このタスクについて
アプリケーション・レベルでのコンシューマーの鍵ロケーター情報は、アプリケーションによってデジタル・シグニチャーまたは暗号化情報を検証するために使用される鍵を位置指定するために使用される鍵ロケーター実装を指定します。
以下のステップを完了して、アプリケーション・レベルでコンシューマー・バインディングの鍵ロケーターを構成します。
手順
- 管理コンソールで「Key locator configuration」パネルを位置指定します。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
- 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
- 「追加プロパティー」の下で、要求コンシューマーと応答コンシューマー・バインディングの鍵情報にアクセスできます。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。
「応答コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
- 応答コンシューマー (受信側) バインディングについては、
「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。
「応答コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
- 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
- 「新規」をクリックして鍵ロケーター構成を作成し、「削除」をクリックし構成の隣のボックスを選択して既存の構成を削除するか、既存の鍵ロケーター構成の名前をクリックしてその設定を編集します。 新しい構成を作成する場合は、「Key locator name」フィールド内に固有の名前を入力します。
例えば、klocator と指定します。
- 鍵ロケーター・クラス実装の名前を指定します。 バージョン 6 アプリケーションと関連した鍵ロケーターは、com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを実装する必要があります。
アプリケーションの要件に従って、クラス名を指定します。
例えば、アプリケーションで、鍵が鍵ストア・ファイルから読み取られる必要がある場合は、com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を指定します。
WebSphere® Application
Server は、要求コンシューマーまたは応答コンシューマーで使用可能な、バージョン 6 アプリケーションの以下のデフォルトの鍵ロケーター・クラス実装を提供します。
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
- この実装は、指定した鍵ストア・ファイルから鍵を見つけて取得します。
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- この実装は、デジタル・シグニチャーの妥当性検査および暗号化のために、送信側メッセージから X.509 セキュリティー・トークンを使用します。このクラス実装は、要求コンシューマーおよび応答コンシューマーによって使用されます。
- 鍵ストアのパスワード、鍵ストアのロケーション、および鍵ストアのタイプを指定します。 鍵ストア・ファイルには、公開鍵と秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書、などが含まれます。
鍵ストア・ファイルから取得された鍵は、
メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 実装を鍵ロケーター・クラス実装に指定した場合、鍵ストアのパスワード、ロケーション、タイプを指定する必要があります。
- 「鍵ストア・パスワード」フィールドにパスワードを指定します。 このパスワードは鍵ストア・ファイルへのアクセスに使用されます。
- 「Key store path」フィールドで、鍵ストア・ファイルのロケーションを指定します。
- 「Key store type」フィールドから鍵ストア・タイプを選択します。 IBM® によって使用される Java™ Cryptography Extension (JCE) は、以下の鍵ストア・タイプをサポートしています。
- JKS
- Java Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
- JCEKS
- Java Cryptography Extensions を使用している場合は、このオプションを使用します。
- PKCS11KS (PKCS11)
- 鍵ストア・ファイルが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。このフォーマットを使用する鍵ストア・ファイルには、
暗号ハードウェア上に RSA 鍵が含まれているか、暗号ハードウェアを使用する鍵を暗号化して保護を実行している可能性があります。
- PKCS12KS (PKCS12)
- 鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
WebSphere Application
Server は、
${USER_INSTALL_ROOT}/etc/ws-security/samples ディレクトリー内にいくつかのサンプル鍵ストア・ファイルを提供しています。
例えば、暗号鍵に
enc-receiver.jceks 鍵ストア・ファイルを使用できます。
このファイルのパスワードは「
Storepass」で、タイプは「JCEKS」です。
重要: 実稼働環境でこれらの鍵ストア・ファイルを使用しないでください。
これらのサンプルはテストのみを目的として提供されています。
- 「OK」と「保存」をクリックして、構成を保存します。
- 「追加プロパティー」の下で、「鍵」をクリックします。
- 「新規」をクリックして鍵構成を作成し、「削除」をクリックし構成の隣のボックスを選択して既存の構成を削除するか、既存の鍵構成の名前をクリックしてその設定を編集します。 このエントリーは、鍵ストア・ファイル内の鍵オブジェクトの名前を指定します。
新しい構成を作成する場合は、「Key name」フィールド内に固有の名前を入力します。
鍵の名前には完全修飾識別名を使用することをお勧めします。
例えば、CN=Bob,O=IBM,C=US を使用します。
- 「Key alias」フィールド内で別名を指定します。 鍵の別名は鍵ロケーターによって使用され、鍵ストア・ファイル内の鍵オブジェクトを検索します。
- 「Key password」フィールド内でパスワードを指定します。 パスワードは鍵ストア・ファイル内で鍵オブジェクトにアクセスするのに使用されます。
- 「OK」をクリックし、次に「保存」をクリックして構成を保存します。
タスクの結果
アプリケーション・レベルでコンシューマー・バインディングの鍵ロケーターが構成されました。
次のタスク
生成プログラムのための類似の鍵情報構成を指定する必要があります。