WebSphere Application Server - Express, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

ジェネレーター・バインディング用署名情報の、アセンブリー・ツールによる構成

以下のステップに従って、サーバー・サイドおよびクライアント・サイドのジェネレーター・バインディング用の署名情報を、アセンブリー・ツールを使用して構成します。 要求ジェネレーターはクライアント用に構成され、 応答ジェネレーターはサーバー用に構成されます。

始める前に

このタスクを実行する前に、以下のステップを完了しておく必要があります。
  1. アプリケーションをアセンブリー・ツールにインポートします。

    アプリケーションをインポートする方法については、エンタープライズ・アプリケーションのインポートを参照してください。

  2. デジタル署名するメッセージ・パーツを指定します。 詳しくは、ジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、キーワードによる署名 またはジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、XPath 式による署名 を参照してください。
  3. 「署名情報」ダイアログ・ウィンドウ内の鍵情報エレメントによって参照される鍵情報を構成します。 詳しくは、ジェネレーター・バインディング用鍵情報の、アセンブリー・ツールによる構成 を参照してください。

このタスクについて

以下のステップを実行します。ステップ 2 でのクライアント・サイドのバインディング、またはステップ 3 でのサーバー・サイドのバインディングを構成する必要があります。

プロシージャー

  1. アセンブリー・ツールを開始します。
  2. Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
  3. オプション: プロジェクト・エクスプローラー・ウィンドウで、クライアント側のバインディングを探します。 「Client Deployment Descriptor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. Web サービス」 > 「クライアント」セクションと展開し、Web サービスの名前をダブルクリックします。
    2. WS Binding」タブをクリックし、「Security Request Generator Binding Configuration」セクションを展開します。
  4. オプション: 「Project Explorer」ウィンドウを使用して、サーバー・サイドのバインディングを見付けます。 「Web Services Editor」ウィンドウが表示されます。 この Web サービスに、構成が必要なバインディングが含まれています。
    1. Web サービス」>「サービス」セクションを展開し、Web サービスの名前をダブルクリックします。
    2. Binding Configurations」タブをクリックして、 「Response Generator Binding Configuration Details」セクションを展開します。
  5. 「署名情報」セクションを展開し、「追加」をクリックして新規項目を追加するか、 既存の項目を選択して「編集」をクリックします。 「署名情報」ダイアログ・ウィンドウが表示されます。
    1. 「署名情報名」フィールドで、署名情報構成の名前を指定します。 例えば、gen_signinfo などです。
    2. Canonicalization method algorithm」フィールドから、正規化方式を選択します。 正規化方式アルゴリズムは、署名情報を、シグニチャー操作の一部としてダイジェストする前に正規化するために使用されます。 以下の事前構成済みアルゴリズムがサポートされています。
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
      • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
      • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments

      ジェネレーターとコンシューマーで同じ正規化アルゴリズムを指定する必要があります。 コンシューマーの署名情報の構成について詳しくは、 コンシューマー・バインディング用署名情報の、アセンブリー・ツールによる構成 を参照してください。

    3. オプション: FIPS 準拠アルゴリズムのみを「encryption method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere Application Server 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で実行する場合のオプションです。
    4. 「Signature method algorithm」フィールドから、シグニチャー方式アルゴリズムを選択します。 以下の事前構成済みアルゴリズムがサポートされています。

      ジェネレーターとコンシューマーで同じ正規化アルゴリズムを指定する必要があります。 コンシューマーの署名情報の構成について詳しくは、 コンシューマー・バインディング用署名情報の、アセンブリー・ツールによる構成 を参照してください。

  6. 「Signing Key Information」セクションで「追加」をクリックして新規の鍵情報項目を追加するか、 「除去」をクリックして選択した項目を除去します。 新規の鍵情報項目を追加する場合は、以下のサブステップを実行します。
    1. 「鍵情報名」フィールドで名前を指定します。 例えば、gen_skeyinfo などです。
    2. 「Key information element」フィールドのリストから、鍵情報参照を選択します。 このフィールドの値は、以前に指定した鍵情報構成を参照します。 gen_signkeyinfo という鍵情報構成があり、それをこの署名情報構成で使用したい場合は、 「Key information element」フィールドに gen_signkeyinfo を指定します。 詳しくは、ジェネレーター・バインディング用鍵情報の、アセンブリー・ツールによる構成 を参照してください。
    3. オプション: SOAP メッセージ内の鍵情報に署名する場合は、 「Use key information signature」オプションを選択します。
    4. オプション: Use key information signature」オプションを選択した場合は、 「タイプ」フィールドで鍵情報シグニチャーのタイプを選択します。 SOAP メッセージ内で KeyInfo エレメント全体に署名が必要であるように指定するには、「keyinfo」値を選択します。 KeyInfo エレメント内の子エレメントに署名する必要があるが、 KeyInfo エレメント自体には署名する必要がないように指定する場合は、 「keyinfochildelements」値を選択します。
  7. [バージョン 6.0.2] オプション: 包括的ネーム・スペース接頭部リストを使用不可に設定するかどうか決定します。 Exclusive XML Canonicalization Version 1.0 仕様では、ネーム・スペース接頭部に対応するすべてのネーム・スペース宣言を正規化形式で含めることを推奨しています。 セキュリティー上の理由から、WebSphere Application Server はデフォルトで、その接頭部を Web サービス・セキュリティーのデジタル・シグニチャーに含めています。 ただし、Web サービス・セキュリティーの一部のインプリメンテーションでは、この接頭部リストを処理できません。 WebSphere Application Server は、接頭部リストの有無にかかわらず、デジタル署名されたメッセージを処理できます。 署名済み SOAP メッセージが送信されたときにシグニチャー検証に失敗し、その環境で別のベンダーを使用している場合は、 このプロパティーを使用不可に設定する前に、そのインプリメンテーション用の可能性のある修正がないかそのベンダーの Web サイトを確認することをお勧めします。 このプロパティーを使用不可に設定するには、以下のステップを実行します。
    1. 「プロパティー」の下で、「追加」をクリックします。
    2. 「名前」フィールドに com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces property と入力します。
    3. 「値」フィールドに、false 値を入力します。
    4. OK」をクリックします。
  8. OK」をクリックして、署名情報構成を保管します。
  9. 「Part References」サブセクションを展開して、 「署名情報」セクションから署名情報構成を選択します。
  10. 「Part References」サブセクションで「追加」をクリックして新規項目を追加するか、 既存の項目を選択して「編集」をクリックします。 「Part References」ダイアログ・ウィンドウが表示されます。
    1. 「Part reference name」フィールドで、パーツ参照構成の名前を指定します。
    2. 「Integrity part」フィールドで、保全性パーツ構成を選択します。 保全性パーツの構成方法について詳しくは、 ジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、キーワードによる署名 またはジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、XPath 式による署名 を参照してください。
    3. オプション: FIPS 準拠アルゴリズムのみを「encryption method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere Application Server 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で実行する場合のオプションです。
    4. 「Digest method algorithm」フィールドで、 http://www.w3.org/2000/09/xmldsig#sha1 ダイジェスト・メソッド・アルゴリズムを選択します。 このダイジェスト・メソッド・アルゴリズムは、 このパーツ参照で指定された各メッセージ・パーツのダイジェスト作成に使用されます。
    5. 「パーツ参照」サブセクションから、「変換」サブセクションおよびパーツ参照構成を展開します。
    6. 「変換」サブセクションで「追加」をクリックして新規項目を追加するか、 既存の項目を選択して「編集」をクリックします。 「変換」ダイアログ・ウィンドウが表示されます。
    7. 「名前」フィールドで変換名を指定します。 例えば、reqint_body_transform1 などです。
    8. 「Algorithm」フィールドから変換アルゴリズムを選択します。 以下の変換アルゴリズムがサポートされています。
      http://www.w3.org/2001/10/xml-exc-c14n#
      このアルゴリズムは、World Wide Web Consortium (W3C) Exclusive Canonicalization の勧告を指定します。
      http://www.w3.org/TR/1999/REC-xpath-19991116
      このアルゴリズムで、W3C XML Path Language 勧告が指定されます。 このアルゴリズムを指定する場合は、 「追加プロパティー」の下に表示される「プロパティー」をクリックして、 プロパティー名と値を指定する必要があります。 例えば、以下の情報を指定できます。
      プロパティー
      com.ibm.wsspi.wssecurity.dsig.XPathExpression
      not(ancestor-or-self::*[namespace-uri()='http://www.w3.org/2000/09/xmldsig#' and local-name()='Signature'])
      http://www.w3.org/2002/06/xmldsig-filter2
      このアルゴリズムは、XML-Signature XPath Filter バージョン 2.0 の勧告を指定します。
      このアルゴリズムを使用する場合は、「Transform property」フィールドでプロパティーのセットを指定する必要があります。 XPath Filter バージョン 2 では複数のプロパティー・セットを使用できます。 したがって、プロパティー名の末尾をプロパティー・セットの番号にすることをお勧めします。 以下の例では、この番号をアスタリスクで示しています。
      • XPath filter2 の XPath 式を指定するには、次のようにすることができます。
        name com.ibm.wsspi.wssecurity.dsig.XPath2Expression_*
      • 各 XPath のフィルター・タイプを指定するには、次のようにすることができます。
        name com.ibm.wsspi.wssecurity.dsig.XPath2Filter_*
        この式の後に、値 [intersect][subtract]、または [union] を指定できます。
      • 各 XPath の処理順序を指定するには、次のようにすることができます。
        name com.ibm.wsspi.wssecurity.dsig.XPath2Order_*
        この式の後に、XPath の処理順序を示します。
      以下に、完全な例のリストを示します。
      com.ibm.wsspi.wssecurity.dsign.XPath2Filter_1 = [intersect]
      com.ibm.wsspi.wssecurity.dsign.XPath2Order_1 = [1]
      com.ibm.wsspi.wssecurity.dsign.XPath2Expression_2 = [XPath expression#2]
      com.ibm.wsspi.wssecurity.dsign.XPath2Filter_2 = [subtract]
      com.ibm.wsspi.wssecurity.dsign.XPath2Filter_2 = [1]
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      http://www.w3.org/2002/07/decrypt#XML
      このアルゴリズムは、W3C Decryption Transform for XML Signature 勧告を指定します。
      http://www.w3.org/2000/09/xmldsig#enveloped-signature
      このアルゴリズムは、XML デジタル・シグニチャーの W3C 勧告を指定します。

      ジェネレーター用に選択した変換アルゴリズムは、 コンシューマー用の変換アルゴリズムと一致している必要があります。

  11. OK」をクリックします。

次の作業

ジェネレーター・バインディングについてこのタスクを完了したら、次は、 コンシューマー・バインディングの署名情報を構成する必要があります。



関連タスク
ジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、キーワードによる署名
ジェネレーターのセキュリティー制約におけるメッセージ・エレメントの、XPath 式による署名
ジェネレーター・バインディング用鍵情報の、アセンブリー・ツールによる構成
コンシューマー・バインディング用署名情報の、アセンブリー・ツールによる構成
Web サービス・アプリケーションをアセンブルしながらの Web サービス・セキュリティーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 11:31:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/twbs_specsigninfogenbind.html