Secure Sockets Layer の設定

このページを使用して、サーバーの Secure Sockets Layer (SSL) 設定を構成します。

この管理コンソール・ページを表示するには、「セキュリティー」>「SSL」>「alias_name 」をクリックします。

「構成」タブ

エイリアス
特定の SSL 設定の名前を指定します。
データ型: ストリング
鍵ファイル名
公開鍵と秘密鍵が含まれる SSL 鍵ファイルへの 完全修飾パスを指定します。

SSL 鍵ファイルは、鍵管理ユーティリティーを使用して作成できます。 あるいは、使用可能なものがある場合、これがハードウェア・デバイスに対応している場合もあります。 いずれの場合も、 トラスト・ファイルを指定する場合を除いて、このオプションは個人用証明書および署名者の証明書のソースを示します。 デフォルト SSL 鍵ファイル、すなわち DummyClientKeyFile.jks および DummyServerKeyFile.jks については、 2005 年 3 月 17 日に有効期限が切れる自己署名個人テスト証明書が入っています。 このテスト証明書は、テスト環境で使用することだけを目的としています。 秘密鍵はすべての WebSphere Application Server インストールで同じであるため、 デフォルト SSL 鍵ファイルは実稼働環境で使用しないでください。 WebSphere Application Server ドメインでのディジタル証明書の作成と管理については、 インフォセンターの『証明書の管理』の項目を参照してください。

データ型: ストリング
鍵ファイル・パスワード
SSL 鍵ファイルにアクセスするためのパスワードを指定します。
データ型: ストリング
鍵ファイル形式
SSL 鍵ファイルの形式を指定します。
データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12
トラスト・ファイル名
公開鍵が含まれるトラスト・ファイルへの完全修飾パスを指定します。

WebSphere bin ディレクトリーに含まれている 鍵管理ユーティリティーを使用して、トラスト・ファイルを作成できます。 Global Security Kit (GSKit) (他の SSL インプリメンテーション) からの鍵管理ユーティリティーの使用は、Java Secure Socket Extension (JSSE) インプリメンテーションと連動しません。

SSL 鍵ファイルと異なり、個人証明書は参照されません。 署名者証明書だけ検索されます。 デフォルトの SSL トラスト・ファイル、 すなわち DummyClientTrustFile.jks および DummyServerTrustFile.jks については、 有効期限のある署名者の証明書として複数のテスト公開鍵が含まれます。 WebSphere Application Server バージョン 4.0 のテスト証明書の公開鍵は、2004 年 1 月 15 日に期限切れになり、 WebSphere Application Server バージョン 5 のテスト証明書と WebSphere Application Server CORBA C++ クライアントの 公開鍵は 2005 年 3 月 17 日に期限切れになります。このテスト証明書は、テスト環境で使用することだけを目的としています。

トラスト・ファイルを指定せずに、SSL 鍵ファイルを指定した場合、 署名者証明書と個人用証明書の両方の検索に SSL 鍵ファイルを使用します。

データ型: ストリング
トラスト・ファイル・パスワード
SSL トラスト・ファイルにアクセスするためのパスワードを指定します。
データ型: ストリング
トラスト・ファイル形式
SSL トラスト・ファイルの形式を指定します。
データ型: ストリング
デフォルト: JKS
範囲: JKS、JCEK、PKCS12
クライアント認証
接続するときに、認証を目的としてクライアントから証明書を要求するかどうかを指定します。

この属性は、Web コンテナー HTTP トランスポートが 使用する場合にのみ有効になります。Internet InterORB Protocol (IIOP) プロトコルでの (EJB 要求に対する) クライアント認証を実行するときは、管理コンソールの左側のナビゲーション・ペイン から、「セキュリティー」>「認証プロトコル」>「CSIv2 Inbound」または「アウトバウンド認証」の順にクリックしなければなりません。これらの要求で SSL クライアント証明書認証を使用可能にする場合は、「 SSL Client Certificate Authentication」をクリックします。

データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可
セキュリティー・レベル
サーバーがセキュリティー・レベルの事前構成されたセットから選択するかどうかを指定します。
データ型: 有効な値には、「」、「中間」、または「」があります。
  • 「低」はディジタル署名暗号のみを指定します (暗号化はなし)。
  • 「中間」は 40 ビット暗号のみを指定します (ディジタル署名を含む)。
  • 「高」は 128 ビット暗号のみを指定します (ディジタル署名を含む)。

すべての暗号または特定の範囲を指定するには、プロパティー「com.ibm.ssl.enabledCipherSuites」を設定します。

インフォセンターの SSL 資料を参照してください。

デフォルト:
範囲: 低、中間、または高
暗号スイート
SSL ハンドシェーク中に使用するよう選択できる、サポートされている暗号スイートのリストを指定します。 暗号スイートをこの場所で個別に選択すると、「セキュリティー・レベル」フィールドに設定されている暗号スイートが オーバーライドされます。
データ型:
デフォルト:
範囲:
暗号トークン
サーバーが暗号ハードウェアおよび暗号ソフトウェアのサポートを使用可能にするか、または使用不可にするかを 指定します。
データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可
プロバイダー   [修正パッケージ 5.0.2 以降]
Java セキュリティー API の暗号面のサブセットの具体的なインプリメンテーションを提供するパッケージを参照します。

最初のボタンを選択し、メニューからプロバイダーを選択します。 WebSphere Application Server には、IBMJSSE および IBMJSSEFIPS という事前定義プロバイダーがあります。 IBMJSSEFIPS は IBMJSSE プロバイダーの連邦情報処理規格 (FIPS) 承認済みバージョンです。2 番目のボタンを選択して、カスタム・プロバイダーを入力します。 カスタム・プロバイダーでは、「追加プロパティー」の下の「カスタム・プロパティー」を介して最初に暗号スイートを入力する必要があります。 暗号スイートおよびプロトコル値は、プロバイダーに応じて異なります。

データ型 整数
デフォルト 100
範囲 1 から 86400
プロトコル   [修正パッケージ 5.0.2 以降]
使用される SSL プロトコルを指定します。

IBMJSSEFIPS などの承認済み JSSE を使用する場合には、 TLS プロトコルを選択する必要があります。FIPS 承認済み JSSE には後方互換性がないので、TLS プロトコルを使用するサーバーは、SSL プロトコルを使用するクライアントとは通信できません。

関連情報

管理コンソールのボタン
管理コンソール・ページのフィーチャー
管理コンソールの有効範囲設定
管理コンソールのフィルター設定
管理コンソールの設定の変更
カスタム・プロパティーに対する Secure Sockets Layer の設定