| Interstage Application Server アプリケーション作成ガイド (CORBAサービス編) |
|
目次
索引
|
| 第1部 アプリケーション開発(基本編) | > 第5章 アプリケーションの開発(Java言語) | > 5.3 アプレットのデジタル署名 | > 5.3.3 デジタル署名手順 |
J Business Kitのプラグイン(以降JBKプラグイン)の使用で、JDK/JRE1.2.2以降を使用する場合のデジタル署名手順を説明します。署名ツールとしてkeytool/jarsigner/policytool(JDKのツール)を使用します。
Portable-ORBをダウンロードしない運用で使用する場合、またはプレインストール型Javaクライアントを使用する場合は、それぞれの環境のJavaライブラリに対しても、policytoolによる権限を設定する必要があります。Javaライブラリに対する権限の設定については、“Javaライブラリに対する権限の設定”を参照してください。
署名ツールの詳細については、JDKのドキュメントを参照してください。J Business Kitを使用している場合は、StudioまたはApworksの“J Business Kit オンラインマニュアル”を参照してください。
デジタル署名は、以下の手順で行います。
証明書に付加する情報、証明書にアクセスするための別名を指定して鍵のペア(証明書)を作成します。以下の実行例では、別名samplesigner、証明書有効期限を365日としています。
|
keytool -genkey -alias samplesigner -dname "cn=samplesigner, ou=JAVA PROJECT, o=FUJITSU, c=JA" -validity 365 |
コマンド入力時、キーストアのパスワード入力、作成する鍵のペア(証明書)のパスワード入力が求められます。これらのパスワードは、以降のキーストアへのアクセス、および作成した鍵のペア(証明書)へのアクセスで必要となります。
キーストアは鍵のペア(証明書)情報などを管理するデータベースであり、JDK/JREのインストール時には存在せず、keytoolコマンドの初回実施時に作成されます。
ここで作成された証明書と各クライアントマシンでインポートする証明書の作成時刻は、同一である必要があります。-dnameオプションに指定した内容が同一でも異なる時刻に作成された証明書は、別の証明書として認識されるため注意してください。
作成した証明書を使用して、jarアーカイブファイルへデジタル署名を適用します。以下の実行例では、(1)で作成した証明書をSample.jarに署名します。
|
jarsigner -signedjar Sample.jar.sig Sample.jar samplesigner |
コマンド入力時、キーストアのパスワード入力、鍵のペア(証明書)のパスワード入力が求められます。(1)で指定したパスワードを指定します。
jarアーカイブファイルの作成方法については、“Javaクラスファイルのアーカイブ”(プレインストール型Javaライブラリ)/“Javaクラスファイルのアーカイブ”(Portable-ORB)を参照してください。
同一の署名者で複数のjarアーカイブファイルを作成する場合は、(2)の処理を繰り返してください。
署名を適用したjarアーカイブファイルに正常に署名が実施されていることを確認する場合は以下のコマンドを使用します。
|
jarsigner -verify Sample.jar.sig |
正常にデジタル署名が実施されている場合は「jar verified」、また正常にデジタル署名が実施されていない場合は「jar is unsigned.(signatures missing or not parsable)」というメッセージが表示されます。
デジタル署名が正常に実施されていることを確認した後、jarファイルとして使用するために、拡張子を*.jarに変更します。たとえば、署名を施す前のSample.jarを削除し、Sample.jar.sigをSample.jarに変名します。
詳細なデジタル署名情報を表示する場合は、-verbose/-certsオプションを指定してコマンドを実行してください。
アプレットをダウンロードするクライアントマシンにインポートするための証明書のエクスポートを行います。(1)鍵のペア(証明書)の作成で指定した別名を指定します。
|
keytool -export -alias samplesigner -file samplesign.cer |
コマンド入力時、キーストアのパスワード入力が求められます。(1)で指定したパスワードを指定します。
アプレットをダウンロードするクライアントマシンに証明書をインポートします。この作業はクライアントマシンで行います。証明書samplesign.cerを事前にクライアントマシンにコピーしてください。
|
keytool -import -alias sampleuser -file samplesign.cer |
コマンド入力時、キーストアのパスワード入力が求められます。これらのパスワードは以降のキーストアへのアクセスで必要となります。また、インポートする証明書を信頼するかどうかの入力が求められるので「yes」と入力します。
コマンド入力時に指定した別名(-aliasで指定した別名)は、以降の操作で、証明書(-fileで指定した証明書)を指定するために必要となります。“(6)証明書への権限の設定”で権限を設定する際に、権限を設定する証明書の別名を指定してください。
クライアントマシンにインポートした証明書に対して、権限を設定します。権限の設定はpolicytoolコマンドを使用します。この作業はクライアントマシンで行います。
policytoolコマンドは、JDK/JRE1.2以降に付属しているセキュリティポリシを定義するGUIツールです。
このコマンド使用して署名されているJavaクラス、および任意の場所に格納されているJavaクラスの権限の設定または変更を行います。policytoolコマンドの設定については、“policytoolコマンドの設定(補足)”を参照してください。
|
目次
索引
|