鍵情報の構成設定

このページを使用して、XML デジタル・シグニチャーまたは XML 暗号化の鍵を指定するために必要な関連構成を指定します。
この WebSphere® Application Server 管理コンソール・ページを鍵情報参照用にサーバー・レベルで表示するには、以下のステップを完了します。
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「デフォルト生成プログラム・バインディング」または「デフォルト・コンシューマー・バインディング」の下で、「鍵情報」をクリックします。
  4. 新規」をクリックして新規構成を作成するか、構成名をクリックして、 内容を変更します。
この WebSphere Application Server 管理コンソール・ページを鍵情報参照用にアプリケーション・レベルで表示するには、 以下のステップを完了します。このオプションは、 バージョン 6.x アプリケーションのアプリケーション・レベルで使用可能です。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. 「追加プロパティー」の下で、以下のバインディングの署名情報にアクセスできます。
    • 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・ セキュリティー・バインディング」をクリックします。「要求生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
    • 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「要求コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
    • 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「応答生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
    • 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・ セキュリティー・バインディング」をクリックします。「応答コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「必須プロパティー」の下で、「鍵情報」をクリックします。
  5. 新規」をクリックして新規構成を作成するか、構成名をクリックして、 内容を変更します。

「追加プロパティー」の下で「プロパティー」をクリックする前に、 「Key information name」フィールドに値を入力し、 「Key information type」のオプションおよび「Key locator reference」オプションを選択する必要があります。

Key information name

鍵情報構成の名前を指定します。

Key information type

鍵情報のタイプを指定します。鍵情報タイプは、セキュリティー・トークンの参照方法を指定します。
WebSphere Application Server は、以下の鍵情報タイプをサポートします。鍵情報の各タイプについては、 http://www.oasis-open.org/home/index.php の『Web Services Security』の下にある『Web Services Security: SOAP Message Security 1.0 (WS-Security 2004) OASIS standard』で説明されています。
タイプ 説明
鍵 ID このセキュリティー・トークンは、一意的にトークンを識別する隠された値を使用して参照されます。
鍵の名前 セキュリティー・トークンは、トークン内で ID 表明に一致する名前を使用して 参照されます。
セキュリティー・トークン参照 このタイプでは、セキュリティー・トークンは直接参照されます。
組み込みトークン このタイプでは、セキュリティー・トークン参照が組み込まれます。
X509 発行者名および発行者シリアル番号 このタイプでは、セキュリティー・トークンは、X.509 証明書の発行者およびシリアル番号によって参照されます。
X.509 発行者名および発行者シリアル番号については、「Web Services Security: X509 Token Profile Version 1.0」(http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf) で説明されています。 その他のタイプについては、「Web Services Security: SOAP Message Security Version 1.0」(http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf) で説明されています。
鍵情報タイプに「鍵 ID」を選択する場合、このパネルの以下のフィールドで 値を指定することができます。
  • Encoding method
  • Calculation method
  • Value type namespace URI
  • Value type local name

Key locator reference

デジタル・シグニチャーおよび暗号化の鍵を検索するために使用する参照を指定します。
鍵ロケーター参照を指定する前に、鍵ロケーターを構成する必要があります。 以下のバインディングの署名鍵構成を指定することができます。
バインディング名 セル・レベル、サーバー・レベル、またはアプリケーション・レベル パス
デフォルトの生成プログラム・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  4. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
デフォルト・コンシューマー・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  4. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
要求ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: クライアント・セキュリティー・バインディング」をクリックします。「要求生成プログラム (送信側) バインディング」の下で、「編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
応答コンシューマー (受信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: クライアント・セキュリティー・バインディング」をクリックします。「応答コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
要求コンシューマー (受信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「要求コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
応答ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「応答生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。

Key name reference

デジタル・シグニチャーおよび暗号化を生成するために使用される鍵の名前を指定します。

このフィールドはデフォルト生成プログラム用に表示され、 バージョン 6.x アプリケーションの要求ジェネレーターおよび応答ジェネレーター用にも表示されます。

バインディング名 セル・レベル、サーバー・レベル、またはアプリケーション・レベル パス
デフォルトの生成プログラム・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  4. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
要求ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: クライアント・セキュリティー・バインディング」をクリックします。「要求生成プログラム (送信側) バインディング」の下で、「編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。
応答ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「応答生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で、「鍵ロケーター」をクリックします。
  5. 新規」をクリックして新規鍵ロケーターを作成するか、構成済み鍵ロケーターの名前をクリックして、 構成を変更します。

Token reference

セキュリティー・トークンの処理に使用されるトークン生成プログラムまたはトークン・コンシューマー の名前を指定します。
WebSphere Application Server でこのフィールドが必要となるのは、「Key information type」フィールドで「Security token reference」または「Embedded token」を指定する場合のみです。 「Token reference」フィールドは、コンシューマーの 鍵 ID のタイプを指定する場合にも必要です。トークン参照を指定する前に、トークン生成プログラムまたは トークン・コンシューマーを構成する必要があります。以下のレベルでは、以下のバインディングのトークン構成を指定することができます。
バインディング名 セル・レベル、サーバー・レベル、またはアプリケーション・レベル パス
デフォルトの生成プログラム・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「デフォルト生成プログラム・バインディング」の下で、「Token generator」をクリックします。
  4. 新規」をクリックして新規トークン生成プログラムを作成するか、 構成済みのトークン生成プログラムの名前をクリックして、構成を変更します。
デフォルト・コンシューマー・バインディング サーバー・レベル
  1. サーバー」>「アプリケーション・サーバー」>「server_name」の順にクリックします。
  2. 「セキュリティー」の下で、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「デフォルト・コンシューマー・バインディング」の下で、「Token consumer」をクリックします。
  4. 新規」をクリックして、新規トークン・コンシューマーを作成するか、 構成済みのトークン・コンシューマーの名前をクリックして、構成を変更します。
要求ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: クライアント・セキュリティー・バインディング」をクリックします。「要求生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で「トークン生成プログラム」をクリックします。
  5. 新規」をクリックして、新規トークン・コンシューマーを作成するか、 構成済みのトークン・コンシューマーの名前をクリックして、構成を変更します。
応答コンシューマー (受信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: クライアント・セキュリティー・バインディング」をクリックします。「応答コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「必須プロパティー」の下で、「トークン・コンシューマー」をクリックします。
  5. 新規」をクリックして、新規トークン・コンシューマーを作成するか、 構成済みのトークン・コンシューマーの名前をクリックして、構成を変更します。
要求コンシューマー (受信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: Sender security bindings」をクリックします。「要求コンシューマー (受信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「必須プロパティー」の下で、「トークン・コンシューマー」をクリックします。
  5. 新規」をクリックして、新規トークン・コンシューマーを作成するか、 構成済みのトークン・コンシューマーの名前をクリックして、構成を変更します。
応答ジェネレーター (送信側) バインディング アプリケーション・レベル
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」の順にクリックします。
  2. 「関連項目」の下で、「EJB モジュール」または「Web モジュール」>「URI_name」の順にクリックします。
  3. Web サービス: サーバー・セキュリティーのバインディング」をクリックします。「応答生成プログラム (送信側) バインディング」の下で、「カスタムの編集」をクリックします。
  4. 「追加プロパティー」の下で「トークン生成プログラム」をクリックします。
  5. 新規」をクリックして、新規トークン・コンシューマーを作成するか、 構成済みのトークン・コンシューマーの名前をクリックして、構成を変更します。

Encoding method

鍵 ID のエンコード形式を示すエンコード方式を指定します。
このフィールドは、「Key information type」フィールドで「鍵 ID」を指定する場合に有効です。WebSphere Application Server は、以下のエンコード方式をサポートします。
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary

このフィールドは、デフォルトの生成プログラム・バインディングに対してのみ使用可能です。

Calculation method

このフィールドは、「Key information type」フィールドで「鍵 ID」を指定する場合に有効です。WebSphere Application Server は、以下の計算方法をサポートします。
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1

このフィールドは、生成プログラム・バインディングに対してのみ使用可能です。

Value type namespace URI

鍵 ID によって参照されるセキュリティー・トークンの値のタイプの名前空間 URI を指定します。

このフィールドは、「Key information type」フィールドで「鍵 ID」を指定する場合に有効です。X.509 証明書トークンを指定する場合、このオプションを指定する必要はありません。別のトークンを指定する場合、 値タイプの QName の URI を指定します。

WebSphere Application Server は、Lightweight Third Party Authentication (LTPA) トークンの以下の事前定義値タイプ URI を提供します (http://www.ibm.com/websphere/appserver/tokentype/5.0.2)。

このフィールドは、生成プログラム・バインディングに対してのみ使用可能です。

Value type local name

鍵 ID によって参照されるセキュリティー・トークンの値タイプのローカル名を指定します。

このローカル名が対応する名前空間 URI とともに使用される場合、 情報は値タイプ修飾名 または QName と呼ばれます。

このフィールドは、「Key information type」フィールドで「鍵 ID」を指定する場合に有効です。X.509 証明書トークンを指定する場合、事前定義ローカル名を使用する ことをお勧めします。事前定義ローカル名を指定する場合、 値タイプの URI を指定する必要はありません。WebSphere Application Server には、以下の事前定義ローカル名が用意されています。
X.509 証明書トークン
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 内の X.509 証明書
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 内の X509 証明書および CRL のリスト
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA
重要: LTPA の場合、値タイプのローカル名は LTPA です。ローカル名に LTPA を入力する場合、「Value type URI」フィールドでも http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 値を指定する必要があります。 その他の事前定義値タイプ (ユーザー名、トークン、X509 証明書トークン、PKIPath 内の X509 証明書、 および PKCS#7 内の X509 証明書および CRL のリスト) については、「local name」フィールドの値は、 http:// で始まります。例えば、値タイプのユーザー名トークンを指定する場合、「value type local name」フィールドに http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken と入力すると、「Value type URI」フィールドに値を入力する必要はありません。
カスタム・トークンのカスタム値タイプを指定する場合、値タイプの品質名 (QName) のローカル名および URI を指定することができます。 例えば、ローカル名に Custom を指定し、 URI に http://www.ibm.com/custom を指定します。

このフィールドはまた、生成プログラム・バインディングに対してのみ使用可能です。


フィードバック