Interstage Application Server ebXML Message Service ユーザーズガイド

目次 索引

3.2.4.2 XML署名環境の設定

　ebMSでメッセージのXML署名/認証機能を使用する場合は、XML署名環境の設定が必要です。

　XML署名環境の設定は、SOAPサービスのsoapSetSSLコマンド、およびsoapMngSSLコマンドを使用して行います。コマンドの詳細については、“リファレンスマニュアル(コマンド編）”の“soapSetSSL”、および“soapMngSSL”の項を参照してください。

　以下にXML署名環境の設定の手順を示します。

証明書/鍵管理環境の作成と設定

　証明書/鍵管理環境を以下の手順で作成します。

1) 証明書/鍵管理ディレクトリの作成

　証明書、および秘密鍵の管理に必要な証明書/鍵管理ディレクトリを作成します。

2) 証明書/鍵管理環境の作成と設定

　soapSetSSLコマンドで証明書/鍵管理に必要な管理環境の作成と設定を行います。

　ここで指定した証明書/鍵管理ディレクトリは、ebMS環境定義のJAVA2_CERTセクションのkeystoreキーワードに指定します。

　以下にsoapSetSSLコマンドの入力例を示します。

　証明書/鍵管理ディレクトリを“C:\ebmscert”、パスワードを“INTERSTAGE”、別名を“partya”とした場合

----------------------------------------------------------------------------------
soapSetSSL -f C:\ebmscert -p INTERSTAGE  -alias partya
----------------------------------------------------------------------------------

　証明書/鍵管理ディレクトリを“/ebmscert”、パスワードを“INTERSTAGE”、別名を“partya”とした場合

----------------------------------------------------------------------------------
soapSetSSL -f /ebmscert -p INTERSTAGE  -alias partya
----------------------------------------------------------------------------------

　soapSetSSLで指定する別名は、送信側と受信側で異なるように設定する必要があります。たとえば、サーバ毎に証明書を使い分ける場合には“サーバ名”、送信相手毎に証明書を使い分ける場合には“CPAId + PartyId”、のように設定する必要があります。

証明書発行局から証明書を取得

　ebMSで証明書を使用するには、証明書発行局に証明書の発行を依頼し、証明書を取得する必要があります。

1) 証明書取得申請書の作成

　証明書発行局へ証明書の発行を依頼するための証明書取得申請書(CSR)を作成します。証明書取得申請書の作成は、soapSetSSLコマンドで公開鍵と秘密鍵の鍵ペアを作成した後、soapMngSSLマンドで、秘密鍵に対応する証明書取得申請書(CSR)を作成します。

　以下に、soapMngSSLコマンドの入力例を示します。

　証明書取得申請書を格納するファイルを“ebmsreq”、パスワードを“INTERSTAGE”、別名を“partya”とした場合

----------------------------------------------------------------------------------
soapMngSSL  -certreq  -f ebmsreq -p INTERSTAGE  -alias partya
----------------------------------------------------------------------------------

2) 証明書の発行依頼

　証明書取得申請書を証明書発行局へ送り、証明書、および証明書発行局の証明書の発行を依頼します。依頼方法は各証明書発行局の方法に従ってください。

3) 証明書の取得

　証明書発行局により署名された証明書を取得します。

　取得方法は各証明書発行局の方法に従ってください。

• 証明書発行局より証明書を取得する際に、識別名に「電話番号」「従業員番号」の設定依頼は行わないでください。識別名に「電話番号」または「従業員番号」が設定されている証明書を扱うことができません。
• 識別名に2バイト文字が含まれた証明書、および証明書発行局の証明書を扱うことはできません。
• SOAPサービスのSSL通信機能を使用してメッセージの送受信を行う場合には、証明書はサーバで一つのみ取得してください。

証明書の登録

　証明書、証明書発行局の証明書を証明書/鍵管理環境に登録します。登録できる証明書の形式は、証明書と証明書発行局の証明書を含んでいる形式(PKCS#7等)と、1つの証明書、または証明書発行局の証明書のみ入っている形式のものが、soapMngSSLコマンドで登録できます。

　以下にsoapMngSSLコマンドの入力例を示します。

　証明書発行局の証明書を格納したファイルを“ebmscertcafile”、パスワードを“INTERSTAGE”、別名を“partyaca”とした場合

------------------------------------------------------------------------
soapMngSSL -import -f ebmscertcafile -p INTERSTAGE -alias partyaca
------------------------------------------------------------------------

　証明書を格納したファイルを“ebmscertfile”、パスワードを“INTERSTAGE”、別名を“partya”とした場合

------------------------------------------------------------------------
soapMngSSL -import -f ebmscertfile -p INTERSTAGE -alias partya -own
------------------------------------------------------------------------

　また、ebMSを使用して署名付きメッセージの受信を行う場合、あらかじめ送信側で登録した各証明書（証明書、および証明書発行局の証明書）の情報をsoapMngSSLコマンドで取得し、受信側の証明書/鍵管理環境に登録する必要があります。

　以下にsoapMngSSLコマンドの入力例を示します。

　別名が“partya”、パスワードが“INTERSTAGE”の証明書の情報を、ファイル“ebmscertfile2”へ出力する場合

------------------------------------------------------------------------
soapMngSSL -export -f ebmscertfile2 -p INTERSTAGE -alias partya 
------------------------------------------------------------------------

• 受信側の証明書/鍵管理環境に送信側の証明書情報を登録する際の別名は、送信側で使用している別名と同じものを指定してください。
• 証明書を登録する前に、証明書発行局の証明書を登録しておく必要があります。証明書発行局が中間証明書発行局の場合には、ルートとなる証明書発行局の証明書から順に登録してください。
• 識別名に「電話番号」、または、「従業員番号」が設定されている証明書の登録は行わないでください。識別名に「電話番号」、または、「従業員番号」が設定されている証明書は、ebMSでは扱うことができません。
• 識別名に2バイト文字が含まれた証明書、および証明書発行局の証明書を扱うことはできません。

CPAへの記述

　署名付きメッセージの送受信を行う場合には、CPAのCollaborationProtocolAgreement/PartyInfo/Certificate/KeyInfoに証明書の情報を設定する必要があります。

　ebMSでは、証明書/鍵管理環境に登録された証明書から、CPAに記述するKeyInfoの情報を作成するツールを用意しています。

　以下にKeyInfo情報作成ツールの入力例を示します。ツールの出力ファイルには、

<KeyInfo> </KeyInfo>

に書くべき情報がテキスト形式で全て格納されています。テキストエディタなどでCPAの<Certificate> </Certificate>の中にコピーして下さい。

　別名を“partya”、パスワードを“INTERSTAGE”、証明書/鍵管理ディレクトリ“C:\ebmscert”の証明書の情報をファイル“keyinfofile”へ出力する場合

------------------------------------------------------------------------
java com.fujitsu.interstage.ebms.ebMSCrtKeyInfo -a partya -p INTERSTAGE -f C:\ebmscert -o keyinfofile
------------------------------------------------------------------------

　別名を“partya”、パスワードを“INTERSTAGE”、証明書/鍵管理ディレクトリ“/ebmscert”の証明書の情報をファイル“keyinfofile”へ出力する場合

----------------------------------------------------------------------------------
java com.fujitsu.interstage.ebms.ebMSCrtKeyInfo -a partya -p INTERSTAGE -f /ebmscert -o keyinfofile
----------------------------------------------------------------------------------

　KeyInfo情報作成ツールを使用する際には、以下のJavaアーカイブファイルを環境変数のCLASSPATHに設定する必要があります。

　C:\Interstage\F3FMebms\lib\xmldsig.jar
　C:\Interstage\F3FMebms\lib\xmlpro.jar
　C:\Interstage\F3FMebms\lib\xmltrans.jar
　C:\Interstage\F3FMebms\lib\xmltransx.jar

　/opt/FJSVebms/lib/xmldsig.jar
　/opt/FJSVebms/lib/xmlpro.jar
　/opt/FJSVebms/lib/xmltrans.jar
　/opt/FJSVebms/lib/xmltransx.jar

目次 索引