Javaプラットフォームのセキュリティ・ツールのサマリー
最終更新日: 2006年7月28日ここでは、次のセキュリティ・ツールのサマリーを説明します。詳しいドキュメントへのリンクも示しています。keytool、jar、jarsigner、Policy Tool、kinit、klistおよびktab。Policy Toolはグラフィカル・ユーザー・インタフェースを備えていますが、それ以外のツールはすべてコマンド行ツールです。
ツール
keytool (Solaris、LinuxまたはMac OS X用、Windows用)
keytoolを使用して、キーストアを管理できます。たとえば、次の作業を行えます
- 公開鍵と非公開鍵のペアを作成する
- 証明書要求を発行する(適切な証明書発行局に送信する)
- 証明書応答をインポートする(要求を送信した証明書発行局から取得する)
- 別の組織に属する公開鍵の信頼性を明示する
- 2つのキーストア間のエントリをコピーする
鍵と証明書は、アプリケーションとアプレットにデジタル署名を付けるときに使用します(下のjarsignerを参照)。キーストアとは、特定の企業用の鍵と証明書を保持する、保護されたデータベースです。キーストアへのアクセスは、パスワードによって保護されます。キーストアのパスワードは、キーストアの作成時に作成者が定義し、変更できるのは、現在のパスワードを指定した場合のみです。また、キーストアに含まれる各非公開鍵は、それぞれのパスワードによって保護できます。
jar (Solaris、LinuxまたはMac OS X用、Windows用)
JARファイルの作成には、jarツールを使用します。
Java ARchive (JAR)ファイル形式を使用すると、複数のファイルを1つのアーカイブ・ファイルに統合できます。JARファイルには、主に、アプレットおよびアプリケーションに関連したクラス・ファイルおよび補助リソースが含まれます。コードに「デジタル署名」する場合は、jarツールを使用してJARファイルにコードを統合し、jarsignerツールを使用してJARファイルに署名します(keytoolを使用して適切な鍵をキーストアに生成またはインポートしたあとで行う)。
jarsigner (Solaris、LinuxまたはMac OS X用、Windows用)
JARファイルへの署名付けと、署名付きJARファイルの署名の検証にはjarsignerツールを使用します。
jarsignerツールは、JARファイルに署名を付けるときに使用する非公開鍵、およびそれに関連する証明書チェーンを探す必要があるときは、keytoolによって作成され管理されるキーストアにアクセスします。キーストアと非公開鍵へのアクセスはパスワードで保護されているので、非公開鍵のパスワードを知っている者だけが非公開鍵にアクセスでき、非公開鍵を使用してJARファイルに署名を付けることができます。パスワードが必要な場面では、jarsignerツールはパスワードの入力を要求します。
Policy Tool (Solaris、LinuxまたはMac OS X用、Windows用)
インストールしたセキュリティ・ポリシーを定義する外部ポリシー構成ファイルの作成と修正には、Policy Tool (policytoolコマンドを使用して起動)を使用します。
ポリシーについては、「セキュリティ・アーキテクチャ」で説明しています。「デフォルトのPolicyの実装とポリシー・ファイルの構文」では、さらに詳しく説明しています。
このツールはグラフィカル・ユーザー・インタフェースを備えているため、ほかのツールのようにコマンドを入力することなくボタンやその他のオプションを選択できます。詳細は、「Policy Toolユーザーズ・ガイド」を参照してください。
kinit (Windows)
kinitは、Kerberosチケット認可チケットの取得とキャッシュに使用されます。このツールは、SEAMおよびMITリファレンス実装などのほかのKerberos実装に共通して使用されているkinitツールと同様の機能があります。
kinitを実行する前に、Key Distribution Center (KDC)を使用してユーザーを主体として登録する必要があります。
Solaris - Solarisユーザーは、Solarisオペレーティング環境に含まれるkinitツールを使用して、同等の機能を利用できます。
Linux - Linuxユーザーは、Kerberos 5インストールのkinitツールを使用して、同等の機能を利用できます。
klist (Windows)
klistはコマンド行ツールで、ローカルの資格キャッシュおよびキー表内のエントリを表示できます。
Solaris - Solarisユーザーは、Solarisオペレーティング環境に含まれるklistツールを使用して、同等の機能を利用できます。
Linux - Linuxユーザーは、Kerberos 5インストールのklistツールを使用して、同等の機能を利用できます。
ktab (Windows)
ktabはコマンド行ツールで、ローカル・キー表に保存されたプリンシパル名およびサービス・キーを管理できます。キー・タブに一覧表示された主体と鍵のペアを使用することにより、ホスト上で実行しているサービスを、Key Distribution Center (KDC)に認証させることができます。Kerberosを使用できるようにサーバーを設定するには、サーバーを実行しているホスト上でキー・タブを設定する必要があります。ktabを使用したキー・タブの更新は、Kerberosデータベースに影響しません。キー・タブ内の鍵を変更した場合、Kerberosデータベースにも同様の変更を加えなければなりません。コマンド行オプションは、大文字と小文字を区別しないことにも注意してください。
Solaris - Solarisユーザーは、Solarisオペレーティング環境に含まれるktutilツールまたはkadminツールを使用して、同等の機能を利用できます。
Linux - Linuxユーザーは、Kerberos 5インストールのktutilツールまたはkadminツールを使用して、同等の機能を利用できます。