SAML の暗号化された要素をデコードするための証明書鍵ストアのセットアップ

SAML 2.0 では、暗号化された XML 要素がサポートされています。ID プロバイダ (idP) は、アサーションを作成し、アサーションの一部またはアサーション全体を暗号化できます。 Sametime® Community Server では、アサーションを検証するために、暗号化された要素を暗号化解除する必要があります。この暗号化は、2 つの関連する鍵 (秘密鍵と公開鍵) を使用する、非対称暗号方式に基づいています。 idP では、通常、暗号化に公開鍵が使用され、Sametime サーバーでは、暗号化解除に秘密鍵が使用されます。

このタスクについて

SAML 暗号化はオプションの機能です。ご使用の idP で SAML 要素の暗号化が行われない場合は、この手順をスキップしてください。 SAML 要素を暗号化するように idP が設定されている場合は、秘密鍵を使用して Sametime Community Server を構成しますが、idP では、対応する公開鍵を暗号化に使用する必要があります。

鍵ストアのセットアップは、トラストストアのセットアップに似ています (SAML 署名検証のための証明書トラストストアのセットアップのトピックを参照してください)。トラストストアと鍵ストアの違いは、トラストストアは署名の検証に使用されるので秘密鍵が必要ないのに対し、鍵ストアは要素の暗号化解除に使用されるので秘密鍵を含んでいる必要があるという点です。鍵ストアの [個人証明書] で秘密鍵証明書を追加して、秘密鍵を指定します。

鍵ストアは、P12 ファイル (PKCS#12)、JKS (Java 鍵ストア)、KDB (IBM 鍵データベース) のいずれでもかまいません。証明書ストアファイルは、既存のものを使用することも、新規に作成することも可能です。新規証明書ストアを作成している場合、推奨されるフォーマットは、P12 (PKCS#12) です。証明書ストアの作成や編集には、iKeyMan ツールを使用できます。詳しくは、『iKeyMan を使用して TLS 用の証明書を管理する』のトピックを参照してください。

鍵ストアを作成したら、Sametime 構成に鍵ストアファイルとパスワードを指定します。 TLS と SAML に同じ鍵ストアを使用する計画がある場合や、TLS を使用していない場合、Sametime 構成で必要な鍵ストアファイルは 1 つだけです。このような場合は、Integrated Solutions Console の TLS 構成設定を使用することをお勧めします。少なくとも、[サーバーアプリケーション接続] 列に鍵ストアファイルとパスワードを指定してください。使用可能な設定の完全なリストについては、『TLS 構成のセットアップ』のトピックを参照してください。

手順

TLS と SAML で異なる鍵ストアを使用する計画がある場合は、sametime.ini ファイルの [Config] セクションに以下の SAM 固有の設定を使用して、鍵ストアを指定します。

STSAML_KEY_STORE_FILE=Key store file
STSAML_KEY_STORE_TYPE=Key store type
STSAML_KEY_STORE_PASSWORD=Key store password
STSAML_KEY_STORE_PASSWORD_STASH_FILE=Key store password stash file
STSAML_KEY_LABEL=Certificate alias in key store

注: 現在 Sametime サーバーが実行されている場合、この設定は、次回 Sametime サーバーを再起動したときに有効になります。