IBM WebSphere Application Server バージョン 6.1 以降では、Web サービス・セキュリティーは暗号ハードウェア・デバイスの使用をサポートしています。 Web サービス・セキュリティーでハードウェア暗号装置を使用するには、 2 とおりの方法があります。
ハードウェア・デバイスで暗号操作を使用可能にできます。 使用する鍵は Java 鍵ストア・ファイルに保管でき、ハードウェア・デバイスに保管する必要はありません。 ハードウェア・デバイスで暗号操作を使用可能にする決定は、サーバー・レベルでのみ行うことができ、ア プリケーション・レベルでは行うことができません。
ハードウェア・デバイスでの暗号操作が使用可能になっていると、Web サービス・セキュリティー・ランタイムはまず、暗号操作にハードウェア・デバイスを使用しようとします。 ハードウェア・デバイスの試行が失敗するか、ハードウェア・デバイスでアルゴリズムがサポートされていない場合は、ランタイムはセキュリティー・プロバイダーのリストからソフトウェア・プロバイダーを使用します。
このフィーチャーを使用可能にすると、ハードウェア・デバイスによってはパフォーマンスが向上することがあります。 ハードウェア・デバイスで暗号操作を使用可能にする方法について詳しくは、Web サービス・セキュリティー用ハードウェア暗号デバイスの構成 を参照してください。
暗号鍵は、ハードウェア暗号デバイスに保管でき、このデバイス から移動することはありません。 こうしたセキュアな鍵は、パフォーマンスではなくセキュリティーを考慮して、ハードウェア暗号デバ イスに限定されています。 ハードウェア暗号デバイスに保管されている鍵ストアを使用するか、Java 鍵ストア・ファイルを使用するかの選択は、 アプリケーション・レベルで行うことができます。
鍵ストア参照がハードウェア・デバイス構成に指定されている場合、Web サービス・セキュリティー・ランタイムはまず、ハードウェア・デバイスから暗号アルゴリズムを取得しようとします。 アルゴリズムがサポートされていない場合または失敗する場合は、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。
セキュアな鍵を使用可能にする方法について詳しくは、Web サービス・セキュリティー内のハードウェア・デバイスに格納されている暗号鍵の使用可能化 を参照してください。
WebSphere Application Server を構成して、ハードウェア鍵ストアを使用したり、ハードウェア・アクセラレーション・カードを構成して、セッション鍵の長期間の使用を可能にします。 セッション鍵は、セキュアでない場合があります。
セキュアでないセッション鍵について不安な場合は、WebSphere Application Server を構成し、ハードウェア鍵ストアを使用してください。Web サービス・セキュリティーのハードウェア・デバイスに格納されている暗号鍵を有効にする方法に関する情報を参照してください。