トラスト・アンカーの設定

このページを使用して、トラスト・アンカーの構成を指定します。これらのトラスト・アンカー証明書は、SOAP メッセージに埋め込まれた X.509 証明書を検証するために使用されます。

この情報を使用して、トラスト・アンカーを構成します。 トラスト・アンカーとは、 トラステッド・ルート証明書または自己署名証明書を含む鍵ストアのことを指しています。 この情報で、トラスト・アンカーの名前、および鍵ストアにアクセスする場合に必要となる情報を指定できます。 アプリケーション・バインディングはこの名前を使用して、バインディング・ファイル (またはデフォルト) の事前定義のトラスト・アンカー定義を参照します。

トラスト・アンカーを構成できるのは、デフォルトのセルまたはサーバーのバインディングを編集しているときです。 ポリシー・セットが必要とするトークンおよびメッセージ・パーツのカスタム・バインディングも、構成できます。

デフォルトのセル・バインディングの編集中に、この管理コンソール・ページを表示するには、以下のアクションを実行してください。
  1. 「サービス」 > 「ポリシー・セット (Policy sets)」 > 「デフォルト・ポリシー・セットのバインディング (Default policy set bindings)」とクリックします。
  2. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  3. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「鍵と証明書 (Keys and certificates)」リンクをクリックします。
  4. 「トラスト・アンカー (Trust anchor)」テーブルの「名前」列で、「名前」リンクをクリックします。
ポリシー・セットが必要とするトークンおよびメッセージ・パーツのカスタム・バインディングの構成時に、この管理コンソール・ページを表示するには、以下のアクションを実行してください。
  1. 「アプリケーション」 > 「エンタープライズ・アプリケーション」とクリックします。
  2. Web サービスを含むアプリケーションを選択します。 このアプリケーションには、サービス・プロバイダーまたはサービス・クライアントが含まれている必要があります。
  3. 「Web サービス・プロパティー」セクションで「サービス・プロバイダーのポリシー・セットおよびバインディング (Service provider policy sets and bindings)」リンクまたは「サービス・クライアントのポリシー・セットおよびバインディング (Service client policy sets and bindings)」をクリックします。
  4. バインディングを選択します。 事前にポリシー・セットを添付し、カスタム・バインディングを割り当てておく必要があります。
  5. 「ポリシー」テーブルで「WS-Security」ポリシーをクリックします。
  6. 「メイン・メッセージ・セキュリティー・ポリシー・バインディング (Main message security policy bindings)」セクションで、「鍵と証明書 (Keys and certificates)」リンクをクリックします。
  7. 「トラスト・アンカー (Trust anchor)」テーブルの「名前」列で、「名前」リンクをクリックします。
名前

デフォルト・バインディング内の事前定義されたトラスト・アンカー定義を参照するために、 アプリケーション・バインディングが使用する固有の名前を指定します。

トラスト・アンカーは、トラステッド・ルート証明書を格納する鍵ストアを指定します。 このフィールドには、編集中のトラスト・アンカーの名前が表示されます。新規のトラスト・アンカー構成を作成する場合は、固有の名前を入力してください。

鍵ストア・ファイルには、公開鍵および秘密鍵、ルート認証局 (CA) 証明書、中間 CA 証明書などが含まれています。 鍵ストア・ファイルから取得された鍵は、メッセージやメッセージ・パーツの署名および妥当性検査、または暗号化や暗号化解除に使用されます。

データ型: ストリング
中央管理対象鍵ストア

中央管理対象鍵ストアを使用するように指定します。「中央管理対象鍵ストア (Centrally managed keystore)」オプションを選択してから、リストから中央管理対象鍵ストア名のいずれかを選択します。 中央管理対象鍵ストアは、以下のリンクをクリックすることにより、 管理コンソールで管理することができます。 「セキュリティー」>「SSL 証明書と鍵管理 (SSL certificate and key management)」>「鍵ストアおよび証明書」

ラジオ・ボタンをクリックすると、「名前」フィールドが使用可能になります。 リストから鍵ストアを選択してください。

データ型: ラジオ・ボタン
デフォルト値: 選択解除状態
外部鍵ストア

鍵ストア・パス、鍵ストア・タイプ、および鍵ストア・パスワードを使用する鍵ストアを指定します。 鍵ストアのファイル形式は、鍵ストア・タイプにより判別されます。デフォルト・バインディングのデフォルト・トラスト・アンカーは、外部鍵ストアを使用します。

ラジオ・ボタンを選択すると、外部鍵ストアが使用可能になります。

データ型: ラジオ・ボタン
デフォルト値: 選択
絶対パス
鍵ストアのロケーションへの絶対パスを指定します。
鍵ストアがファイル・ベースである場合、トラスト・アンカー鍵ストアが配置されたノードのファイル・システムのパスであれば、いずれのパスでもロケーションの参照を行えます。 デフォルト・バインディングで定義されたトラスト・アンカーの絶対パスは、以下のとおりです。
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
重要: サンプルの鍵ストア・ファイルは実稼働環境では使用しないでください。 これらのサンプルはテストのみを目的として提供されています。
データ型: ストリング
タイプ
外部鍵ストアが使用可能な場合に、鍵ストアのタイプを指定します。

このタイプによって、鍵ストア管理の実装を指定します。 表示されたリストから、鍵ストアのタイプをクリックしてください。 選択リストは、java.security.Security.getAlgorithms("KeyStore") によって戻されます。

IBM Java Cryptography Extension (IBMJCE) では、ファイル・ベースの鍵ストア・タイプとして、以下のものをサポートしています: JKS、JCEKS、PKCS12、CMSKS。
  • Java Cryptography Extensions (JCE) を使用しない場合は、JKS オプションを使用してください。
  • Java Cryptography Extensions を使用する場合は、JCEKS オプションを使用してください。
  • 鍵ストアが PKCS#12 ファイル形式を使用している場合は、PKCS12 オプションを使用してください。
    • key.p12 ファイルまたは trust.p12 ファイルは、PKCS12 タイプの鍵ストアのサンプルです。
  • 鍵ストアが Certificate Management Services (CMS) 形式を使用している場合は、CMSKS オプションを使用してください。
パスワード
鍵ストア・ファイルにアクセスするために必要なパスワードを指定します。

鍵ストアを保護するには、パスワードを使用してください。 このパスワードは、指定された鍵ストアへのアクセスに使用されるとともに、 鍵ストア内に鍵を保管するためのデフォルトのパスワードでもあります。

デフォルト・バインディングのデフォルト・トラスト・アンカーは、外部鍵ストアを使用します。 外部鍵ストアのパスワードは server です。 なるべく早くデフォルトのパスワードを変更することをお勧めします。

データ型: ストリング
デフォルト値: WebAS またはセル名
確認パスワード
「パスワード」フィールドに入力されたパスワードを確認します。

鍵ストア・ファイルまたはデバイスを開くのに使用したパスワードを、もう 1 度入力してください。 「パスワード」フィールドに入力されたパスワードを再度入力することで、パスワードを確認します。

データ型: ストリング



Links marked (online) require access to the Internet.

関連タスク
関連資料
アプリケーション・ポリシー・セットのコレクション
アプリケーション・ポリシー・セットの設定
Search attached applications collection
デフォルト・ポリシー・セット・バインディングの設定
鍵と証明書

uwbs_wsspsbtacs