Sun GlassFish Enterprise Server 2.1 管理ガイド

J2SE 5.0 PKCS#11 プロバイダの設定

Enterprise Server は実行時に PKCS#11 トークン内にある鍵や証明書へのアクセスに、J2SE PKCS#11 プロバイダを使用します。デフォルトでは、Enterprise Server では NSS ソフトトークン用に J2SE PKCS#11 プロバイダが設定されます。ここでは、J2SE PKCS#11 プロバイダのデフォルト設定をオーバーライドする方法について説明します。

Enterprise Server では、PKCS#11 トークンごとに次のデフォルト PKCS#11 設定パラメータが生成されます。

これらの設定は、『Java PKCS#11 Reference Guide』で説明されている構文に従います。


注 –

name パラメータは、固有でなければならない場合を除き、必要ではありません。J2SE 5.0 の一部の以前のバージョンでは、英数字のみ使用できます。


デフォルトの設定パラメータをオーバーライドするには、カスタム設定ファイルを作成します。たとえば、SCA–1000 で RSA 暗号化方式と RSA 鍵ペアジェネレータを明示的に無効にすることができます。RSA 暗号化方式と RSA 鍵ペアジェネレータの詳細については、http://www.mozilla.org/projects/security/pki/nss/tools を参照してください。.

カスタム設定ファイルを作成するには、次の手順に従います。

  1. 次のコードを記述した as-install/mypkcs11.cfg という設定ファイルを作成して保存します。


    name=HW1000
    library=/opt/SUNWconn/crypto/lib/libpkcs11.so
    slotListIndex=0
    disabledMechanisms = {
    	CKM_RSA_PKCS
    	CKM_RSA_PKCS_KEY_PAIR_GEN
    }
    omitInitialize=true
  2. 必要に応じて NSS データベースを更新します。この場合は、RSA を無効にするために NSS データベースを更新します。

    以下のコマンドを実行します。


    modutil -undefault "Sun Crypto Accelerator" -dbdir AS_NSS_DB -mechanisms RSA

    mechanisms リストのアルゴリズム名は、デフォルト設定のアルゴリズム名とは異なります。NSS の有効な mechanisms の値については、NSS セキュリティーツールの Web サイト (http://www.mozilla.org/projects/security/pki/nss/tools) で modutil のドキュメントを参照してください。

  3. 次のように、適切な位置にプロパティーを追加して、この変更でサーバーを更新します。


    <property name="mytoken" value="&InstallDir;/mypkcs11.cfg"/>

    プロパティーの位置は、次のいずれかにします。

    • プロバイダが DAS またはサーバーインスタンス用である場合は、関連 <security-service> の下にプロパティーを追加します。

    • プロバイダがノードエージェント用である場合は、domain.xml ファイルで関連 <node-agent> 要素の下にプロパティーを追加します。

  4. Enterprise Server を再起動します。

    カスタマイズされた設定が再起動後に有効になります。