードに使用するツール、および WebSphere Partner Gateway でインストールされるデータ・ストアのタイプについて概説します。

WebSphere Partner Gateway で使用されるセキュリティーのメカニズムとプロトコル

ここでは、SSL、デジタル署名、および暗号化について説明します。

SSL

WebSphere Partner Gateway では、SSL を使用して インバウンドおよびアウトバウンド文書を保護することができます。 インバウンド文書とは、ハブに送信される文書のことです。アウトバウンド文書とは、ハブから送信される文書のことです。

SSL は、インターネットのセキュリティーを管理するためによく利用されるプロトコルです。 SSL では、ネットワーク接続を介してリンクされている 2 つのアプリケーションが互いに相手の ID を認証できるようにし、データ機密性とデータ保全性を確実にすることによって、接続の安全性を確保しています。

クライアントが HTTP ベースの SSL 接続を開始する場合は必ず、http:// ではなく https:// で始まる URL が使用されます。SSL 接続はハンドシェークによって開始されます。このステージでアプリケーションは、デジタル証明書を交換し、使用する暗号化アルゴリズムに同意して、残りのセッションで使用される暗号鍵を生成します。

注:
  1. WebSphere Partner Gateway では、RC2 および TripleDES アルゴリズムがサポートされています。RC5 アルゴリズムはサポートされません。以前のリリースで RC5 アルゴリズムを使用していた場合は、サポートされているアルゴリズムに切り替えてください。
  2. WebSphere Partner Gateway では、AES および DES アルゴリズムもサポートされています。これらのアルゴリズムは、bcg.properties ファイルまたは SecurityService API で設定できます。bcg.properties ファイルについては、「管理者ガイド」を参照してください。セキュリティー・サービスについては、「プログラマーズ・ガイド」を参照してください。

SSL プロトコルには、以下のセキュリティー機能があります。

デジタル署名

デジタル署名は、否認防止を保証するメカニズムです。 否認防止とは、参加者がメッセージを生成して送信したことを否認できないことを意味します。 また、参加者はメッセージを受信したことも否認できません。

デジタル署名の場合、オリジネーターはメッセージに署名できるため、オリジネーターが実際にメッセージを送信したユーザーとして証明されます。また、メッセージが、署名された後に変更されていないことも保証されます。

WebSphere Partner Gateway は、PKCS#7 SignedData の 分離型デジタル署名フォーマットをビジネス・プロトコルの一部としてサポートしています。

暗号化

WebSphere Partner Gateway は、公開鍵暗号化と呼ばれる暗号システムを使用して、参加者とハブの間の通信を保護します。公開鍵暗号化では、数学的に関連した鍵のペアが使用されます。 最初の鍵で暗号化された文書は、2 番目の鍵を使用して暗号化解除する必要があります。また、2 番目の鍵で暗号化された文書は、最初の鍵を使用して暗号化解除する必要があります。

公開鍵システムの各参加者は、鍵のペアを持ちます。 1 つの鍵は秘密にされ、秘密鍵となります。 もう 1 つの鍵は、必要とするユーザーに配布され、公開鍵となります。 WebSphere Partner Gateway は、参加者の公開鍵を使用して、文書を暗号化します。 秘密鍵は、文書を暗号化解除するときに使用されます。

iKeyman ユーティリティー

以降のセクションで説明するように、IBM 鍵管理ツール (IKEYMAN) を使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成します。IKEYMAN を使用して自己署名証明書を作成することもできます。 iKeyman ユーティリティーは、WebSphere Partner Gateway をインストールすると作成さ れる /<ProductDir>/was/bin ディレクトリーにあります。

また、IKEYMAN を使用すると、認証局 (CA) に対する証明書の要求を生成することもできます。

Community Console

Community Console を使用すると、WebSphere Partner Gateway ストレージに必要なクライアント、署名、および暗号化証明書をすべてインストールすることができます。また、Community Console を使用して、ルート証明書および中間 CA (認証局) 証明書をインストールすることもできます。

注: 参加者の証明書の有効期限が切れている場合は、参加者自身が新規証明書を取得する必要があります。 Community Console のアラート機能には、WebSphere Partner Gateway に格納されている証明書の有効期限アラートが含まれています。

鍵ストアとトラストストア

WebSphere Partner Gateway をインストールすると、Receiver と Console の鍵ストアとトラストストアがインストールされます。

デフォルトでは、2 つの鍵ストアと 2 つのトラストストアが <ProductDir>/common/security/keystore ディレクトリーに作成されます。名前は、以下のとおりです。

デフォルトのパスワードの変更

4 つのストアにアクセスするためのデフォルトのパスワードは、WebAS です。組み込みの WebSphere Application Server は、これら 4 つのストアを使用するよう構成されています。iKeyman ユーティリティーを使用してパスワードを変更できます。あるいは、次の UNIX コマンドを使用して鍵ストア・ファイルのパスワードを変更できます。

/<ProductDir>/console/was/java/bin/keytool
  -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$
  -storepass $CURRENT_PASSWORD$ -storetype JKS

鍵ストア・パスワードを変更する場合は、各 WebSphere Application Server インスタンスの構成も変更する必要があります。この場合、bcgChgPassword.jacl スクリプトを使用します。 Console インスタンスにおいて、以下のディレクトリーに移動します。

/<ProductDir>/bin

次に、以下のコマンドを発行します。

./bcgwsadmin.sh -f /<ProductDir>/scripts/
 bcgChgPassword.jacl -conntype NONE

Receiver および Document Manager の WebSphere Application Server インスタンスに対して、このコマンドを繰り返します。

注: Windows インストールの場合は、./bcgwsadmin.sh の代わりに bcgwsadmin.bat を使用します。

新規パスワードを求めるプロンプトが出されます。

期限切れ証明書の置換

トラストストアの証明書の有効期限が切れている場合は、以下の手順に従って、新規証明書を追加し、証明書を置き換える必要があります。

  1. IKEYMAN が実行されていない場合は、開始します。
  2. トラストストア・ファイルを開きます。
  3. パスワードを入力し、「OK」をクリックします。
  4. メニューから、「署名者証明書」を選択します。
  5. 「追加」をクリックします。
  6. 「データ・タイプ」をクリックし、Base64 でエンコードされた ASCII データなどのデータ・タイプを選択します。

    このデータ・タイプは、インポートする証明書のデータ・タイプと一致している必要があります。

  7. 証明書ファイルの名前および CA ルート・デジタル証明書の場所を入力するか、または「参照」をクリックして、名前と場所を選択します。
  8. 「OK」をクリックします。
  9. インポートする証明書のラベルを入力します。
  10. 「OK」をクリックします。

証明書チェーン

証明書チェーンは、参加者の証明書およびその証明書の認証に使用された証明書で構成されています。例えば、ある CA を使用して参加者の証明書を作成した場合、その CA 自体もすでに別の CA によって認証されていることがあります。 トラストのチェーンは、ルート CA (トラスト・アンカー) から始まります。 ルート CA のデジタル証明書は自己署名です。つまり、認証局が自身の秘密鍵を使用してデジタル証明書に署名します。トラスト・アンカーと参加者の証明書 (ターゲット証明書) の間に ある証明書が、中間証明書です。

CA で発行された証明書には必ず、チェーン内のすべての証明書を追加する必要があります。 例えば、A (トラスト・アンカー) が B の発行者で、B が C (ターゲット証明書) の発行者となっている証明書チェーンの場合、証明書 A および B は CA 証明書としてアップロードする必要があります。

WebSphere Partner Gateway では、すべての自己署名証明書がトラスト・アンカーとして扱われます。自己署名証明書は、認証局 (CA) であることもあれば、参加者が生成した自己署名証明書であることもあります。

1 次証明書と 2 次証明書

特定のタイプの証明書を複数作成し、そのうちの 1 つを 1 次証明書として、また別の 1 つを 2 次証明書として指定することができます。1 次証明書の有効期限が切れた場合や、他の理由で 1 次証明書を使用できない場合は、WebSphere Partner Gateway によって 2 次 証明書に切り替えられます。どの証明書が 1 次で、どの証明書が 2 次かは、Community Console で指定します。

1 次証明書と 2 次証明書という機能は、以下の証明書に用意されています。

暗号化の強度の変更

暗号化証明書を使用する場合は、次の重要な制限に注意してください。WebSphere Partner Gateway に同梱されている Java ランタイム環境 (JRE) では、使用可能な暗号アルゴリズム および最大暗号強度が制限されています。例えば、許容される長さを制限ポリシーで規定して、結果として暗号鍵の強度を制限します。こうした制限は、管轄権ポリシー・ファイル というファイルで指定します。最大許容長は 2048 バイトです。2048 バイトを超える鍵サイズの証明書をサポートする場合には、強度に制約や制限のない管轄権ポリシー・ファイルを使用してください。JRE のインストール先のサブディレクトリーに新しいポリシー・ファイルをインストールすれば、強度が高く制約のないポリシー を使用できるようになります。DES3 など、対称鍵アルゴリズムに関する暗号化制限もあります。強度が高い対称鍵アルゴリズムが必要な場合は、管轄権ポリシー・ファイルを置換すると、対称鍵の制限が除去されます。

制限のない管轄権ポリシー・ファイルを WebSphere Partner Gateway にインストールする場合は、次のステップを実行します。

  1. Web サイト http://www.ibm.com/developerworks/java/jdk/security/142/ の「IBM SDK Policy files」リンクから制限のない管轄権強度ポリシー・ファイルをダウンロードします。
  2. ダウンロードしたファイルを一時フォルダーに unzip します。
  3. 一時フォルダーから local_policy.jar および US_export_policy.jar をコピーします。
  4. フォルダー <ProductDir>¥was¥java¥jre¥lib¥security に移動します。
  5. 既存の local_policy.jar および US_export_policy.jar を local_policy.jar.bak および US_export_policy.jar.bak に名前変更します。
  6. ステップ 3 でコピーした JAR ファイルを フォルダー <ProductDir>¥was¥java¥jre¥lib¥security に貼り付けます。
  7. サーバーを再始動します。

これらのステップは、構成されるすべての WebSphere Application Server インスタンスに適用されます。

Copyright IBM Corp. 2003, 2005