17.3.1.2 秘密鍵を必要としない場合の環境構築

Interstage Application Server セキュリティシステム運用ガイド

目次索引

第5部 Webサービス(SOAP)のセキュリティ

> 第17章 Webサービス(SOAP)でセキュリティ機能を使用するための環境設定

> 17.3 鍵ペア/証明書管理環境の構築方法

> 17.3.1 鍵ペア/証明書管理環境の構築

17.3.1.2 秘密鍵を必要としない場合の環境構築

　Webサービスで以下の機能を使用する場合には、秘密鍵を作成しサイト証明書を認証局から取得する必要はありません。

SSL通信でクライアント認証を行わない場合
SOAP電子署名検証 (*1)
XML暗号による暗号化 (*1)

　(*1) セキュリティ機能を使用した通信相手の認証局証明書やサイト証明書を登録する必要があります。

　: 　クライアントシステムで、SSL暗号化通信の鍵ペア/証明書管理環境と、原本保証機能(SOAP電子署名、XML暗号)の鍵ペア/証明書管理環境を異なるものとする場合、原本保証機能の鍵ペア/証明書管理環境を構築時にsoapSetSecurityコマンド、およびsoapMngSecurityコマンドに-userenvオプションを指定してください。

■証明書管理環境の作成と設定

　SSLの暗号化通信、SOAP電子署名検証、XML暗号による暗号化を行うために必要な証明書管理環境を作成します。

証明書を登録/管理するファイル(証明書管理ファイル)を配置するディレクトリを作成します。
soapSetSecurity(鍵ペア/証明書管理環境作成)コマンドでWebサービス・セキュリティ環境情報ファイル、証明書管理ファイルを作成します。soapSetSecurityコマンドの使用方法は証明書を申請する認証局によって異なります。
以下に使用する認証局別に、soapSetSecurityコマンドの使用例を示します。

　

◆SystemWalker/PkiMGRを認証局とする場合

: 　証明書管理ファイルアクセス用パスワード(Interstage)を指定して、Webサービス・セキュリティ環境情報ファイルと証明書管理ファイル作成ディレクトリに証明書管理ファイルします。

　　soapSetSecurity -noauth -f C:\Interstage\F3FMsoap\etc -p Interstage
: 　証明書管理ファイルアクセス用パスワード(Interstage)を指定して、Webサービス・セキュリティ環境情報ファイルと証明書管理ファイル作成ディレクトリに証明書管理ファイルします。

　　　　soapSetSecurity -noauth -f /etc/opt/FJSVsoap/etc -p Interstage

◆日本ベリサイン(株)、日本認証サービス(株)を認証局とする場合

: 　日本ベリサイン(株)、日本認証サービス(株)が発行したルート証明書を登録する場合は、soapSetSecurityコマンドの-rcオプションにルート証明書一覧ファイル(C:\Interstage\IS_cert\contractcertlist)を指定します。

　　soapSetSecurity -noauth -f C:\Interstage\F3FMsoap\etc -p Interstage
　　　　　　-rc C:\Interstage\IS_cert\contractcertlist
: 　日本ベリサイン(株)、日本認証サービス(株)が発行したルート証明書を登録する場合は、soapSetSecurityコマンドの-rcオプションにルート証明書一覧ファイル(/etc/opt/FJSVisas/contractcertlist)を指定します。

　　soapSetSecurity -noauth -f /etc/opt/FJSVsoap/etc -p Interstage
　　　　　-rc /etc/opt/FJSVisas/contractcertlist

　ルート証明書として以下の証明書が証明書管理ファイルに格納されます。

VeriSign/RSA Secure Server CA
VeriSign Class 1 Public Primary Certification Authority
VeriSign Class 2 Public Primary Certification Authority
VeriSign Class 3 Public Primary Certification Authority
VeriSign Class 1 Public Primary Certification Authority - G2
VeriSign Class 2 Public Primary Certification Authority - G2
VeriSign Class 3 Public Primary Certification Authority - G2
VeriSign Class 4 Public Primary Certification Authority - G2
SecureSign RootCA1
SecureSign RootCA2
SecureSign RootCA3

■認証局の証明書の登録

　SOAP電子署名の署名者やXML暗号により暗号化されたSOAPメッセージの受信者、またはSSLによる暗号化通信を行うSOAPサーバのサイト証明書を発行した認証局の証明書を証明書管理ファイルに登録します。登録できる証明書の形式は、認証局証明書のみ入っている形式のものが、soapMngSecurity(証明書管理コマンド)で登録できます。

Webサービスのセキュリティ機能で連携するすべてのサーバ、クライアントで同一の認証局証明書を登録する必要があります。
認証局が中間認証局の場合には、ルートとなる認証局証明書から順に登録してください。

　: 　認証局証明書を別名(cacert)と指定して証明書管理ファイルに登録します。
　　soapMngSecurity -import -f 証明書格納ファイル名 -p Interstage -alias cacert

■通信相手のサイト証明書の登録

　XML暗号による暗号化を行う場合や、署名者のサイト証明書が添付されてこないSOAP電子署名を検証する場合には、通信相手のサイト証明書を取得し、証明書管理ファイルに登録する必要があります。登録できる証明書の形式は、通信相手のサイト証明書のみ入っている形式のものが、soapMngSecurity(証明書管理コマンド)で登録できます。

　: 　通信相手のサイト証明書を発行した認証局証明書が証明書管理ファイルに登録されている必要があります。

　: 　通信相手のサイト証明書を別名(jiro)と指定して証明書管理ファイルに登録します。
　　soapMngSecurity -import -f 証明書格納ファイル名 -p Interstage -alias jiro

目次索引