コンシューマー・バインディング用鍵ロケーターの、アセンブリー・ツールによる構成

始める前に

鍵ロケーターを構成する前に、どの鍵情報構成がこの鍵ロケーターを参照するかを知っておく必要があります。 例えば、この鍵ロケーターを STRREF 鍵情報タイプに対して構成する場合は、 鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.X509TokeyKeyLocator を選択します。

このタスクについて

WebSphere® Application Server バージョン 6 では、 デフォルトの鍵ロケーター実装を使用することも、 独自の実装を作成することもできます。カスタムの鍵ロケーターは、com.ibm.wsspi.wssecurity.keyinfo.KeyLocator インターフェースを実装する必要があります。この実装を使用すると、任意のデータ・ソース内の鍵を探し出すことができます。

以下のステップに従って、コンシューマー用の鍵ロケーターを、アセンブリー・ツールを使用して構成します。 鍵ロケーターの目的は、鍵または証明書を検出することです。 コンシューマー・サイドの鍵ロケーター情報は、 受信した SOAP メッセージにおけるデジタル・シグニチャーの検証や、 メッセージの暗号化された部分の暗号化解除に使用する鍵を見つけるために使用されます。 応答コンシューマーはクライアント向けに、要求コンシューマーはサーバー向けに、それぞれ構成されます。以下のステップでは、ステップ 2 でクライアント・サイドのバインディング、 またはステップ 3 でサーバー・サイドのバインディングのいずれかを構成する必要があります。

手順

  1. ウィンドウ」>「パースペクティブを開く」>「J2EE」の順にクリックします。
  2. オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、クライアント・サイドのバインディングを見つけます。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスには、構成が必要なバインディングが含まれています。 以下のステップを実行して、クライアント・サイドのバインディングを検索します。
    1. 「Web サービス」 > 「クライアント」セクションを展開し、Web サービスの名前をダブルクリックします。
    2. WS バインディング」タブをクリックして、「セキュリティー応答コンシューマー・バインディング構成」セクションを展開します。
  3. オプション: 「プロジェクト・エクスプローラー」ウィンドウを使用して、サーバー・サイドのバインディングを検索します。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスには、構成が必要なバインディングが含まれています。 以下のステップを実行して、サーバー・サイドのバインディングを検索します。
    1. 「Web サービス」 > 「サービス」セクションを展開し、Web サービスの名前をダブルクリックします。
    2. バインディング構成」タブをクリックして、「要求コンシューマー・バインディング構成の詳細」セクションを展開します。
  4. 「鍵ロケーター」セクションを展開して、新規項目を追加する場合は「追加」をクリックし、 選択した項目を編集する場合は「編集」をクリックします。
  5. 「Key locator name」フィールドで、この構成の名前を指定します。 この構成名は、「鍵情報」ダイアログの「鍵ロケーター」フィールドで参照されます。
  6. 「Key locator class」フィールドで、鍵ロケーターの実装を選択します。 この鍵ロケーターを参照する鍵情報構成と一致する鍵ロケーター・クラスを選択してください。 例えば、受信した Simple Object Access Protocol (SOAP) メッセージに、 シグニチャーの検証に必要な X.509 証明書が含まれている場合は、 鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator を選択します。 シグニチャー検証または暗号化解除に必要な鍵を、 鍵ストア・ファイルを使用して指定する必要がある場合は、 鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator を選択します。 鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator は、 コンシューマー・サイドでは使用されません。 通常は、応答ジェネレーター構成で、 要求メッセージの署名者の鍵を使用して応答メッセージを暗号化するために使用されます。
  7. 鍵ストアをこの鍵ロケーター用に構成する必要がある場合は、 「鍵ストアの使用」オプションを選択します。 鍵ストア情報を鍵ロケーター用に構成する必要があるかどうかは、 鍵ロケーター・クラスとアプリケーション構成によって決まります。 例えば、前のステップで鍵ロケーター・クラス com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator を選択した場合は、この鍵ロケーターに対して鍵ストア情報を構成してください。
    1. 「鍵ストア・ストアパス」フィールドで鍵ストアのパスワードを指定します。 鍵ストアの storepass は、鍵ストア・ファイルへのアクセスに必要なパスワードです。
    2. 「Key store path」フィールドで、鍵ストア・ファイルへのパスを指定します。 鍵ストア・パスは、鍵ストアが置かれているディレクトリーです。アプリケーションをどこにデプロイする場合でも、サーバーが鍵ストア・ファイルを検出できるようにしておいてください。
    3. 「鍵ストア・タイプ」フィールドから鍵ストア・タイプを選択します。 選択する鍵ストア・タイプは、「鍵ストア・パス」フィールドで指定された鍵ストア・ファイルと一致している必要があります。以下の鍵ストアのタイプがサポートされています。
      JKS
      Java™ Cryptography Extensions (JCE) を使用せず、鍵ストア・ファイルが Java Keystore (JKS) フォーマットを使用している場合は、このオプションを使用します。
      JCEKS
      Java Cryptography Extensions を使用している場合は、このオプションを使用します。
      PKCS11
      鍵ストアが PKCS#11 ファイル形式を使用する場合は、この形式を使用します。この形式を使用する鍵ストアは、暗号ハードウェアについての RSA 鍵を含んでいるか、 暗号ハードウェアを使用する鍵を暗号化して、保護を確実なものにします。
      PKCS12
      鍵ストアが PKCS#12 ファイル形式を使用する場合は、このオプションを使用します。
  8. 「鍵」フィールドの下にある「追加」をクリックして、 前のステップで指定した鍵ストア・ファイルから鍵項目を追加します。 この鍵は、シグニチャー検証または暗号化解除に使用されます。 ここで指定する鍵は、 生成プログラムのデジタル署名または暗号化に使用される鍵と一致している必要があります。 以下のステップに従って、鍵項目を追加します。
    1. 「別名」フィールドで、この鍵の別名を指定します。
    2. 「Key pass」フィールドで、この鍵に関連付けるパスワードを指定します。 このパスワードによって、この鍵で指定される鍵ペアの秘密鍵が保護されます。
    3. 「Key name」フィールドで鍵の名前を指定します。 鍵の名前は、鍵の所有者の識別名 (DN) を指定します。
  9. OK」をクリックして、鍵ロケーターの構成を保存します。

タスクの結果

鍵ロケーターと、構成が必要なトークン・コンシューマーを構成したら、 この鍵ロケーターを参照する鍵情報を構成することができます。 詳しくは、コンシューマー・バインディング用鍵情報の構成を参照してください。

フィードバック