転送レベルのセキュリティのコンフィグレーション

この章では、Web サービスセキュリティをコンフィグレーションする方法について説明します。

転送レベルのセキュリティのコンフィグレーション : 主な手順

転送レベルのセキュリティとは、セキュアソケットレイヤ (SSL) を使用したクライアントアプリケーションと Web サービスの間の接続の保護です。

SSL に関する概要と WebLogic Server に含まれている実装については、「セキュアソケットレイヤ (SSL)」を参照してください。

転送レベルの Web サービスセキュリティをコンフィグレーションするには、次の手順に従います。

WebLogic Server コアセキュリティサブシステムに対して SSL をコンフィグレーションします。

一方向の SSL (WebLogic Server がクライアントアプリケーションに証明書を提示する必要がある)、または双方向の SSL (クライアントアプリケーションと WebLogic Server が両方とも互いに証明書を提示する必要がある) のいずれかをコンフィグレーションできます。

WebLogic Server コアセキュリティサブシステムに対して、双方向および一方向の SSL をコンフィグレーションする手順については、「SSL のコンフィグレーション」を参照してください。

Web サービスを実装する JWS ファイル内に @weblogic.jws.security.UserDataConstaint アノテーションを追加し、Web サービスが HTTPS 転送を使用して呼び出されることを要求します。

詳細については、「weblogic.jws.security.UserDataConstraint」を参照してください。

通常の反復的な開発プロセスの一部として、Web サービスを再コンパイルして再デプロイします。

「WebLogic Web サービスの反復的な開発」を参照してください。

clientgen Ant タスクを呼び出す build.xml ファイルを更新して、Web サービスの JAX-RPC スタブの生成に、デプロイされているサービスの動的 WSDL ではなく、静的 WSDL を使用するようにします。

この場合に、clientgen が動的 WSDL からスタブを生成できない理由は、@UserDataConstraint アノテーションを指定する際に、すべてのクライアントアプリケーションで、clientgen を含むトラストストアを指定することが必要であるためです。しかし現在、clientgen でトラストストアを指定する方法はありません。したがって、Ant タスクは、動的 WSDL と同じ方法で Web サービスを記述する静的な WSDL からクライアントコンポーネントを生成しなければなりません。

Web サービスを呼び出すクライアントアプリケーションを実行するときに、アプリケーションで使用する SSL 実装を示す特定のプロパティを指定します。特に、以下の場合です。

Certicom SSL 実装を指定するには、以下のプロパティを使用する。

-Djava.protocol.handler.pkgs=weblogic.net
-Dweblogic.security.SSL.trustedCAKeyStore=trustStore

trustStore には、信頼性のある証明書 (そのうちの 1 つはサーバの証明書でなければならない) のリストを格納するクライアントサイドのトラストストアの名前を指定します。ホスト名検証を無効にするには、次のプロパティも指定します。

-Dweblogic.security.SSL.ignoreHostnameVerification=true

Sun の SSL 実装を指定するには、以下のプロパティを使用する。

-Djavax.net.ssl.trustStore=trustStore

-Dweblogic.wsee.client.ssl.stricthostchecking=false

双方向 SSL の詳細については、「クライアントアプリケーションでの双方向 SSL のコンフィグレーション」を参照してください。

クライアントアプリケーションでの双方向 SSL のコンフィグレーション

WebLogic Server で双方向 SSL をコンフィグレーションした場合は、一方向 SSL で必要なように WebLogic Server がクライアントアプリケーションに証明書を提示するだけでなく、クライアントアプリケーションも WebLogic Server に証明書を提示する必要があります。さらに、以下の要件も満たしている必要があります。

クライアントのプライベートキーと X.509 証明書のペアが格納されたクライアントサイドキーストアを作成する。

J2SE の SSL パッケージでは、クライアントのプライベートキーのパスワードはクライアントのキーストアのパスワードと同じでなければなりません。このため、クライアントのキーストアには 1 つのプライベートキーと X.509 証明書のペアしか格納できません。

WebLogic Server コアセキュリティサブシステムをコンフィグレーションして、クライアントキーストア内のクライアントの X.509 証明書をユーザにマップする。「ユーザ名マッパーのコンフィグレーション」を参照してください。
クライアントが信頼する証明書を格納するトラストストアを作成する。クライアントアプリケーションはこのトラストストアを使用して、WebLogic Server から受け取った証明書を検証します。前の項目で説明した J2SE のパスワード要件のため、このトラストストアは、クライアントがサーバに提示するキーペアを格納するキーストアとは異なっている必要があります。

この手順には、Cert Gen ユーティリティまたは Sun Microsystems の keytool ユーティリティを使用できます。開発が目的の場合は、keytool ユーティリティを使用すると簡単に開始できます。

「プライベートキー、デジタル証明書、信頼性のある認証局の取得」を参照してください。

Web サービスを呼び出すクライアントアプリケーションを実行するときに、以下のプロパティを指定する。

-Djavax.net.ssl.trustStore=trustStore
-Djavax.net.ssl.trustStorePassword=trustStorePassword

trustStore には、信頼性のある証明書 (そのうちの 1 つはサーバの証明書でなければならない) のリストを格納するクライアントサイドのトラストストアの名前を指定し、trustStorePassword には、トラストストアのパスワードを指定します。

上記のプロパティは、クライアントサイドキーストアを指定するために設定する必要のある標準的なプロパティに追加されるものです。

-Djavax.net.ssl.keyStore=keyStore
-Djavax.net.ssl.keyStorePassword=keyStorePassword

その他の Web サービス SSL の例

dev2dev CodeShare は、BEA の技術に関するアイデア、コード、およびベストプラクティスを共有する、開発者向けのコミュニティです。このサイトでは、BEA のさまざまなの技術のサンプルコードが紹介されており、Web サービスでの SSL の使い方に関するサンプルコードもあります。

dev2dev サイトで SSL Web サービスのサンプルコードの表示とダウンロードを行うには、メインのプロジェクトページに移動し、[By Technology] カラムで [Web Services] リンクをクリックします。

WebLogic Web サービス プログラマーズ ガイド

転送レベルのセキュリティのコンフィグレーション