Enterprise Server は実行時に PKCS#11 トークン内にある鍵や証明書へのアクセスに、J2SE PKCS#11 プロバイダを使用します。デフォルトでは、Enterprise Server では NSS ソフトトークン用に J2SE PKCS#11 プロバイダが設定されます。ここでは、J2SE PKCS#11 プロバイダのデフォルト設定をオーバーライドする方法について説明します。
Enterprise Server では、PKCS#11 トークンごとに次のデフォルト PKCS#11 設定パラメータが生成されます。
デフォルトの NSS ソフトトークン用の設定
name=internal library=${com.sun.enterprise.nss.softokenLib} nssArgs="configdir='${com.sun.appserv.nss.db}' certPrefix='' keyPrefix='' secmod='secmod.db'" slot=2 omitInitialize = true |
SCA 1000 ハードウェアアクセラレータ用の設定
name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 omitInitialize=true |
これらの設定は、『Java PKCS#11 Reference Guide』で説明されている構文に従います。
name パラメータは、固有でなければならない場合を除き、必要ではありません。J2SE 5.0 の一部の以前のバージョンでは、英数字のみ使用できます。
デフォルトの設定パラメータをオーバーライドするには、カスタム設定ファイルを作成します。たとえば、SCA–1000 で RSA 暗号化方式と RSA 鍵ペアジェネレータを明示的に無効にすることができます。RSA 暗号化方式と RSA 鍵ペアジェネレータの詳細については、http://www.mozilla.org/projects/security/pki/nss/tools を参照してください。.
カスタム設定ファイルを作成するには、次の手順に従います。
次のコードを記述した as-install/mypkcs11.cfg という設定ファイルを作成して保存します。
name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 disabledMechanisms = { 	CKM_RSA_PKCS 	CKM_RSA_PKCS_KEY_PAIR_GEN } omitInitialize=true |
必要に応じて NSS データベースを更新します。この場合は、RSA を無効にするために NSS データベースを更新します。
以下のコマンドを実行します。
modutil -undefault "Sun Crypto Accelerator" -dbdir AS_NSS_DB -mechanisms RSA |
mechanisms リストのアルゴリズム名は、デフォルト設定のアルゴリズム名とは異なります。NSS の有効な mechanisms の値については、NSS セキュリティーツールの Web サイト (http://www.mozilla.org/projects/security/pki/nss/tools) で modutil のドキュメントを参照してください。
次のように、適切な位置にプロパティーを追加して、この変更でサーバーを更新します。
<property name="mytoken" value="&InstallDir;/mypkcs11.cfg"/> |
プロパティーの位置は、次のいずれかにします。
プロバイダが DAS またはサーバーインスタンス用である場合は、関連 <security-service> の下にプロパティーを追加します。
プロバイダがノードエージェント用である場合は、domain.xml ファイルで関連 <node-agent> 要素の下にプロパティーを追加します。
Enterprise Server を再起動します。
カスタマイズされた設定が再起動後に有効になります。