|
Interstage Application Server セキュリティシステム運用ガイド
|
目次
索引
|
B.4.2 PULL(クライアントシステムがメッセージを受ける)モデル
PULLモデルでは、サーバシステム(送信サーバ)の送信アプリケーションがSOAPメッセージを送信し、クライアントシステム(受信クライアント)の受信アプリケーションがそれを受け取って処理を行います。
以下にアプリケーション間で必要な合意事項を示します。
|
PULL送信側(サーバシステム)
設定項目 |
PULL受信側(クライアントシステム)
設定項目 |
|
メッセージ種別ID |
メッセージ種別ID |
|
受信クライアントID |
受信クライアントID |
|
送信サーバID |
送信サーバID |
|
送信サーバの鍵ペア |
送信サーバから入手した公開鍵 |
|
受信クライアントから入手した公開鍵 |
受信クライアントの鍵ペア |
|
PULLモデルの送信サーバを登録したURL |
PULLモデルの送信サーバを登録したURL |
それぞれのIDは事前に合意を取り、Webサービスの登録時に指定してください。また否認防止機能(署名オプション)を使用する場合は、SOAP署名検証に使用する鍵ペアをそれぞれ用意し、送信サーバ、および受信クライアントの公開鍵を事前に交換しておく必要があります。
送信サーバ、受信クライアントの環境に、それぞれ別に送信アプリケーション、受信アプリケーションを配置し、それぞれのアプリケーションのWebサービス情報を登録する必要があります。
(1)送信サーバで用いる鍵ペア、公開鍵の準備
以下に、否認防止(署名オプション)機能を使用する場合の手順を示します。
ここの例では、Interstage証明書環境を使用する場合のコマンドを記述しています。詳細については“証明書の管理”を参照してください。
旧バージョンの証明書環境を使用する場合は“旧証明書環境またはクライアントシステムの証明書環境の構築”を参照してください。
送信サーバの鍵ペアを用意します。鍵ペアはSOAP電子署名と同じです。
以下は送信サーバ側の鍵ペアを生成する場合のコマンド実行例です。
|
scsmakeenv -n serverkey -f filename |
次に、受信クライアントの公開鍵の準備を行います。否認防止機能を使用する際は、受信クライアント側にも送信サーバの公開鍵が必要となりますので、同時にそれぞれの公開鍵を交換します。
以下は受信クライアントから入手した公開鍵ファイルを取り込むコマンド実行例です。
|
scsenter -n clientkey -f clientkeyfile -p password -e |
(2)送信アプリケーションのディプロイメント
送信アプリケーションのディプロイメントは、サーバシステム環境のWebサービス情報編集ツールを使用して行います
Webサービス情報編集ツールの起動方法については、“SOAPサービス ユーザーズガイド”の“GUIによるWebサービス情報の管理”を参照してください。
Webサービス情報編集ツールを起動すると、以下のような入力画面が表示されます。
- Webサービス識別名
送信アプリケーションの識別名です。
Webサービス識別名の指定方法については、“SOAPサービス ユーザーズガイド”の“Webサービス情報の管理”の“Webサービス識別名とURL”を参照してください。
- 送信サーバID
受信クライアントと合意した送信サーバを表すIDを指定します。
送信サーバIDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。マシン名、ユーザ名とは無関係な名前でも構いません。
ただし、1つのサーバシステム内で使用する送達保証機能では、すべてのSOAPメッセージ、送り先で共通の送信サーバIDを指定するようにしてください。
- メッセージ種別ID
受信クライアントと合意したメッセージの種別を表すIDを指定します。
メッセージ種別IDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。1つのサーバシステム内で一意の名前を付ける必要があります。
- 受信者ID(受信クライアントID)
受信クライアントと合意したPULLモデルの受信クライアントのIDを指定します。
受信クライアントIDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。1つのメッセージ種別IDに対しては、一意のIDを付ける必要があります。
- SOAP署名検証ID
デフォルトは“なし”です。
否認の防止(署名の検証)を行う場合、受信クライアントの公開鍵の別名を指定します。公開鍵の別名は、“送信サーバで用いる鍵ペア、公開鍵の準備”で指定したものを選択します。
- “追加”ボタン
同じメッセージ種別IDのPULLモデルの送達保証メッセージを受信する、受信クライアントの設定を追加します。
送信サーバでアクセス制限をかける場合、1つのメッセージ種別IDに対しては、1つの受信クライアントのみを登録してください。アクセス制限に関しては、“SOAPサービス ユーザーズガイド”の“送達保証機能の実装”の“送達保証機能のアクセス制限”を参照してください。
- 再送間隔、再送回数
SOAPメッセージの送信に失敗した場合、再送するSOAPメッセージを送信可能な状態にしておく時間を指定します。時間は、再送間隔×再送回数となります。
入力が完了したら“確認”ボタンを押下します。これにより送達保証機能が有効になり、送信サーバが送達保証メッセージを送信可能な状態となります。
-
- 送信サーバID、受信クライアントID、メッセージ種別IDは、送達保証メッセージの格納用ディレクトリ名、およびファイル名として使用します。そのため、使用するOSで、ディレクトリ名、ファイル名として使用可能な文字を指定してください。ディレクトリ名、ファイル名として使用できない文字を指定した場合、送達保証機能の実行時にエラーとなります。
(3)受信クライアントで用いる鍵ペア、公開鍵の準備
以下に、否認防止(署名オプション)機能を使用する場合の手順を示します。
ここの例では、クライアントパッケージの証明書環境を使用する場合のコマンドを記述しています。詳細については“旧証明書環境またはクライアントシステムの証明書環境の構築”を参照してください。Interstage証明書環境を使用する場合については“証明書の管理”を参照してください。
受信クライアントの鍵ペアを用意します。鍵ペアはSOAP電子署名と同じです。
以下は受信クライアント側の鍵ペアを生成する際のコマンド実行例です。
|
soapSetSecurity -p password -alias clientkey |
次に、PULLモデル送信サーバの公開鍵の準備を行います。否認防止を使用する際は、送信サーバ側でも受信クライアントの公開鍵が必要となりますので、同時にそれぞれの公開鍵を交換します。
以下は受信クライアント側の公開鍵をファイルに出力するコマンド実行例です。
|
soapMngSecurity -export -alias clientkey -f clientkeyfile -p password |
このコマンドで出力したファイルを、何らかの方法で受信サーバ側に渡してください。
以下は送信サーバから何らかの方法で入手した公開鍵ファイルを取り込むコマンド実行例です。
|
soapMngSecurity -import -alias serverkey -f serverkeyfile -p password |
(4)受信アプリケーションのディプロイメント
受信アプリケーションのディプロイメントは、クライアントシステム環境のWebサービス情報編集ツールを使用して行います。
[スタート]−[プログラム]−[Interstage]−[SOAPサービス]−[Webサービス情報編集ツール]を選択してWebサービス情報編集ツールを起動します。
Webサービス情報編集ツールを起動すると、以下のような入力画面が表示されます。
- Webサービス識別名
ディプロイメントしたWebサービス情報を識別する名前です。
システムで一意の名前である必要があります。
- 受信アプリケーションのクラス名
受信アプリケーションのJavaクラス名をフルパッケージ名で指定します。
クラスファイルは環境変数CLASSPATHに設定されたパス下に配置します。
- 受信クライアントID
送信サーバと合意した受信クライアントを表すIDを指定します。
受信クライアントIDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。サーバ名、ユーザ名とは無関係な名前でも構いません。
1つのクライアントシステム内で、すべてのSOAPメッセージ、送り先で共通の受信クライアントIDを指定してください。複数の Java アプリケーションを起動するなど、複数のJavaVMが1つのクライアントシステムで動作する場合も、共通の受信クライアントIDとしてください。
- メッセージ種別ID
送信サーバと合意したメッセージの種別を表すIDを指定します。
メッセージ種別IDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。1つのクライアントシステム内で一意の名前を付ける必要があります。
- 送信者ID(送信サーバID)
送信サーバと合意したPULLモデルの送信サーバのIDを指定します。
送信サーバIDの記述形式はXMLの“NMTOKEN”に従い、かつファイル名、ディレクトリ名に使用可能な文字である必要があります。1つのメッセージ種別IDに対しては、一意のIDを付ける必要があります。
- 送信者サーバURL(送信サーバURL)
送信サーバが設定したURLです。“送信アプリケーションのディプロイメント”で指定したWebサービス識別名に対応するURLを入力します。
URLの決定方法の詳細については、“SOAPサービス ユーザーズガイド”の“Webサービス識別名とURL”の“サーバシステムのディプロイメントで指定するWebサービス識別名とURL”を参照してください。
- SOAP署名検証ID
デフォルトは“なし”です。
否認の防止(署名の検証)を行う場合、送信サーバの公開鍵の別名を指定します。公開鍵の別名は、“受信クライアントで用いる鍵ペア、公開鍵の準備”で、送信サーバから入手した公開鍵を格納する際に指定したものを選択します。
- “追加”ボタン
同じメッセージ種別IDのPULLモデルのSOAPメッセージを送信する、送信サーバの設定を追加します。
送信サーバに対してアクセス制限をかける場合、1つのメッセージ種別IDに対しては、1つの受信クライアントのみを登録してください。アクセス制限に関しては、“SOAPサービス ユーザーズガイド”の“送達保証機能の実装”の“送達保証機能のアクセス制限”を参照してください。
入力が完了したら“確認”ボタンを押下します。これにより送達保証機能が有効になり、受信クライアントが送達保証メッセージを受信可能な状態となります。
-
- Windowsの[スタート]メニューの表示はシステムにより多少異なることがあります。
送信サーバID、受信クライアントID、メッセージ種別IDは、送達保証メッセージの格納用ディレクトリ名、およびファイル名として使用します。そのため、使用するOSで、ディレクトリ名、ファイル名として使用可能な文字を指定してください。ディレクトリ名、ファイル名として使用できない文字を指定した場合、送達保証機能の実行時にエラーとなります。
Copyright 2008 FUJITSU LIMITED