Web Services Security に対するハードウェア暗号デバイスのサポート
IBM® WebSphere® Application Serverでは、Web Services Security は暗号ハードウェア・デバイスの使用をサポートしています。 Web Services Security でハードウェア暗号装置を使用するには、 2 とおりの方法があります。
ハードウェア・デバイスでの暗号操作の使用可能化
ハードウェア・デバイスで暗号操作を使用可能にできます。 使用する鍵は Java 鍵ストア・ファイルに保管でき、ハードウェア・デバイスに保管する必要はありません。 ハードウェア・デバイスで暗号操作を使用可能にする決定は、サーバー・レベルでのみ行うことができ、ア プリケーション・レベルでは行うことができません。
ハードウェア・デバイスでの暗号操作が使用可能になっていると、Web Services Security ランタイムはまず、暗号操作にハードウェア・デバイスを使用しようとします。 ハードウェア・デバイスを使用しようとして失敗した場合、またはハードウェアがアルゴリズムをサポートしていない場合、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。
このフィーチャーを使用可能にすると、ハードウェア・デバイスによってはパフォーマンスが向上することがあります。 ハードウェア・デバイスで暗号操作を有効にする方法について詳しくは、 Web Services Security 用のハードウェア暗号デバイスの構成を参照してください。
セキュア鍵
暗号鍵は、ハードウェア暗号デバイスに保管でき、このデバイス から移動することはありません。 こうしたセキュアな鍵は、パフォーマンスではなくセキュリティーを考慮して、ハードウェア暗号デバ イスに限定されています。 ハードウェア暗号デバイスに保管されている鍵ストアを使用するか、Java 鍵ストア・ファイルを使用するかの選択は、 アプリケーション・レベルで行うことができます。
鍵ストア参照がハードウェア・デバイス構成に指定されている場合、Web Services Security ランタイムはまず、ハードウェア・デバイスから暗号アルゴリズムを取得しようとします。 アルゴリズムがサポートされていない場合または失敗する場合は、ランタイムはセキュリティー・プロバイダー・リストのソフトウェア・プロバイダーを使用します。
セキュア鍵を有効にする方法について詳しくは、 Web Services Security のハードウェア・デバイスに保管された暗号鍵の有効化を参照してください。
制限
- Java™ Platform, Enterprise Edition (Java EE) Application Client として実行される Web サービス・クライアントはサポートされません。
- iSeries上のハードウェア暗号デバイスはサポートされていません。
- バージョン 6.1 以降の Web Services Security アプリケーションのみが、ハードウェア暗号サポートを利用できます。注: バージョン 5.x および 6.0.x Web Services Security アプリケーションは、バージョン 6.1 WebSphere Application Serverで実行できますが、これらのバージョンではハードウェア暗号サポートを利用できません。
セッション鍵の長期間の使用
ハードウェア鍵ストアを使用するように WebSphere Application Server を構成することも、セッション鍵を長期にわたって使用できるようにハードウェア・アクセラレーション・カードを構成することもできます。 セッション鍵は、セキュアでない場合があります。
非セキュア・セッション鍵が心配な場合は、ハードウェア鍵ストアを使用するように WebSphere Application Server を構成します。 Web Services Security のハードウェア・デバイスに格納されている暗号鍵を有効にする方法に関する情報を参照してください。
- nCipher nforce 1600 server バージョン 2.23.6 の場合、nCipher 文書の指示に従ってください。
CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longtermパラメーターを cknfastrc 構成ファイルで設定することができます。 この構成変更は、セッション鍵に関連付けられる制限時間を除去します。- Cipher の文書に従って、nCipher サーバーを再始動します。
- WebSphere Application Server を再始動します。