WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

鍵ロケーター

鍵ロケーターは、デジタル署名および暗号化の鍵を検索するメカニズムの抽象概念です。 鍵ロケーターは、com.ibm.wsspi.wssecurity.config.KeyLocator インターフェースを実装する必要があります。

インプリメンテーションに応じて、鍵の検索元に以下の任意のインフラストラクチャーを使用できます。
鍵ロケーターは、いくつかのタイプの手掛かりを使用して鍵を検索します。 以下のタイプの手掛かりがサポートされています。

WebSphere Application Server バージョン 6 以降は、HMAC-SHA1 と呼ばれる秘密鍵ベースのシグニチャーをサポートします。 HMAC-SHA1 を使用する場合は、SOAP メッセージはバイナリー・セキュリティー・トークンを含みません。 この場合、メッセージ内の鍵情報は、鍵ストア内の秘密鍵を指定するために使用される鍵名を含みます。

鍵ロケーターは公開鍵ベースのシグニチャーをサポートするため、検証用の鍵は、 着信メッセージ内の <BinarySecurityToken> エレメントとして X.509 証明書に組み込まれます。 例えば、鍵ロケーターは、応答の暗号化のために、コンテキストから呼び出し元の ID を取得したり、 呼び出し元の公開鍵を検索することができます。

このセクションでは、鍵ロケーターの使用法シナリオについて説明します。

署名

署名鍵の名前は、Web サービス・セキュリティー構成で指定されます。 この値が鍵ロケーターに渡され、実際の鍵が戻されます。 対応する X.509 証明書も戻されます。

検査

デフォルトでは、WebSphere Application Server バージョン 6 以降は、以下の鍵ロケーターのタイプをサポートします。
KeyStoreKeyLocator
鍵ストアを使用して、デジタル・シグニチャーおよび検証、または暗号化および暗号化解除に使用される鍵を検索します。
X509CertKeyLocator
メッセージ内の X.509 証明書を使用して、検証または暗号化解除のための鍵を検索します。
SignerCertKeyLocator
要求メッセージ内の X.509 証明書を使用して、応答メッセージ内の暗号化のための鍵を検索します。

暗号化

暗号化鍵の名前は、Web サービス・セキュリティー構成で指定されます。 この値が鍵ロケーターに渡され、実際の鍵が戻されます。 サーバー・サイドでは、SignerCertKeyLocator を使用して、要求メッセージ内の X.509 証明書から応答メッセージ内の暗号化のための鍵を検索することができます。

暗号化解除

Web サービス・セキュリティー仕様では、 鍵名の代わりに鍵 ID を使用することを推奨しています。 しかし、公開鍵の ID を計算するためのアルゴリズムが Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280 で定義されているのに対し、 秘密鍵用の承認されたアルゴリズムはありません。 したがって、Web サービス・セキュリティーの現行インプリメンテーションでは、 公開鍵ベースの暗号化が実行される場合に限り、ID が使用されます。 それ以外の場合には、通常の鍵名が使用されます。

公開鍵ベースの暗号化を使用する場合、 鍵 ID の値が着信暗号化メッセージに組み込まれます。 その後、Web サービス・セキュリティー・インプリメンテーションは、 鍵ロケーターで管理されるすべての鍵を検索し、ID 値がメッセージ内の ID 値に一致する鍵を 使用してメッセージを暗号化解除します。

秘密鍵ベースの暗号化を使用する場合、 鍵名の値が着信暗号化メッセージに組み込まれます。 Web サービス・セキュリティー・インプリメンテーションは、 鍵ロケーターに対して、名前がメッセージ内の名前に一致する鍵を要求し、 その鍵を使用してメッセージを暗号化解除します。




関連概念
プラットフォーム構成とデフォルト・バインディングの概要
関連資料
鍵コレクション
鍵構成の設定
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/cwbs_keylocatorv6.html