アセンブリー・ツールを使用して、トラスト・アンカー (署名者の証明書の妥当性を検証するためのトラステッド・ルート証明書を含んだ鍵ストアを指定する) またはトラスト・ストアをアプリケーション・レベルで構成します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。
この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x
以降のアプリケーションには適用されません。
ここでは、トラスト・アンカーまたはトラスト・ストアをアプリケーション・レベルで構成する方法について説明します。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。
アプリケーション・レベルのトラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。ここでは、アセンブリー・ツールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成
または管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
を参照してください。
このタスクについて
トラスト・アンカーは、署名者証明書を検証するトラステッド・ルート証明書を含む鍵ストアを指定します。
これらの鍵ストアは、要求の受信側 (ibm-webservices-bnd.xmi ファイルで定義) および応答の受信側 (Web サービスがクライアントとして動作する場合、application-client.xml で定義) によって、デジタル・シグニチャーの署名者証明書を妥当性検査するために使用されます。鍵ストアは、デジタル・シグニチャー検証の保全性のために、きわめて重要です。鍵ストアが改ざんされると、デジタル・シグニチャーの検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。ibm-webservices-bnd.xmi ファイルで要求受信側用に指定するバインディング構成は、application-client.xml
ファイルで応答受信側用に指定されているバインディング構成と一致している必要があります。
以下のステップを完了して、アセンブリー・ツールを使用してトラスト・アンカーを構成します。
プロシージャー
- Java 2 Platform, Enterprise Edition (J2EE) エンタープライズ・アプリケーションと連動する
アセンブリー・ツールを構成します。 詳しくは、
アプリケーションのアセンブル
を参照してください。
- Web サービス対応 J2EE エンタープライズ・アプリケーションを作成します。
サーバーで Web サービス・セキュリティー・バインディング情報を管理する方法の概要については、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成
か、管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
を参照してください。
- ibm-webservicesclient-bnd.xmi バインディング拡張ファイルで定義された、クライアント・サイドの応答受信側を構成します。
- アセンブリー・ツールを使用して J2EE アプリケーションをインポートします。
- 「ウィンドウ」>「パースペクティブのオープン」>「その他」>「J2EE」とクリックします。
- 「アプリケーション・クライアント・プロジェクト」>「application_name」>
「appClientModule」>「META-INF」とをクリックします。
- application-client.xml ファイルを右マウス・ボタンでクリックし、
「開く」>「デプロイメント記述子エディター」と選択し、「WS Binding」タブを
クリックします。
クライアント・デプロイメント記述子が表示されます。
- 「Port qualified name binding」セクションを位置指定し、既存の項目を選択するか、
「追加」をクリックして新規のポート・バインディングを追加します。
選択したポートの Web Services Client Port Binding エディターが表示されます。
- 「Trust anchor」セクションを位置指定して、「追加」をクリックします。
「トラスト・アンカー」ウィンドウが表示されます。
- ポート・バインディングで固有の名前を「Trust anchor name」に入力します。
その名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
サポートされている鍵ストア・タイプは、Java Cryptography Extension (JCE) タイプと Java Cryptography Extension KeyStores (JCEKS) タイプです。
選択したトラスト・アンカーを編集するには、「編集」をクリックします。
選択したトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保管します。
- ibm-webservices-bnd.xmi バインディング拡張ファイルで定義された、サーバー・サイドの要求受信側を構成します。
- 「ウィンドウ」>「パースペクティブのオープン」>「J2EE」とクリックします。
- Web サービス対応の Enterprise JavaBeans (EJB) または Web モジュールを選択します。
- 「Package Explorer」ウィンドウで、EJB モジュールの場合は META-INF ディレクトリーを、Web モジュールの場合は WEB-INF ディレクトリーをクリックします。
- webservices.xml ファイルを右マウス・ボタン・クリックし、
「開く」>「Web services editor」と選択して「バインディング」タブをクリックします。 Web Services Binding
エディターが表示されます。
- 「Web service description bindings」セクションを位置指定し、既存の項目を選択するか、「追加」をクリックして新規の Web サービス記述子を追加します。
- 「Binding configurations」をクリックします。 選択した Web サービス記述子の Web Services Binding Configurations エディターが表示されます。
- 「Trust anchor」セクションを位置指定して、「追加」をクリックします。
「Trust anchor」ダイアログ・ボックスが表示されます。
- そのバインディングで固有の名前を「Trust anchor name」に入力します。
この固有の名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストア・パスワード、パス、および鍵ストア・タイプを入力します。
サポートされている鍵ストア・タイプは、JCE と JCEKS です。
選択したトラスト・アンカーを編集するには、「編集」をクリックします。
選択したトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保管します。
結果
この手順では、要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) が署名者の証明書を検査するために使用可能なトラスト・アンカーを定義します。
例
要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) は、定義済みのトラスト・アンカーを使用して、署名者の証明書を検査します。トラスト・アンカーの参照には、トラスト・アンカー名が使用されます。