署名情報構成や暗号化情報構成のバインディングがアプリケーション・レベルで定義されていない場合、
デフォルト・ジェネレーターの鍵情報を使用して、これらの構成で使用される鍵を指定します。
このタスクについて
ベスト・プラクティス: WebSphere Application Server Version
6.1 Feature Pack for Web Services は、本製品の機能を拡張して、Java API for XML-Based Web Services (JAX-WS) 2.0 の
プログラミング・モデルを導入できるようにします。
JAX-WS は、次世代の Web サービス・プログラミング・モデルであり、
Java API for XML-based RPC (JAX-RPC) プログラミング・モデルが提供する
基盤を提供します。戦略的 JAX-WS プログラミング・モデルを使用すると、
標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が
容易になります。
JAX-RPC プログラミング・モデルとアプリケーションは
引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを
新規に開発する場合は、
実装が容易な JAX-WS プログラミング・モデルをご利用ください。bprac
署名および暗号化情報構成は同じ鍵情報を共有することができますが、これは、これらがどちらも同じレベルで定義されているためです。
WebSphere Application Server はこれらのバインディングのデフォルト値を提供します。
しかし、管理者は実稼働環境用にこれらの値を変更する必要があります。
サーバー・レベルおよびセル・レベルでジェネレーター・バインディングの鍵情報を構成できます。
以下のステップでは、最初のステップを使用してサーバー・レベルの鍵情報を構成するか、または第 2 ステップを使用してセル・レベルの鍵情報を構成します。
プロシージャー
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
- 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーの
デフォルト・バインディング」をクリックします。
- 「セキュリティー」>「Web サービス」とクリックして、
セル・レベルのデフォルト・バインディングにアクセスします。
- 「デフォルト・ジェネレーター・バインディング」の下の「鍵情報」をクリックします。
- 「新規」をクリックして鍵情報構成を作成するか、
「削除」をクリックして既存の構成を削除するか、既存の鍵情報構成名をクリックして、その設定を編集します。
新規構成を作成している場合は、「鍵情報名」フィールドに鍵構成の固有名を入力します。
例えば、sig_keyinfo などです。
- 「鍵情報タイプ」フィールドから鍵情報タイプを選択します。
WebSphere Application Server は、以下の鍵情報タイプをサポートします。
- 鍵 ID
- この鍵情報タイプは、2 人の当事者が鍵 ID の作成方法に関して同意した場合に使用されます。
例えば、X.509 証明書のフィールドは、X.509 プロファイルに準じた鍵 ID に使用することができます。
- 鍵名
- 送信側と受信側が鍵名に同意した場合に、この鍵情報タイプが使用されます。
- セキュリティー・トークン参照
- この鍵情報タイプは一般に、X.509 証明書がデジタル・シグニチャーに使用される場合に使用されます。
- 組み込みトークン
- この鍵情報タイプは、組み込みエレメントにセキュリティー・トークンを組み込むために使用されます。
- X509 の発行者名および発行者シリアル
- この鍵情報タイプは、発行者名およびシリアル番号で X.509 証明書を指定します。
デジタル・シグニチャーに X.509 証明書を使用している場合は、「
Security token reference」を選択します。
これらのステップでは、このフィールドに 「
Security token reference」が選択されていることを前提とします。
重要: この鍵情報タイプは、コンシューマーに対して指定した鍵情報タイプと一致している必要があります。
- 「Key locator reference」メニューから鍵ロケーター参照を選択します。
これらのステップでは、鍵ロケーター参照を sig_klocator と呼ぶことを前提とします。
鍵ロケーター参照は、デジタル・シグニチャーの鍵を生成するために使用される鍵ロケーターの名前です。
このフィールドで選択する前に鍵ロケーターを構成する必要があります。
鍵ロケーターの構成について詳しくは、サーバーまたはセル・レベルでの JAX-RPC による
鍵ロケーターの構成
を参照してください。
- 「鍵の取得」をクリックして鍵名参照のリストを表示します。
「鍵の取得」をクリックすると、sig_klocator エレメントで定義した鍵名が鍵名参照メニューに表示されます。
鍵ロケーター参照を変更する場合は、再度「Get keys」をクリックして新しい鍵ロケーターに関連付けられた鍵名のリストを表示します。
- 「鍵名参照」メニューから鍵名参照を選択します。
この鍵名参照は、デジタル・シグニチャーの生成および暗号化に使用する鍵の名前を指定します。
「鍵名参照」メニューは、「鍵ロケーター参照」フィールドで選択した鍵ロケーターに定義された鍵名のリストを表示します。
例えば、「signerkey」を選択します。
署名者鍵は、sig_klocator 鍵ロケーターに定義した鍵名であることを前提とします。
- 「Token reference」フィールドからトークン参照を選択します。
トークン参照は、構成されたトークン・ジェネレーターの名前を参照します。
デプロイメント記述子でセキュリティー・トークンが必要な場合は、トークン参照属性が必要です。
「鍵情報タイプ」フィールドで「セキュリティー・トークン参照」を選択する場合はトークン参照が必要であり、X.509 トークン・ジェネレーターを指定できます。
X.509 トークン・ジェネレーターを指定するには、構成されている X.509 トークン・ジェネレーターがなければなりません。
X.509 トークン・ジェネレーターを構成するには、サーバーまたはセル・レベルで
メッセージの認証性を保護するための、JAX-RPC によるトークンの構成
を参照してください。
残りのステップについては、gen_tcon という名前の X.509 is トークン・ジェネレーターが既に構成されていることを前提とします。
- オプション: 「エンコード方式」フィールドからエンコード方式を
選択します。 このフィールドは、鍵 ID のエンコード・フォーマットを指定します。
エンコード方式の属性は、鍵情報タイプに 「Key ID」を選択した場合に有効になります。
WebSphere Application Server は、以下のエンコード方式をサポートします。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- オプション: 「Calculation method」フィールドから計算方式を選択します。
計算方式は、鍵 ID に使用される計算アルゴリズムを指定します。
この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。
WebSphere Application Server は、以下の計算方式をサポートします。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- オプション: 「Namespace URI」フィールドからセキュリティー・トークンの値タイプの Uniform Resource Identifier (URI) を指定します。
ネーム・スペース URI は鍵情報によって参照されます。
この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。
X.509 証明書トークンを指定する場合、ネーム・スペース URI を指定する必要はありません。
別のトークンが指定されている場合は、ネーム・スペース URI を指定する必要があります。
例えば、Lightweight Third Party Authentication (LTPA) トークンには、
http://www.ibm.com/websphere/appserver/tokentype/5.0.2 を、
LTPA_PROPAGATION トークンには、
http://www.ibm.com/websphere/appserver/tokentype を指定できます。
- オプション: 「Local name」フィールドに、セキュリティー・トークンの値タイプのローカル名を指定します。
ローカル名は鍵 ID によって参照されます。
この属性は鍵情報タイプに「Key ID」を選択した場合に有効になります。
WebSphere Application Server は以下のローカル名をサポートしています。
- X.509 証明書トークンの場合
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath の X.509 証明書の場合
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 内 の X.509 証明書および CRL のリストの場合
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA の場合
- LTPA
- LTPA_PROPAGATION の場合
- LTPA_PROPAGATION
- 「OK」および「保管」をクリックして、構成を保管します。
結果
サーバー・レベルまたはセル・レベルでジェネレーター・バインディングの鍵情報が構成されました。
次の作業
コンシューマー用に同様の鍵情報構成を指定する必要があります。