セキュリティのトラブルシューティング

セキュリティ・アクセスを監視するには、java.security.debugシステム・プロパティを設定します。これにより、実行中にどのトレース・メッセージを出力するかを決定します。セキュリティ・プロパティ、セキュリティ・プロバイダおよびTLS関連の設定を表示するには、javaコマンドで-XshowSettings:securityオプションを指定します。

トピック

java.security.debugシステム・プロパティ

すべてのデバッグ・オプションのリストを表示するには、次のようにhelpオプションを使用します。MyAppは、任意のJavaアプリケーションです。javaコマンドはデバッグ・オプションを出力し、MyAppを実行する前に終了します。 

java -Djava.security.debug=help MyApp

ノート:

  • 複数のオプションを使用するには、オプションをカンマで区切ります。
  • JSSEでは、SSL/TLS/DTLSのトラブルシューティングのために動的なデバッグ・トレースもサポートされています。デバッグ・ユーティリティを参照してください。

次の表に、java.security.debugのオプションと各オプションの関連情報へのリンクを示します。

表1-9 java.security.debugのオプション

オプション 説明 関連情報
all すべてのデバッグ・オプションを有効にします。 なし
access

AccessController.checkPermissionメソッドの結果をすべて出力します。

accessオプションとともに、次のオプションを使用できます。

  • stack: スタック・トレースを含む
  • domain: コンテキスト内のすべてのドメインをダンプする
  • failure: 例外をスローする前に、アクセス権を保持しないスタックおよびドメインをダンプする

stackおよびdomainオプションとともに、次のオプションを使用できます。

  • permission=<classname>: 指定されたアクセス権がチェックされている場合にのみ、出力をダンプする
  • codebase=<URL>: 指定されたコード・ベースがチェックされている場合にのみ、出力をダンプする
JDKでのアクセス権
certpath

PKIX CertPathValidatorおよびCertPathBuilder実装のデバッグを有効にします。OCSPプロトコルのトレースを行う場合は、ocspオプションをcertpathオプションとともに使用します。OCSPリクエストおよびレスポンスのバイトの16進ダンプが表示されます。

certpathオプションとともに、次のオプションを使用できます。

  • ocsp: OCSPプロトコル交換をダンプします
  • verbose: 追加のデバッグ情報を出力します
PKIプログラマーズ・ガイドの概要
combiner SubjectDomainCombinerのデバッグ JDKでのアクセス権
configfile JAAS (Java Authentication and Authorization Service)構成ファイルのロード

Java認証・承認サービス(JAAS)リファレンス・ガイド

JAAS LoginユーティリティおよびJava GSS-APIを使用したセキュアなメッセージ交換
configparser JAAS構成ファイルの解析

Java認証・承認サービス(JAAS)リファレンス・ガイド

JAAS LoginユーティリティおよびJava GSS-APIを使用したセキュアなメッセージ交換
gssloginconfig Java GSS (Generic Security Services)ログイン構成ファイルのデバッグ

Java Generic Security Services: (Java GSS)およびKerberos

JAASおよびJava GSS-APIチュートリアル

javax.security.auth.login.Configuration: Configurationオブジェクトは、特定のアプリケーションで使用されるjavax.net.ssl.SSLEngineと、LoginModulesが呼び出される順番を指定します。

付録B: JAASログイン構成ファイル

Java SE認証、セキュアな通信、およびシングル・サインオンでの高度なセキュリティ・プログラミング
jar JARファイルの検証

Javaチュートリアルの「Verifying Signed JAR Files」

ノート:

システム・プロパティjdk.jar.maxSignatureFileSizeを使用して、署名付きJAR内の署名ファイルの最大サイズをバイト単位で指定します。デフォルト値は16000000 (16 MB)です。
jca

 JCAエンジン・クラスのデバッグ

エンジン・クラスとアルゴリズム
keystore

Keystoreのデバッグ

キーストア

KeyStore
logincontext LoginContextの結果

Java認証・承認サービス(JAAS)リファレンス・ガイド

JAAS LoginユーティリティおよびJava GSS-APIを使用したセキュアなメッセージ交換
pcsc Java Smart Card I/OおよびSunPCSCプロバイダのデバッグ SunPCSCプロバイダおよびjavax.smartcardioパッケージ
pkcs11 PKCS11セッション・マネージャのデバッグ

PKCS#11リファレンス・ガイド
pkcs11keystore PKCS11 KeyStoreのデバッグ

PKCS#11リファレンス・ガイド
pkcs12 PKCS12 KeyStoreのデバッグ なし
policy ポリシー・ファイルによるアクセス権のロードと付与

Javaチュートリアルの「Set up the Policy File to Grant the Required Permissions」(Controlling Applications)

デフォルトのPolicyの実装とポリシー・ファイルの構文
properties java.security構成ファイルのデバッグ なし
provider セキュリティ・プロバイダのデバッグ

次のオプションは、プロバイダ・オプションとともに使用できます。

engine=<engines>: この出力は、指定されたJCAエンジン・リストのためにのみ表示されます。

<engines>に対してサポートされている値は次のとおりです。
  • 暗号
  • KeyAgreement
  • KeyGenerator
  • KeyPairGenerator
  • KeyStore
  • Mac
  • MessageDigest
  • SecureRandom
  • Signature
 Java暗号化アーキテクチャ(JCA)リファレンス・ガイド
scl SecureClassLoaderによって割り当てられるアクセス権 JDKでのアクセス権
securerandom SecureRandomのデバッグ SecureRandomクラス
sunpkcs11 SunPKCS11プロバイダのデバッグ PKCS#11リファレンス・ガイド
ts Timestampingのデバッグ なし
x509 X.509証明書のデバッグ X.509証明書と証明書失効リスト(CRL)

スレッドおよびタイムスタンプ情報の出力

java.security.debugシステム・プロパティで指定された値に次の文字列を追加して、追加情報を出力できます:

  • +thread: スレッドおよび呼出し側情報を出力します
  • +timestamp: タイムスタンプ情報を出力します

たとえば、スレッド、呼出し側、およびタイムスタンプ情報をすべてのデバッグ出力に追加するには、コマンドラインで次のようにjava.security.debugシステム・プロパティを設定します: 

java -Djava.security.debug=all+thread+timestamp MyApp

java -XshowSettings:securityオプション

javaコマンドの-XshowSettings:securityオプションを指定して、セキュリティ・プロパティ、セキュリティ・プロバイダおよびTLS関連の設定を表示できます。このオプションは、サード・パーティのセキュリティ・プロバイダの詳細がアプリケーションのクラス・パスまたはモジュール・パスに含まれ、そのようなプロバイダがjava.securityファイルで構成されている場合、それらを表示します。

また、-XshowSettings:security:<subcategory>を指定できます。<subcategory>は次のいずれかです:

  • all: すべてのセキュリティ設定を表示します
  • properties: セキュリティ・プロパティを表示します
  • providers: 静的セキュリティ・プロバイダ設定を表示します
  • tls: TLS関連のセキュリティ設定を表示します