WebSphere Application Server の管理コンソールを使用して、署名者の証明書の妥当性を検証するためのトラステッド・ルート証明書を含んだ鍵ストアを指定するトラスト・アンカーを構成します。
始める前に
重要: バージョン 5.x とバージョン 6 以降のアプリケーションとの間には重要な相違点があります。
この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。この情報はバージョン 6.0.x
以降のアプリケーションには適用されません。
ここでは、トラスト・アンカーまたはトラスト・ストアをアプリケーション・レベルで構成する方法について説明します。サーバー・レベルまたはセル・レベルでトラスト・アンカーを構成する方法は説明しません。アプリケーション・レベルで定義されたトラスト・アンカーには、サーバー・レベルまたはセル・レベルで定義されたトラスト・アンカーよりも優先順位が高くなります。サーバー・レベルまたはセル・レベルでのトラスト・アンカーの作成および構成について詳しくは、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成
または管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
を参照してください。
アプリケーション・レベルのトラスト・アンカーは、アセンブリー・ツールまたは管理コンソールを使用して構成することができます。ここでは、管理コンソールを使用したアプリケーション・レベルのトラスト・アンカーの構成方法について説明します。
このタスクについて
トラスト・アンカーは、署名者証明書の妥当性を検査するトラステッド・ルート証明書を含む
鍵ストアを指定します。
これらの鍵ストアは、要求の受信者 (ibm-webservices-bnd.xmi ファイルで定義) および応答の受信者 (Web サービスがクライアントとして動作する場合、ibm-webservicesclient-bnd.xmi で定義) によって、デジタル・シグニチャーの署名者の証明書を妥当性検査するために使用されます。鍵ストアは、デジタル・シグニチャー検証の保全性のために、きわめて重要です。鍵ストアが改ざんされると、デジタル・シグニチャーの検証結果は疑わしく、信頼性が損なわれたものになります。
したがって、これらの鍵ストアを保護することをお勧めします。
ibm-webservices-bnd.xmi ファイルで要求受信側用に指定するバインディング構成は、ibm-webservicesclient-bnd.xmi ファイルで応答受信側用に指定されているバインディング構成と一致している必要があります。
以下は、ibm-webservicesclient-bnd.xmi ファイルで定義されたクライアント・サイドの応答受信側、および、ibm-webservices-bnd.xmi ファイルで定義されたサーバー・サイドの要求受信側のためのステップです。
プロシージャー
- Java 2 Platform, Enterprise Edition (J2EE) エンタープライズ・アプリケーションと連動する
アセンブリー・ツールを構成します。 詳しくは、
アプリケーションのアセンブル
を参照してください。
- Web サービス対応 J2EE エンタープライズ・アプリケーションを作成します。
サーバーで Web サービス・セキュリティー・バインディング情報を管理する方法の概要については、アセンブリー・ツールを使用したサーバー・セキュリティー・バインディングの構成
か、管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
を参照してください。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「enterprise_application」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- Web サービスがクライアントとして動作している場合、「Web サービス・セキュリティー・プロパティー
」の下の「Web サービス: クライアント・セキュリティーのバインディング」をクリックして、応答受信側のバインディング情報を編集します。
- 「応答受信側のバインディング」の下の「編集」をクリックします。
- 「追加プロパティー」の下の「Trust anchors」をクリックします。
- 新規のトラスト・アンカーを作成する場合は、「新規」をクリックします。
- 要求受信側のバインディングで固有の名前を、「Trust anchor name」フィールドに入力します。 その名前は、定義されるトラスト・アンカーの参照に使用されます。
- 鍵ストアのパスワード、パス、および鍵ストア・タイプを入力します。
- 選択したトラスト・アンカーを編集するには、トラスト・アンカー名リンクをクリックします。
-
選択した 1 つまたは複数のトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- ステップ 2 でアクセスした、Web サービス対応のモジュール・パネルに戻ります。
- 「Web サービス・セキュリティー・プロパティー」の下の「Web
サービス: サーバー・セキュリティーのバインディング」をクリックして、要求受信側のバインディング情報を編集します。
- 「要求受信側のバインディング」の下の「編集」をクリックします。
- 「追加プロパティー」の下の「Trust anchors」をクリックします。
- 新規のトラスト・アンカーを作成する場合は、「新規」をクリックします。
要求受信側のバインディングで固有の名前を「Trust anchor name」フィールドに入力します。その名前は、定義されるトラスト・アンカーの参照に使用されます。
鍵ストアのパスワード、パス、および鍵ストア・タイプを入力します。
選択したトラスト・アンカーを編集するには、トラスト・アンカー名リンクをクリックします。
選択した 1 つまたは複数のトラスト・アンカーを除去するには、「除去」をクリックします。
アプリケーションを開始すると、実行時のバインディング情報のロード中に、構成の妥当性検査が行われます。
- 変更を保管します。
結果
この手順では、要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) が署名者の証明書を検査するために使用可能なトラスト・アンカーを定義します。
例
要求受信側または応答受信側 (Web サービスがクライアントとして動作する場合) は、定義済みのトラスト・アンカーを使用して、署名者の証明書を検査します。トラスト・アンカーの参照には、トラスト・アンカー名が使用されます。