WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

鍵ロケーター

鍵ロケーター (com.ibm.wsspi.wssecurity.config.KeyLocator) は、 デジタル・シグニチャーおよび暗号化の鍵を検索するメカニズムの抽象概念です。

インプリメンテーションに応じて、鍵の検索元に以下の任意のインフラストラクチャーを使用できます。
鍵ロケーターは、いくつかのタイプの手掛かりを使用して鍵を検索します。 以下のタイプの手掛かりがサポートされています。

鍵ロケーターの現行バージョンは、 現行の Web サービス・セキュリティー・インプリメンテーションが秘密鍵ベースのシグニチャーをサポートしていないため、 検証鍵の検索をサポートしていません。 鍵ロケーターは公開鍵ベースのシグニチャーのみをサポートするため、検証用の鍵は、 着信メッセージ内の <BinarySecurityToken> エレメントとして X.509 証明書に組み込まれます。

例えば、鍵ロケーターは、応答の暗号化のために、コンテキストから呼び出し元の ID を取得したり、 呼び出し元の公開鍵を検索することができます。

使用法シナリオ

このセクションでは、鍵ロケーターの使用法シナリオについて説明します。

署名

署名鍵の名前は、Web サービス・セキュリティー構成で指定されます。 この値が鍵ロケーターに渡され、実際の鍵が戻されます。 対応する X.509 証明書も戻されます。

検査

前述のとおり、鍵ロケーターはシグニチャー検証では使用されません。

暗号化

暗号化鍵の名前は、Web サービス・セキュリティー構成で指定されます。 この値が鍵ロケーターに渡され、実際の鍵が戻されます。

暗号化解除

Web サービス・セキュリティー仕様では、 鍵名の代わりに鍵 ID を使用することを推奨しています。 しかし、公開鍵の ID を計算するためのアルゴリズムが Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280 で定義されているのに対し、 秘密鍵用の承認されたアルゴリズムはありません。 したがって、Web サービス・セキュリティーの現行インプリメンテーションでは、 公開鍵ベースの暗号化が実行される場合に限り、ID が使用されます。 それ以外の場合には、通常の鍵名が使用されます。

公開鍵ベースの暗号化を使用する場合、 鍵 ID の値が着信暗号化メッセージに組み込まれます。 その後、Web サービス・セキュリティー・インプリメンテーションは、 鍵ロケーターで管理されるすべての鍵を検索し、ID 値がメッセージ内の ID 値に一致する鍵を 使用してメッセージを暗号化解除します。

秘密鍵ベースの暗号化を使用する場合、 鍵名の値が着信暗号化メッセージに組み込まれます。 Web サービス・セキュリティー・インプリメンテーションは、 鍵ロケーターに対して、名前がメッセージ内の名前に一致する鍵を要求し、 その鍵を使用してメッセージを暗号化解除します。

重要: バージョン 5.x とバージョン 6.0.x のアプリケーションには重要な相違点があります。この資料の情報は、WebSphere Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報は、バージョン 6.0.x アプリケーションには適用されません。



関連概念
バイナリー・セキュリティー・トークン
関連タスク
XML ディジタル・シグニチャーを使用したバージョン 5.x アプリケーションの Web サービスの保護
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/cwbs_keylocator.html