ここでは、セキュリティーのタイプ、証明書の生成とアップロードに使用するツール、および WebSphere Partner Gateway でインストールされるデータ・ストアのタイプについて概説します。
ここでは、SSL、デジタル署名、および暗号化について説明します。
WebSphere Partner Gateway では、SSL を使用して インバウンドおよびアウトバウンド文書を保護することができます。 インバウンド文書とは、ハブに送信される文書のことです。アウトバウンド文書とは、ハブから送信される文書のことです。
SSL は、インターネットのセキュリティーを管理するためによく利用されるプロトコルです。 SSL では、ネットワーク接続を介してリンクされている 2 つのアプリケーションが互いに相手の ID を認証できるようにし、データ機密性とデータ保全性を確実にすることによって、接続の安全性を確保しています。
クライアントが HTTP ベースの SSL 接続を開始する場合は必ず、http:// ではなく https:// で始まる URL が使用されます。SSL 接続はハンドシェークによって開始されます。このステージでアプリケーションは、デジタル証明書を交換し、使用する暗号化アルゴリズムに同意して、残りのセッションで使用される暗号鍵を生成します。
SSL プロトコルには、以下のセキュリティー機能があります。
デジタル署名は、否認防止を保証するメカニズムです。 否認防止とは、参加者がメッセージを生成して送信したことを否認できないことを意味します。 また、参加者はメッセージを受信したことも否認できません。
デジタル署名の場合、オリジネーターはメッセージに署名できるため、オリジネーターが実際にメッセージを送信したユーザーとして証明されます。また、メッセージが、署名された後に変更されていないことも保証されます。
WebSphere Partner Gateway は、PKCS#7 SignedData の 分離型デジタル署名フォーマットをビジネス・プロトコルの一部としてサポートしています。
WebSphere Partner Gateway は、公開鍵暗号化と呼ばれる暗号システムを使用して、参加者とハブの間の通信を保護します。公開鍵暗号化では、数学的に関連した鍵のペアが使用されます。 最初の鍵で暗号化された文書は、2 番目の鍵を使用して暗号化解除する必要があります。また、2 番目の鍵で暗号化された文書は、最初の鍵を使用して暗号化解除する必要があります。
公開鍵システムの各参加者は、鍵のペアを持ちます。 1 つの鍵は秘密にされ、秘密鍵となります。 もう 1 つの鍵は、必要とするユーザーに配布され、公開鍵となります。 WebSphere Partner Gateway は、参加者の公開鍵を使用して、文書を暗号化します。 秘密鍵は、文書を暗号化解除するときに使用されます。
以降のセクションで説明するように、IBM 鍵管理ツール (IKEYMAN) を使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成します。IKEYMAN を使用して自己署名証明書を作成することもできます。 iKeyman ユーティリティーは、WebSphere Partner Gateway をインストールすると作成さ れる /<ProductDir>/was/bin ディレクトリーにあります。
また、IKEYMAN を使用すると、認証局 (CA) に対する証明書の要求を生成することもできます。
Community Console を使用すると、WebSphere Partner Gateway ストレージに必要なクライアント、署名、および暗号化証明書をすべてインストールすることができます。また、Community Console を使用して、ルート証明書および中間 CA (認証局) 証明書をインストールすることもできます。
WebSphere Partner Gateway をインストールすると、Receiver と Console の鍵ストアとトラストストアがインストールされます。
デフォルトでは、2 つの鍵ストアと 2 つのトラストストアが <ProductDir>/common/security/keystore ディレクトリーに作成されます。名前は、以下のとおりです。
4 つのストアにアクセスするためのデフォルトのパスワードは、WebAS です。組み込みの WebSphere Application Server は、これら 4 つのストアを使用するよう構成されています。iKeyman ユーティリティーを使用してパスワードを変更できます。あるいは、次の UNIX コマンドを使用して鍵ストア・ファイルのパスワードを変更できます。
/<ProductDir>/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
鍵ストア・パスワードを変更する場合は、各 WebSphere Application Server インスタンスの構成も変更する必要があります。この場合、bcgChgPassword.jacl スクリプトを使用します。 Console インスタンスにおいて、以下のディレクトリーに移動します。
/<ProductDir>/bin
次に、以下のコマンドを発行します。
./bcgwsadmin.sh -f /<ProductDir>/scripts/
bcgChgPassword.jacl -conntype NONE
Receiver および Document Manager の WebSphere Application Server インスタンスに対して、このコマンドを繰り返します。
新規パスワードを求めるプロンプトが出されます。
トラストストアの証明書の有効期限が切れている場合は、以下の手順に従って、新規証明書を追加し、証明書を置き換える必要があります。
このデータ・タイプは、インポートする証明書のデータ・タイプと一致している必要があります。
証明書チェーンは、参加者の証明書およびその証明書の認証に使用された証明書で構成されています。例えば、ある CA を使用して参加者の証明書を作成した場合、その CA 自体もすでに別の CA によって認証されていることがあります。 トラストのチェーンは、ルート CA (トラスト・アンカー) から始まります。 ルート CA のデジタル証明書は自己署名です。つまり、認証局が自身の秘密鍵を使用してデジタル証明書に署名します。トラスト・アンカーと参加者の証明書 (ターゲット証明書) の間に ある証明書が、中間証明書です。
CA で発行された証明書には必ず、チェーン内のすべての証明書を追加する必要があります。 例えば、A (トラスト・アンカー) が B の発行者で、B が C (ターゲット証明書) の発行者となっている証明書チェーンの場合、証明書 A および B は CA 証明書としてアップロードする必要があります。
WebSphere Partner Gateway では、すべての自己署名証明書がトラスト・アンカーとして扱われます。自己署名証明書は、認証局 (CA) であることもあれば、参加者が生成した自己署名証明書であることもあります。
特定のタイプの証明書を複数作成し、そのうちの 1 つを 1 次証明書として、また別の 1 つを 2 次証明書として指定することができます。1 次証明書の有効期限が切れた場合や、他の理由で 1 次証明書を使用できない場合は、WebSphere Partner Gateway によって 2 次 証明書に切り替えられます。どの証明書が 1 次で、どの証明書が 2 次かは、Community Console で指定します。
1 次証明書と 2 次証明書という機能は、以下の証明書に用意されています。
暗号化証明書を使用する場合は、次の重要な制限に注意してください。WebSphere Partner Gateway に同梱されている Java ランタイム環境 (JRE) では、使用可能な暗号アルゴリズム および最大暗号強度が制限されています。例えば、許容される長さを制限ポリシーで規定して、結果として暗号鍵の強度を制限します。こうした制限は、管轄権ポリシー・ファイル というファイルで指定します。最大許容長は 2048 バイトです。2048 バイトを超える鍵サイズの証明書をサポートする場合には、強度に制約や制限のない管轄権ポリシー・ファイルを使用してください。JRE のインストール先のサブディレクトリーに新しいポリシー・ファイルをインストールすれば、強度が高く制約のないポリシー を使用できるようになります。DES3 など、対称鍵アルゴリズムに関する暗号化制限もあります。強度が高い対称鍵アルゴリズムが必要な場合は、管轄権ポリシー・ファイルを置換すると、対称鍵の制限が除去されます。
制限のない管轄権ポリシー・ファイルを WebSphere Partner Gateway にインストールする場合は、次のステップを実行します。
これらのステップは、構成されるすべての WebSphere Application Server インスタンスに適用されます。