アプリケーション・レベルでのジェネレーター・バインディングのコレクション証明書を構成できます。
このタスクについて
コレクション証明書ストア は、ルート以外の認証局 (CA) 証明書および証明書取り消しリスト (CRL) の集合です。
CA 証明書と CRL の集合は、デジタル・シグニチャー付きの SOAP メッセージの有効なシグニチャー検査に使用します。
以下のステップを実行して、
ジェネレーター・バインディングのコレクション証明書をアプリケーション・レベルで構成します。
プロシージャー
- 管理コンソールで
「collection certificate store」構成パネルを見付けます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web サービス・セキュリティー・プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの鍵情報にアクセスできます。
- 要求ジェネレーター (送信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答ジェネレーター (送信側) バインディングについては、「Web サービス:
サーバー・セキュリティーのバインディング」をクリックします。
「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下の「コレクション証明書ストア」をクリックします。
- 証明書ストア名を指定します。
「新規」をクリックしてコレクション証明書ストア構成を作成するか、
構成の隣にあるボックスを選択し、「削除」をクリックして既存の構成を削除するか、
あるいは既存のコレクション証明書ストア構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
コレクション証明書ストアの名前は、
アプリケーション・サーバーのレベルに対して固有でなければなりません。
例えば、コレクション証明書ストアをアプリケーション・レベルで作成する場合は、
ストア名はアプリケーション・レベルに対して固有でなければなりません。
「Certificate store name」フィールドで指定された名前は、
事前定義コレクション証明書ストアを参照するために、他の構成によって使用されます。
WebSphere Application Server は、
接近性に基づいてコレクション証明書ストアを検索します。
例えば、アプリケーション・バインディングが、
cert1 という名前のコレクション証明書ストアを参照する場合、
Application Server は、サーバー・レベルを検索する前に、
アプリケーション・レベルで cert1 を検索します。
- 「証明書ストア・プロバイダー」フィールドで証明書ストア・プロバイダーを指定します。
WebSphere Application Server は、
IBMCertPath 証明書ストア・プロバイダーをサポートします。
別の証明書ストア・プロバイダーを使用する場合は、
install_dir/java/jre/lib/security/java.security ファイル内にある
プロバイダー・リストでプロバイダー・インプリメンテーションを定義する必要があります。
ただし、
そのプロバイダーが WebSphere Application Server と同じ証明書パス・アルゴリズムの要件をサポートすることを確認してください。
- 「OK」および「保管」をクリックして、構成を保管します。
- 証明書ストア構成の名前をクリックします。
証明書ストア・プロバイダーを指定した後、
証明書失効リストの場所または X.509 証明書のいずれかを指定する必要があります。
ただし、証明書失効リストおよび X.509 証明書を両方とも証明書ストア構成に対して指定することができます。
- 「追加プロパティー」の下の「Certificate revocation lists」をクリックします。
- 「新規」をクリックして証明書失効リストのパスを指定するか、
「削除」をクリックして既存のリスト参照を削除するか、
あるいは既存の参照名をクリックしてパスを編集します。
WebSphere Application Server が
無効な証明書のリストを見付けることができる場所への完全修飾パスを指定する必要があります。
移植性という理由から、
証明書失効リスト (CRL) への相対パスを指定する場合は、
WebSphere Application Server 変数を使用することをお勧めします。
WebSphere Application Server Network Deployment 環境で作業をしている場合は、この推奨事項が特に重要です。
例えば、USER_INSTALL_ROOT 変数を使用して、
$USER_INSTALL_ROOT/mycertstore/mycrl1 などのパスを定義する場合があります。
サポートされている変数のリストについては、
管理コンソールで「環境」>「WebSphere 変数」とクリックします。
以下のリストに、証明書失効リストの使用に関する推奨事項を示します。
- CRL がコレクション証明書ストアに追加される場合は、該当するルート証明書権限および各中間証明書の CRL を追加します。
CRL が証明書コレクション・ストアにある場合、チェーン内のすべての証明書に対する証明書失効の状況が
発行者の CRL に対して検査されます。
- CRL ファイルが更新される場合、Web サービス・アプリケーションを再始動するまで、新規 CRL は有効になりません。
- CRL の有効期限が切れる前に、新規 CRL を証明書コレクション・ストアにロードして、古い CRL を置き換える必要があります。
コレクション証明書ストア内の CRL は有効期限が切れると、証明書パス (CertPath) の作成が失敗します。
- 「OK」および「保管」をクリックして、構成を保管します。
- 「コレクション証明書ストア」構成パネルに戻ります。
パネルにアクセスするには、以下のステップを実行します。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security properties」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの鍵情報にアクセスできます。
- 要求ジェネレーター (送信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答ジェネレーター (送信側) バインディングについては、「Web サービス:
サーバー・セキュリティーのバインディング」をクリックします。
「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「追加プロパティー」の下で「コレクション証明書ストア」>「certificate_store_name」とクリックします。
- 「追加プロパティー」の下の「X.509 certificates」をクリックします。
- 「新規」をクリックして X.509 証明書構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存の X.509 証明書構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Certificate store name」フィールドに名前を入力します。
- 「X.509 certificate path」フィールドにパスを指定します。
このエントリーは、X.509 証明書の場所への絶対パスです。
コレクション証明書ストアは、
着信する X.509 形式のセキュリティー・トークンの証明書パスを検証するために使用されます。
USER_INSTALL_ROOT 変数をパス名の一部として使用することができます。
例えば、USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer と入力できます。
この証明書パスは、実動用には使用しないでください。
WebSphere Application Server 環境を実動させる前に、
認証局からユーザー独自の X.509 証明書を取得する必要があります。
管理コンソールで「環境」>「WebSphere 変数」とクリックして、
「USER_INSTALL_ROOT」変数を構成します。
- 「OK」をクリックしてから「保管」をクリックして、構成を保管します。
結果
これで、ジェネレーター・バインディングのコレクション証明書ストアが構成されました。
次の作業
同様のコレクション証明書ストア構成をコンシューマーに対して指定する必要があります。