サーバー構成で暗号トークン・サポートを提供するために WebSphere Application Server が使用できるハードウェア暗号鍵ストアを作成できます。
このタスクについて
管理コンソールで以下のステップを実行します。
プロシージャー
- 「セキュリティー」>「SSL 証明書および鍵管理」>
「エンドポイント・セキュリティー構成の管理」>「{Inbound | Outbound}」>
「鍵ストアおよび証明書」をクリックします。
- 「新規」をクリックします。
- 鍵ストアを識別するための名前を入力します。 この名前は、Web サービス・セキュリティー構成でハードウェア暗号を使用可能にするために使用されます。
- ハードウェア・デバイス固有の構成ファイルのパスを入力します。 この構成ファイルは、attribute = value という形式をしたエントリーを含むテキスト・ファイルです。属性および値の有効な値は、Software Developer Kit, Java Technology Edition 文書で詳細に説明されています。2 つの必須属性は name と library です。これを以下のサンプル・コードで示します。
name = FooAccelerator
library = /opt/foo/lib/libpkcs11.so
slotListIndex = 0
構成ファイルには、デバイス固有の構成データも含める必要があります。
Java テクノロジー・サイト (http://www.ibm.com/developerworks/java/jdk/security/50/) の見出し「PKCS 11 Implementation Provider」の下にある、PKCS11ImplConfigSamples.jar ファイルにナビゲートします。このファイルには、サンプルの構成ファイルが含まれています。
- トークン・ログインが必要な場合は、パスワードを入力します。 トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、「Enable pure acceleration for hardware cryptographic operations」を選択する必要があります。
- 「PKCS11」タイプを選択します。
- 「読み取り専用」を選択します。
- 「OK」をクリックしてから「保管」をクリックします。
結果
以上で、WebSphere Application Server は、サーバー構成で暗号トークン・サポートを提供できるようになりました。
次の作業
どのサーバーの Secure Sockets Layer (SSL) 構成においても、この鍵ストアを参照して、以下の結果を得ることができます。
- 暗号加速。暗号ハードウェア・デバイスは永続的な鍵ストレージを持たないため。
- セキュアな暗号ハードウェア。暗号トークンは、WebSphere Application Server が SSL 鍵交換に使用する秘密鍵を生成し、安全にそれを保管するため。
Web サービス・セキュリティーのデフォルト・バインディング構成内のこの鍵ストアを参照することにより、同様の結果を得ることもできます。