JDBC 接続のデータ暗号化の使用可能化

JDBC 接続の暗号化は、JDBC プロバイダーが提供するサード・パーティー JDBC クライアント jar に渡されるパラメーターによって管理されます。 IBM® Integration Bus JDBCProviders 構成可能サービスまたはベンダー固有の構成ファイルを使用して、パラメーターを渡すことができます。

このタスクの概要

暗号化パラメーターは、JDBC プロバイダーに固有です。 ご使用のランタイム環境で必要な Java™ 暗号化パラメーターの詳細については、JDBC プロバイダーによって発行される資料を参照してください。

JDBC 接続のデータ暗号化を有効にするには、以下のいずれかのセクションの説明に従ってください。
注: また、いずれかの方法を使用して、JDBC 接続に追加の環境パラメーターを適用することもできます。例えば、SSL を使用して JDBC を構成する場合や、 Oracle RAC などの高可用性およびスケーラビリティー機能を使用して JDBC を構成する場合などです。 SSL セットアップには追加のステップが必要です。これらについては、 Public Key Infrastructure のセットアップで説明しています。

IBM Integration Bus JDBCProviders 構成可能サービスを使用した JDBC 接続のデータ暗号化の有効化

このタスクの概要

構成可能サービスを使用して JDBC 接続を使用可能にする方法については、 データベースへの JDBC 接続の有効化を参照してください。

暗号化パラメーターは JDBCProviders 構成可能サービスの environmentParms プロパティーで設定されます。このプロパティーは、JDBC 接続 URL に追加のパラメーターを適用します。

このセクションで説明する例では、 Oracle JDBC シン・クライアントを使用して、JDBC クライアント JAR で暗号化機能を使用可能にするように IBM Integration Bus を構成する方法について説明します。 IBM Integration Bus と Oracle データベースの間でデータの暗号化を有効にするには、以下のパラメーターを設定します。
  • ORACLE.NET.ENCRYPTION_CLIENT=REQUIRED
  • ORACLE.NET.ENCRYPTION_TYPES_CLIENT(AES256)
  • ORACLE.NET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
  • ORACLE.NET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA256,SHA1)

この構成方式は、パラメーターのセットが限られている場合、または複数の JDBCProviders 構成可能サービスに対して異なるパラメーターをカスタマイズする必要がある場合に特に適しています。

手順

以下のステップを実行します。
  • Windows の場合Linux®、または UNIX プラットフォームでは、 mqsichangeproperties コマンドを発行して、名前と値のペアをセミコロンで区切って暗号化パラメーターを設定します。 以下に例を示します。
    mqsichangeproperties integrationNodeName -c JDBCProviders -o Oracle -n environmentParms 
-v oracle.net.encryption_client=REQUIRED;oracle.net.encryption_types_client=AES256;oracle.net.crypto_checksum_client=REQUIRED;oracle.crypto_checksum_types_client=SHA256,SHA1
  • z/OS®では、統合ノード PDSE で BIPCHPR ユーティリティーをカスタマイズして実行依頼することにより、このコマンドを実行します。 -v パラメーターで表される値が長すぎる場合、値を複数行に分けることを覚えておいてください。これを行うには、72 桁目で継続文字 _ (下線) を使用し、次の行が 1 桁目で開始されるようにします。

ベンダー固有の構成ファイルを使用した JDBC 接続のデータ暗号化の有効化

このタスクの概要

あるいは、暗号化パラメーターを含むベンダー固有の構成ファイルを使用することもできます。 このファイルの場所は、統合サーバーのランタイム環境である JVM システム・プロパティーによって指定されます。 JDBCProviders 構成可能サービスを更新して、構成ファイルの関連部分を参照するようにします。

暗号化パラメーターは、TNSNAMES.ORA という Oracle 構成ファイルのスタンザとして設定できます。 構成ファイルの場所は、Java システム・プロパティーを使用することで、統合サーバーで使用可能になります。

手順

以下のステップを実行します。
  • Windows の場合Linux、または UNIX プラットフォームの場合:
    1. mqsichangeproperties コマンドで Java システム・プロパティーを指定して、統合サーバーに対して構成ファイルの場所を使用可能にします。 以下に例を示します。
      mqsichangeproperties integrationNodeName -e integrationServerName  -o ComIbmJVMManager 
-n jvmSystemProperty -v "-Doracle.net.tns_admin=Location of TNSNAMES.ORA file"
    2. mqsichangeproperties コマンドを発行して、JDBCProviders 構成可能サービスの サーバー名 プロパティーを更新し、 TNSNAMES.ORA ファイルに Oracle Net サービスの名前を指定します。 以下に例を示します。
      mqsichangeproperties integrationNodeName -c JDBCProviders -o Oracle -n serverName
-v Name of Oracle Net service
  • z/OSでは、統合ノード PDSE で BIPCHPR ユーティリティーをカスタマイズして実行依頼することにより、コマンドを実行します。 -v パラメーターで表される値が長すぎる場合、値を複数行に分けることを覚えておいてください。これを行うには、72 桁目で継続文字 _ (下線) を使用し、次の行が 1 桁目で開始されるようにします。