WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

トラスト・マネージャーによる X.509 証明書の信頼についての決定の制御

トラスト・マネージャーの役割は、ピアによって送信される Secure Sockets Layer (SSL) 証明書の検証 です。これには、証明書の署名の検証と有効期限の検査があります。 Java Secure Socket Extension (JSSE) トラスト・マネージャーは、リモート・ピアが信頼できるかどうかを SSL ハンドシェーク中に判別します。

WebSphere Application Server には、SSL 接続中に複数のトラスト・マネージャーを呼び出す機能があります。 デフォルトのトラスト・マネージャーは、標準的な証明書の検証を行います。カスタム・トラスト・マネージャー・ プラグインは、ホスト名の検証などのカスタマイズした検証を実行します。 詳しくは、例: カスタム SSL トラスト決定用のカスタム・トラスト・マネージャーの作成 を参照してください。

トラスト・マネージャーをサーバー・サイドの SSL 構成内に構成する場合、 このサーバーは isClientTrusted メソッドを呼び出します。 トラスト・マネージャーをクライアント・サイドの SSL 構成内に構成する場合、 このクライアントは isServerTrusted メソッドを呼び出します。 ピア証明書チェーンは、これらのメソッドに渡されます。トラスト・マネージャーがピア情報を信頼しないと選択した場合は、例外を作成してハンドシェークを強制的に失敗させる場合があります。

オプションで、WebSphere Application Server は、追加情報をトラスト・マネージャーに渡すことができるように、 com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを提供しています。 詳しくは、com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを参照してください。

デフォルトの IbmX509 トラスト・マネージャー

次のサンプル・コードで使用されているデフォルトの IbmX509 トラスト・マネージャーは、標準的な証明書検証を実行して信頼を確立します。
<trustManagers xmi:id="TrustManager_1132357815717" name="IbmX509" provider="IBMJSSE2"
algorithm="IbmX509" managementScope="ManagementScope_1132357815717"/>
トラスト・マネージャーは 署名者証明書を提供して、ハンドシェーク中に送信されるピア証明書を検証します。 SSL 構成のトラストストアに追加された署名者は、信頼できるものである必要があります。 署名者を信頼しないか、他人に自分のサーバーへの接続を許可したくない場合は、証明局 (CA) からデフォルトのルー ト証明書を除去することを検討してください。また、発信元を確認できない自己署名証明書がある場合は、これを除去することもできま す。

デフォルトの IbmPKIX トラスト・マネージャー

デフォルトの IbmPKIX トラスト・マネージャーを使用して、次のコード・サンプルで示される IbmX509 トラスト・マネージャーを置き換えることができます。
<trustManagers xmi:id="TrustManager_1132357815719" name="IbmPKIX" provider="IBMJSSE2"
algorithm="IbmPKIX" trustManagerClass="" managementScope="ManagementScope_1132357815717">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1132357815717"
name="com.ibm.security.enableCRLDP" value="true" type="boolean"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1132357815718"
name="com.ibm.jsse2.checkRevocation" value="true" type="boolean"/>
  </trustManagers>
標準的な証明書の検証という役割に加え、IbmPKIX トラスト・マネージャーは証 明書取り消しリスト (CRL) 配布ポイントを含む証明書があるかを検査します。このプロセスは、拡張 CRL 検査 と呼ばれます。トラスト・マネージャーを選択する場 合、CRL 検査が使用可能になっていることを IBMCertPath および IBMJSSE2 プロバイダーが認識するように、関連付けられたプロパティーが Java システム・プロパティーとして 自動的設定されます。

カスタム・トラスト・マネージャー

カスタム・トラスト・マネージャーを定義して、追加の信頼関連の検査 を実行できます。この検査は、環境の必要に基づいて行います。 例えば、ある環境で、同じ Transmission Control Protocol (TCP) サブネットのみから接続を使用可能にする場合があります。com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースは、標準的な Java Secure Sockets Extension (JSSE) である javax.net.ssl.X509TrustManager インターフェースでは提供されない、接続についての拡張情報を提供します。 構成済みの trustManagerClass 属性によって、 どのクラスがランタイムによってインスタンス化されるかを判別します。 次のサンプル・コードを参考にしてください。
<trustManagers xmi:id="TrustManager_1132357815718" name="CustomTrustManager"
trustManagerClass="com.ibm.ws.ssl.core.CustomTrustManager"
managementScope="ManagementScope_1132357815717"/>
trustManagerClass 属性は javax.net.ssl.X509TrustManager インターフェースを実装する必要があり、オプションで com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを実装できます。

デフォルト・トラスト・マネージャーの使用不可化

場合によっては、IbmX509 および IbmPKIX デフォルト・トラス ト・マネージャーが提供する、標準的な証明書の検証を実行したくないことがあります。例えば、SSL クライアントまたはサーバー認証、保全性、または機密性が 関係しない内部的な自動化テスト・インフラストラクチャーを操作する場合などです。 次のサンプル・コードでは、プロパティーを true に設定した、基本的なカスタム・トラスト・マネージャー (com.ibm.ws.ssl.core.CustomTrustManager など) を示します。
com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined=true 
このプロパティーは、クライアントの ssl.client.props ファイル、またはサーバーの security.xml カスタム・プロパティー・ファイルの最上位にある、グローバル・プロパティーで設定できます。 デフォルトのトラスト・マネージャーを使用不可にする場合は、構成済みであってもデフォルトのトラスト・マネージャーをサーバーが呼び出すのを防ぐために、カスタム・トラスト・マネージャーを構成する必要があります。 デフォルトのトラスト・マネージャーを使用不可にすることは、一般的なやり方ではありません。 テスト環境ではまず、必ずデフォルトのトラスト・マネージャーを使用不可にしたシステムをテストしてください。 カスタム・トラスト・マネージャーのセットアップについて詳しくは、カスタム・トラスト・マネージャー構成の作成 を参照してください。



関連概念
Secure Sockets Layer 構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/csec_sslx509certtrustdecisions.html