「WS Extensions」タブと「WS Bindings」タブを使用して、Web サービス・セキュリティー拡張および Web サービス・セキュリティー・バインディングを構成します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。
この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
以下のステップを実行する前に、以下のいずれかのトピックに目を通して、「WS Extensions」タブおよび「WS Bindings」タブについて十分理解してください。
これら 2 つのタブは、Web サービス・セキュリティー拡張および Web サービス・セキュリティー・バインディングをそれぞれ構成するために使用します。
このタスクについて
このタスクを実行して、サーバーが要求メッセージの暗号化解除に使用する暗号化解除方式を指定します。
サーバーはクライアントと同じ暗号化解除方式を使用する必要があるため、クライアントが使用している暗号化解除方式がわかっていなければなりません。
プロシージャー
- アセンブリー・ツールを起動します。
アセンブリー・ツールの詳細については、
アセンブリー・ツール
を参照してください。
- Java 2 Platform, Enterprise Edition (J2EE) パースペクティブへ切り替えます。
「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- 「EJB プロジェクト」>「application_name」>「ejbModule」>「META_INF」とクリックします。
- webservices.xml ファイルを右マウス・ボタン・クリックして、「開く」>「Web services editor」と選択します。
- アセンブリー・ツールに含まれる Web サービス・エディターの下部にある
「バインディング構成」タブをクリックします。
- 「Request receiver binding configuration details」>「Encryption information」セクションと展開します。
- 「編集」をクリックして暗号化情報を表示します。 次の表では、それぞれの選択ごとの目的について説明します。
これらの定義のいくつかは、XML 暗号化仕様に基づいています。この仕様は、以下の Web アドレスにあります。http://www.w3.org/TR/xmlenc-core
- 暗号化名
- この暗号化情報項目の名前を表します。項目の別名です。
- データ暗号化方式アルゴリズム
- 固定サイズの複数オクテット・ブロック単位でデータを暗号化および暗号化解除します。
このアルゴリズムは、クライアントの要求送信側構成で選択されたアルゴリズムと一致している必要があります。
- 鍵暗号化方式アルゴリズム
- 鍵の暗号化および暗号化解除用に指定されたアルゴリズムです。
このアルゴリズムは、クライアントの要求送信側構成で選択されたアルゴリズムと一致している必要があります。
- 暗号鍵名
- 個人証明書の Subject を表します。
この Subject は、通常、暗号鍵ロケーターが検出する識別名 (DN) です。
Subject は、鍵暗号化方式アルゴリズムによる秘密鍵の暗号化解除に使用されます。その秘密鍵を使用してデータが暗号化解除されます。
選択した鍵は、鍵ロケーターに構成された鍵ストアの中の秘密鍵でなければなりません。
この鍵は、データを暗号化するためにクライアントが使用したものと同じ Subject を必要とします。
暗号化は、公開鍵を使用して行い、暗号化解除は、秘密鍵 (個人証明書) を使用して行う必要があります。
クライアントによるデータの暗号化に正しい公開鍵または秘密鍵が使用されたことを確認するには、
サーバーの鍵ストアから公開鍵を抽出し、クライアントの要求送信側の暗号化構成情報に指定されている鍵ストアに、
その公開鍵を追加する必要があります。
例えば、サーバーの個人証明書は CN=Bob, O=IBM, C=US です。
したがって、サーバーには、公開鍵と秘密鍵のペアが含まれます。
要求を送信するクライアントは、CN=Bob, O=IBM, C=US の公開鍵を使用してデータを暗号化する必要があります。
サーバーは CN=Bob, O=IBM, C=US の秘密鍵を使用して、データの暗号化を解除します。
- 暗号鍵ロケーター
- 別名と証明書が存在する正しい鍵ストアを検出する、鍵ロケーター・インプリメンテーション・クラスへの参照を表します。
鍵ロケーターの構成について詳しくは、アセンブリー・ツールを使用した鍵ロケーターの構成
および管理コンソールを使用した鍵ロケーターの構成
のセクションを参照してください。
- オプション: FIPS 準拠アルゴリズムのみを「Data
Encryption method algorithm」および「Key Encryption method algorithm」ドロップダウン・リストに表示したい場合、「Show only FIPS Compliant Algorithms」を選択します。このオプションは、アプリケーションを WebSphere Application Server 管理コンソールの「グローバル・セキュリティー」パネルで「Use the Federal Information Processing Standard (FIPS)」オプションを設定した WebSphere Application Server 上で稼働させる場合のオプションです。
結果
暗号化解除のためには、選択した暗号化鍵名が、暗号化情報で参照されているサーバーの鍵ロケーターで検出できる個人証明書を参照する必要があるということに十分注意してください。
ここで個人証明書の Subject を入力します。通常、これは識別名 (DN) です。
Subject はデフォルトの鍵ロケーターを使用して鍵を検出します。
カスタム鍵ロケーターが作成された場合は、鍵ロケーターが正しい暗号鍵を検出するために使用する任意の名前を暗号鍵名とすることができます。暗号化鍵ロケーターは、この別名と証明書が存在する正しい鍵ストアを検出するインプリメンテーション・クラスを参照します。
詳しくは、アセンブリー・ツールを使用した鍵ロケーターの構成
および管理コンソールを使用した鍵ロケーターの構成
を参照してください。