WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

Secure Sockets Layer 構成

Secure Sockets Layer (SSL) 構成には、クライアントおよびサーバー両方の SSL エンドポイントの動作を制御することができる属性が含まれています。 特定の管理有効範囲を持つように、SSL 構成を割り当てることができます。SSL 構成が継承する有効範囲は、構成トポロジーでセル、ノード、サーバー、またはエンドポイント・リンクのどれを使用して構成を作成するかによって異なります。

SSL 構成を作成する場合は、次の SSL 接続属性を設定できます。

以下の方法により、SSL 構成を管理できます。 管理コンソールを使用して、WebSphere Application Server のすべての SSL 構成を管理できます。 管理コンソールから、 「セキュリティー」>「SSL 証明書 および鍵管理」>「エンドポイント・セキュリティー構成の管理」>「Inbound | Outbound」>「SSL_configuration」とクリックしてください。 SSL 構成は、トポロジー内で、その構成を作成したレベル、およびそのポイントの下の継承された有効範囲内に表示することができます。セル全体に SSL 構成を認識させる場合は、トポロジーのセル・レベルで構成を作成する必要があります。

security.xml ファイルでの SSL 構成

特定の管理スコープの SSL 構成レパートリーの項目を定義する属性は、security.xml ファイル内に格納されています。この有効範囲は、次の例に示すように、構成を認識できる、セル・トポロジー内の他のレベルのポイントを決 定します。
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings"
managementScope="ManagementScope_1" type="JSSE">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="false"
clientAuthenticationSupported="false" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" keyStore="KeyStore_1"
trustStore="KeyStore_2" trustManager="TrustManager_1" keyManager="KeyManager_1"
clientKeyAlias="default" serverKeyAlias="default"/>
</repertoire>
以前のコード・サンプルからの SSL 構成属性を、表 1 で説明します。
表 1. security.xml 属性
security.xml 属性 説明 デフォルト 関連した SSL プロパティー
xmi:id xml:id 属性は、この XML 項目の固有 ID を表し、 SSL 構成が他の XML オブジェクト (SSLConfigGroup など) と リンクする方法を決定します。 このシステム定義の値は、固有でなければなりません。 管理構成サービスは、デフォルト値を定義します。 なし。この値は XML 関連にしか使用されません。
alias alias 属性は、SSL 構成の名前を定義します。 直接選択では alias 属性を使用し、ノードは alias の接頭部に付きません。 その代わり、管理有効範囲により、名前が有効範囲内で必ず固有になります。 com.ibm.ssl.alias
managementScope managementScope 属性は、SSL 構成の管理有効範囲を定義し、実行時の SSL 構成の 可視性を決定します。 managementScope 属性は SSL プロパティーにマップされません。 ただし、SSL 構成がプロセスに関連付けられるかどうかを確認します。
type type 属性は Java Secure Socket Extension (JSSE) または System Secure Sockets Layer (SSSL) 構成オプションを定義します。JSSE は、WebSphere Application Server 内のほとんどのセキュアな通信の SSL 構成タイプです。 デフォルトは JSSE です。 com.ibm.ssl.sslType
clientAuthentication clientAuthentication 属性は、SSL クライアント認証が必要かどうかを決定します。 デフォルトは false です。 com.ibm.ssl.clientAuthentication
clientAuthenticationSupported clientAuthenticationSupported 属性は、SSL クライアント認証がサポートされるかどうかを決定します。クライアントはクライアント証明書を持っていない場合、クライアント証明書を提供する必要はありません。
重要:
clientAuthentication 属性を true に設定すると、clientAuthenticationSupported 属性に設定された値をオーバーライドします。
デフォルトは false です。 com.ibm.ssl.client.AuthenticationSupported
securityLevel securityLevel 属性は、暗号スイート・グループを決定します。 有効な値には、HIGH (128 ビット暗号)、MEDIUM (40 ビット暗号)、LOW (暗号化なしのすべての暗号)、および CUSTOM ( 暗号スイート・グループをカスタマイズする場合) があります。 特定の暗号リストを持つ enabledCiphers 属性を設定すると、システムはこの属性を無視します。 デフォルトは HIGH です。 com.ibm.ssl.securityLevel
enabledCiphers enabledCiphers 属性を設定して、暗号スイートの固有リストを指定できます。 リストでは、スペースで各暗号スイートを区切ります。 暗号スイート選択のデフォルトは、securityLevel 属性です。 com.ibm.ssl.enabledCipherSuites
jsseProvider jsseProvider 属性は、特定の JSSE プロバイダーを定義します。 デフォルトは IBMJSSE2 です。 com.ibm.ssl.contextProvider
sslProtocol sslProtocol 属性は、SSL ハンドシェーク・プロトコルを定義します。 有効なオプションには、SSLv2 (クライアント・サイドのみ)、SSLv3、SSL、SSL_TLS、TLSv1、および TLS の各値が あります。SSL のオプションには、SSLv2 と SSLv3 の値があります。 TLS のオプションには、TLSv1 値があります。最も相互運用性の高い SSL_TLS にはこれらのすべての値が含まれ、デフォルトは Transport Layer Security (TLS) ハンドシェークです。 デフォルトは SSL_TLS です。 com.ibm.ssl.protocol
keyStore keyStore 属性は、SSL 構成が鍵選択に使用する、鍵ストアと keyStore インスタンスの属性を定義します。   詳しくは、鍵ストア構成を参照してください。
trustStore trustStore 属性は、SSL 構成が証明書の署名の検査に使用する鍵ストアを定義します。   trustStore は JSSE の論理項です。これは、署名者証明書を含む鍵ストアを意味します。 署名者証明書は、SSL ハンドシェーク中に WebSphere Application Server に送信される証明書を検証します。
keyManager keyManager 属性は、WebSphere Application Server が鍵ストアから鍵を選択するのに使用す る、鍵マネージャーを定義します。JSSE の鍵マネージャーは、javax.net.ssl.X509KeyManager インターフェースを制御します。カスタム鍵マネージャー は、javax.net.ssl.X509KeyManager と com.ibm.wsspi.ssl.KeyManagerExtendedInfo インターフェースを制御します。com.ibm.wsspi.ssl.KeyManagerExtendedInfo インターフェースは、WebSphere Application Server からより多くの情報を提供します。 デフォルトは IbmX509 です。 com.ibm.ssl.keyManager は、既知の鍵マネージャーを定義し、アルゴリズムおよび algorithm|provider フォーマット (例えば、IbmX509 および IbmX509|IBMJSSE2) を受け入れます。 com.ibm.ssl.customKeyManager は、カスタム鍵マネージャーを定義し、他の keyManager プロパティーよりも優先 順位が高くなります。このクラスは、javax.net.ssl.X509KeyManager を実装する必要があり、implement com.ibm.wsspi.ssl.KeyManagerExtendedInfo を実装することができます。 詳しくは、X.509 証明書 ID の鍵マネージャー制御 を参照してください。
trustManager trustManager は、 接続のピア側を信頼するかどうかを決定する際に使用する、トラスト・マネージャーまたはトラスト・マネージ ャーのリストを決定します。 JSSE のトラスト・マネージャーは、javax.net.ssl.X509TrustManager インターフェースを実装します。 カスタム・トラスト・マネージャーは、WebSphere Application Server 環境からより多くの情報を取得するために、 com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを実装する場合もあります。 デフォルトは IbmX509 です。証明書に CRL 配布ポイントが含まれている場合は、証明書取り消し リスト (CRL) の検証に IbmPKIX トラスト・マネージャーを指定することができます。 com.ibm.ssl.trustManager は、たいていのハンドシェーク状況で必要な、既知のトラスト・マネージャーを定義します。 com.ibm.ssl.trustManager は、証明書有効期限の検査と署名の検証を実行します。 SSL ハンドシェーク中に呼び出される、追加のカスタム・トラスト・マネージャーを使用して、com.ibm.ssl.customTrustManagers を定義することができます。 トラスト・マネージャーを追加する場合は、 垂直バー (|) 文字で区切ってください。 詳しくは、トラスト・マネージャーによる X.509 証明書の信頼についての決定の制御 を参照してください。

クライアント SSL 構成は、ssl.client.props プロパティー・ファイルを使用して管理されます。ssl.client.props ファイルは、各プロファイルの ${USER_INSTALL_ROOT}/properties ディレクトリーにあります。 このファイルの構成について詳しくは、ssl.client.props クライアント構成ファイル を参照してください。




サブトピック
トラスト・マネージャーによる X.509 証明書の信頼についての決定の制御
X.509 証明書 ID の鍵マネージャー制御
関連概念
Secure Sockets Layer を使用したセキュア通信
関連タスク
Secure Sockets Layer 構成の作成
連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/csec_sslconfigs.html