このページを使用して、 サーバーの Secure Sockets Layer (SSL) 設定または Java Secure Sockets Extension (JSSE) 設定を構成します。 SSL を構成するには、 SSL 構成レパートリーを定義する必要があります。 レパートリーには、SSL 接続のビルドに必要な詳細 (鍵ファイルの場所やタイプ、 使用可能な暗号など) が含まれています。 WebSphere Application Server は、 DefaultSSLSettings という名のデフォルト・レパートリーを提供します。
この管理コンソール・ページを表示するには、「セキュリティー」>「SSL」>「別名 (alias_name) 」をクリックします。
特定の SSL 設定の名前を指定します。
データ型: | ストリング |
公開鍵、および場合によっては秘密鍵を含む SSL 鍵ファイルの完全修飾パスを指定します。
SSL 鍵ファイルは、鍵管理ユーティリティーを使用して作成できます。 あるいは、使用可能なものがある場合、このファイルがハードウェア・デバイスに対応している場合もあります。いずれの場合も、 トラスト・ファイルを指定する場合を除いて、このオプションは個人用証明書および署名者の証明書のソースを示します。 デフォルト SSL 鍵ファイル、 すなわち DummyClientKeyFile.jks および DummyServerKeyFile.jks には、 2005 年 3 月 17 日に有効期限が切れる自己署名個人テスト証明書が入っています。 このテスト証明書は、テスト環境で使用することだけを目的としています。 秘密鍵はすべての WebSphere Application Server インストールで同じであるため、 デフォルト SSL 鍵ファイルは実稼働環境で使用しないでください。 WebSphere Application Server ドメインでのデジタル証明書の作成と管理については、 『証明書の管理』の項目を参照してください。
データ型: | ストリング |
接続するときに、認証を目的としてクライアントから証明書を要求するかどうかを指定します。
この属性は、Web コンテナー HTTP トランスポートが 使用する場合にのみ有効になります。
EJB 要求に対して Internet InterORB Protocol (IIOP) によるクライアント認証を実行するときは、 「セキュリティー」>「グローバル・セキュリティー」をクリックします。「認証」の下の、 「認証プロトコル」>「CSIv2 インバウンド認証」または「認証プロトコル」>「CSIv2 アウトバウンド認証」をクリックします。「クライアント証明書認証」で適切なオプションを選択します。
デフォルト: | 使用不可 |
範囲: | 使用可能または使用不可 |
事前構成されたセットから、 サーバーがセキュリティー・レベルを選択するかどうかを指定します。
データ型: | 有効な値には、「低」、「中間」、または「高」があります。
すべての暗号または特定の範囲を指定するには、 プロパティー com.ibm.ssl.enabledCipherSuites を設定します。 詳しくは、SSL の資料を参照してください。 |
デフォルト: | 高 |
範囲: | 低、中間、または高 |
SSL ハンドシェーク中に選択できる、サポートされている暗号スイートのリストを指定します。 ここで暗号スイートを個別に選択すると、「セキュリティー・レベル」フィールドに設定されている暗号スイートが オーバーライドされます。
サーバーが暗号ハードウェアおよび暗号ソフトウェアのサポートを使用可能にするか、または使用不可にするかを 指定します。 SOAP コネクターは、ハードウェア暗号方式を使用しません。
データ型: | ブール |
デフォルト: | 使用不可 |
範囲: | 使用可能または使用不可 |
Java セキュリティー・アプリケーション・プログラム・インターフェース (API) の暗号関係のサブセットをインプリメントするパッケージを参照します。
「Predefined JSSE provider」を選択する場合は、メニューからプロバイダーを選択します。
WebSphere Application Server には、IBMJSSE、IBMJSSE2、および IBMJSSEFIPS 事前定義プロバイダーがあります。「グローバル・セキュリティー」パネルの「連邦情報処理標準 (FIPS) を使用」オプションを 選択すると、IBMJSSE2 では、連邦情報処理標準 (FIPS) が認証した IBMJCEFIPS プロバイダーが使用されます。 「Custom JSSE provider」を選択する場合は、カスタム・プロバイダーを入力します。 カスタム・プロバイダーの場合は、まず、 「追加プロパティー」の下の「カスタム・プロパティー」で暗号スイートを入力する必要があります。 暗号スイートとプロトコル値は、プロバイダーによって異なります。
暗号スイート・プロパティーの名前は com.ibm.ssl.enabledCiphersuites です。 プロトコル・プロパティーの名前は com.ibm.ssl.protocol です。
使用する SSL プロトコルを指定します。
FIPS 承認済みカスタム JSSE プロバイダーを使用している場合は、 TLS プロトコルを選択する必要があります。ただし、FIPS 承認済み JSSE プロバイダーには後方互換性がないので、 TLS プロトコルを使用するサーバーは、SSL プロトコルを使用するクライアントとは通信できません。
デフォルト | SSL |
範囲 | SSL_TLS、SSL、SSLv2、SSLv3、TLS、TLSv1 |
SSL 鍵ファイルにアクセスするためのパスワードを指定します。
データ型: | ストリング |
SSL 鍵ファイルの形式を指定します。
鍵ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) から選択できます。JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。
鍵ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、JCE4758RACFKS (z/OS のみ)
から選択できます。
JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。
PKCS12 は、標準的なファイル形式です。
データ型: | ストリング |
デフォルト: | JKS |
範囲: | JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、および JCE4758RACFKS (z/OS のみ) |
データ型: | ストリング |
デフォルト: | JKS |
範囲: | JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) |
公開鍵が含まれるトラスト・ファイルへの完全修飾パスを指定します。
WebSphere bin ディレクトリーに含まれている 鍵管理ユーティリティーを使用して、トラスト・ファイルを作成できます。 他の SSL インプリメンテーションである Global Security Kit (GSKit) からの鍵管理ユーティリティーの使用は、Java Secure Socket Extension (JSSE) インプリメンテーションと連動しません。
テスト証明書は、テスト環境で使用することのみを目的としています。
トラスト・ファイルを指定せずに、SSL 鍵ファイルを指定した場合、 署名者証明書と個人用証明書の両方の検索に SSL 鍵ファイルを使用します。
データ型: | ストリング |
SSL トラスト・ファイルにアクセスするためのパスワードを指定します。
データ型: | ストリング |
SSL トラスト・ファイルの形式を指定します。
トラスト・ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) から選択できます。JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。 PKCS12 は、標準的なファイル形式です。
トラスト・ファイルの形式は、JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ)、JCE4758RACFKS (z/OS のみ) から選択できます。
JKS 形式では共有鍵は保管されません。よりセキュアな鍵ファイルには、JCEK 形式を使用します。
PKCS12 は、標準的なファイル形式です。
データ型: | ストリング |
デフォルト: | JKS |
範囲: | JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) |
データ型: | ストリング |
デフォルト: | JKS |
範囲: | JKS、JCEK、PKCS12、JCERACFKS (z/OS のみ) および JCE4758RACFKS (z/OS のみ) |