WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

特定のインバウンド・エンドポイントに対する Secure Sockets Layer クライアント認証の使用可能化

Secure Sockets Layer (SSL) 構成を設定すると、特定のインバウンド・エンドポイントに対してクライアント認証を使用可能にできます。

始める前に

事前に、エンドポイント構成が SSL トポロジーに存在している必要があります。

このタスクについて

管理コンソールで以下のステップを実行します。

プロシージャー

  1. セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の管理」 >「インバウンド」>「SSL_configuration」とクリックします。 すべてのプロセスに対して SSL クライアント認証を使用可能にする場合は、ノード・レベルまたはセル・レベルで新規のエンドポイントに SSL 構成を定義します。これにより、その SSL 構成が同じノード上またはセル全体のすべてのプロセスから可視になります。 詳しくは、 Secure Sockets Layer 構成の作成 を参照してください。
  2. 継承された値のオーバーライド」を選択します。 この SSL 構成は、現在の有効範囲、およびまだ SSL 構成が指定されていない、それよりも下位の有効範囲に使用されます。このフィールドは、オブジェクト階層内のサーバーおよびノード・グループに対して表示され、最上位ノードまたはセルには表示されません。
  3. ドロップダウン・リストから SSL 構成を選択します。
  4. 証明書別名リストの更新」をクリックします。
  5. ドロップダウン・リストから「証明書別名」を選択します。
  6. OK」をクリックして、構成を保管します。

結果

同一の SSL 構成を使用しているエンドポイントごとに前述のステップを繰り返して、インバウンド・エンドポイントに対してクライアント認証を使用可能にできます。

次の作業

CSIv2 プロトコル例外:

Internet Inter-ORB Protocol (RMI/IIOP) セキュリティーを介したリモート・メソッド呼び出しに使用される Common Secure Interoperability バージョン 2 (CSIv2) セキュア・エンドポイントは、継承された値をオーバーライドできません。その他の SSL プロパティーは、一元管理されているセキュア通信パネルで選択されている場合は、CSIv2 に対して有効ですが、クライアント認証選択は CSIv2 プロトコル構成によって制御されます。

CSIv2 プロトコルに対して SSL クライアント証明書認証を使用可能にするには、CSIv2 インバウンドおよびアウトバウンド認証パネルを使用する必要があります。2 つのサーバー間で SSL クライアント認証を行うには、インバウンド・ポリシーおよびアウトバウンド・ポリシーの両方に対して、SSL クライアント証明書認証を使用可能にする (サポートする、または要求する) 必要があります。

WebSphere Application Server は、SSL ハンドシェーク用の署名者証明書を提供するよう クライアントに要求する (またはクライアントがそれを提供するのをサポートする) か、 または SSL ハンドシェーク用の有効な署名者証明書を提供するようクライアントに要求することができますが、 後者の方法の方がより安全です。ただし、このサーバーが証明書を要求する場合、このサーバーに接続しているクライアントごとに署名者を取得する必要があり、サーバー側での管理がさらに必要になります。

クライアント証明書がサーバー間で使用される場合は、その証明書を ID 用に使用しないでください。ただし、純粋なクライアントがクライアント証明書を送信する場合は、ユーザー ID やパスワードなど、メッセージ・レベルの ID が指定されていない限り、クライアント証明書が ID に使用されます。

サーバー間の場合は、以下を実行して、CSIv2 プロトコルに対してクライアント証明書認証を使用可能にしてください。
  1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  2. RMI/IIOP」セキュリティー・セクションを展開します。
  3. CSIv2 インバウンド認証」をクリックします。
  4. 「クライアント認証」の下で、「サポート」または「必要」のいずれかを選択します。 「必要」を選択した場合は、1 つの SSL ポートだけが開きます (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS)。「サポート」を選択した場合は、2 つの SSL ポートが開きます (CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS と CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS の両方)。

    2 つのポートがある場合、クライアントは、ポートのセキュリティー構成ポリシーに基づいていずれかを選択できます。

  5. OK」をクリックして保管します。
  6. サーバー間の SSL クライアント認証が必要な場合は、残りのステップを実行します。残りのステップを実行しない場合は、純粋なクライアントのみがクライアント証明書を送信できます。
  7. RMI/IIOP」セキュリティー・セクションを展開します。
  8. CSIv2 アウトバウンド認証」をクリックします。
  9. 「クライアント認証」の下で、「サポート」または「必要」のいずれかを選択します。

SSL クライアント証明書認証を使用可能にしているインバウンド・セキュア・エンドポイントの SSL 構成は、そのインバウンド・セキュア・エンドポイントとの接続を開こうとするクライアントからの署名者証明書を持っている必要があります。それらの署名者を収集し、インバウンド・セキュア・エンドポイント SSL 構成に関連付けられているトラスト・ストアにそれらを追加する必要があります。




関連概念
Secure Sockets Layer ノード、アプリケーション・サーバー、およびクラスターの分離
関連タスク
エンドポイント構成から SSL 構成の別名を直接選択
個人証明書からの署名者証明書の抽出
Secure Sockets Layer 構成の作成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/tsec_sslclientauthinbound.html