36 WebLogic ServerでのJCEプロバイダの使用

RSA、JDKおよびnCipherのJava Cryptography Extension (JCE)プロバイダの使用のWebLogic Serverでのサポート状況を学習します。

• 「RSA JCEプロバイダの使用」

• JDK JCEプロバイダの使用

• nCipher JCEプロバイダの使用

RSA JCEプロバイダの使用

RSA JCEプロバイダはWebLogic Serverに含まれています。RSA JCEプロバイダはcryptoj.jar内にあります。cryptoj.jarは、デフォルトではWebLogic Serverのクラスパス内に格納されています。RSA JCEプロバイダは非FIPSモードまたはFIPSモードで使用できます。

ノート:

この項では、非FIPSモードでのRSA JCEプロバイダの使用について説明します。RSA JCEプロバイダをFIPSモードで使用するには、「FIPSモードの有効化」を参照してください。

次のURLより、使用しているJDKのバージョンに対応するJava Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルをダウンロードおよびインストールします。これらのJavaポリシーJARファイルは、128ビットを超えるサイズの暗号キーに影響します(http://www.oracle.com/technetwork/java/javase/downloads/index.html)。

.ZIPディストリビューションを開き、JAVA_HOME/jre/lib/セキュリティのlocal_policy.jarとUS_export_policy.jarを更新します。詳細およびインストール方法は、.ZIPディストリビューション内のREADME.txtファイルを参照してください。

RSA CryptoJのドキュメントには、RSAのJCEプロバイダを使用するために少なくとも2つの方法が記載されています。

• (たとえばjava.securityを編集することによる)静的登録。

  security.provider.1=com.rsa.jsafe.provider.JsafeJCE
  

• 実行時の動的登録。

  // Create a Provider object
  Provider jceProvider = new com.rsa.jsafe.provider.JsafeJCE();
  // Add the JCE Provider class to the current list of providers available on the system.
  Security.insertProviderAt (jceProvider, 1);
  

JDK JCEプロバイダの使用

WebLogic Serverでは、JDK JCEプロバイダ(SunJCE)の使用がサポートされています。JCAフレームワークには、異なる管轄コンテキストでアプレット/アプリケーションに使用可能な暗号化アルゴリズムおよび最高暗号化強度に関する制約を強制する機能が含まれます。

SunJCEの機能の詳細は、Java (tm) Cryptography Architecture (JCA)リファレンス・ガイド(http://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html)を参照してください。

暗号化アルゴリズムおよび暗号化強度に関する制約は、"管轄ポリシー・ファイル"で指定します。Java Cryptography Architecture (JCA)リファレンス・ガイドを参照してください。

WebLogic Serverアプリケーション・プログラミング・インタフェース(API)で使用される暗号化の強度は、引続きWebLogic Serverによって制御されます。クライアント・コードに適切な国内向け強度の暗号化設定がない場合は、デフォルトのJava SE輸出向け強度の暗号化しか使用できません。サーバーでは常に、輸出向け強度または国内向け強度の暗号化が有効になります。

nCipher JCEプロバイダの使用

JCEプロバイダは、暗号化用ハードウェア・カードを使用するnCipherと同じように、WebサーバーのSSLプロセスの負荷を軽減し、サーバーがより多くのトランザクションを処理できるようにします。また、キーの整合性と機密性を保持するための強力な暗号化プロセスも提供します。

WebLogic ServerではnCipher JCEプロバイダの使用もサポートされています。これはhttp://www.ncipher.comで入手できます。SSLは、Webサーバーで使用できるリソースの保護における重要なコンポーネントです。しかし、大量のSSLトラフィックによって、Webサーバーのパフォーマンスを低下させるボトルネックが発生することがあります。Webサーバーが効率的に実行できるように、サーバーのSSLトラフィックの負荷を軽減する上で役立つnCipher JCEプロバイダをインストールできます。

nCipher JCEプロバイダのインストール方法は、nCipher JCEプロバイダのインストールを参照してください。

nCipher JCEプロバイダのインストール

nCipher JCEプロバイダをインストールするには:

1. 製品のドキュメントに従って、nCipher JCEプロバイダのハードウェアを設置し、構成します。
2. nCipher JCEプロバイダのファイルをインストールします。以下のファイルが必要です。

   • 管轄ポリシー・ファイル - これらのファイルはJDKによってデフォルトでインストールされますが、輸出向け強度に制限されています。

   • JARファイルを署名した証明書

     ノート:

     このステップは、nCipher JCEプロバイダのハードウェアの設置作業の一部として実行済みになっている場合もあります。その場合は、ファイルが適切にインストールされていることを確認してください。

   • JCEプロバイダJARファイル

   このファイルのインストール方法は以下から選択します。

   • ファイルを拡張としてインストールします。ファイルを以下のいずれかの場所にコピーします。

     JAVA_HOME/jre/lib/ext
     

     たとえば:

     ORACLE_HOME/jdk1.7.0_15/jre/lib/ext
     

   • サーバーのCLASSPATHにファイルを指定します。

3. Javaセキュリティ・プロパティ・ファイル(java.security)を編集して、WebLogic Serverで承認されているJCEプロバイダのリストにnCipher JCEプロバイダを追加します。Javaセキュリティ・プロパティ・ファイルは、以下の場所にあります。

   JAVA_HOME/jre/lib/security/java.security
   

   次のようにnCipher JCEプロバイダを指定します。

   security.provider.n=com.ncipher.provider.km.mCipherKM
   

   nは、特定のプロバイダが指定されていない場合に、リクエストされたアルゴリズムに対してプロバイダが検索される順序を決定するプリファレンス順序です。順序は1が基準になり、1が最も優先されます。その後、2、3、...と続きます。

   nCipher JCEプロバイダは、セキュリティ・プロパティ・ファイルでRSA JCAプロバイダの次に来る必要があります。たとえば:

   security.provider.1=sun.security.provider.Sun
   security.provider.2=sun.security.rsa.SunRsaSign
   security.provider.3=com.ncipher.provider.km.mCipherKM
   

4. WebLogic Serverを起動します。
5. nCipher JCEプロバイダが正常に機能していることを確認するには、nCipherの製品ドキュメントに従ってデバッグを有効にします。