鍵ストアとトラストストア

鍵ストアとトラストストアについて説明します。

鍵ストアおよびトラストストアは、TLS などの暗号プロトコルに使用される証明書や秘密鍵などの暗号成果物を含むリポジトリーです。

鍵ストア には、個人証明書と、それに対応する秘密鍵 (証明書の所有者を識別するために使用される) が含まれています。

TLS の場合、個人証明書 は TLS エンドポイントの ID を表します。 クライアント (例: REST クライアント) とサーバー (例: z/OS® Connect EE サーバー) の両方に、自らを識別するための個人証明書が存在することがあります。

トラストストア には、エンドポイントで信頼される署名者証明書 (認証局証明書とも呼ばれる) が含まれています。

署名者証明書 には公開鍵 が含まれていて、個人証明書の検証に使用されます。サーバーの署名者証明書をクライアントのトラストストアにインストールすることにより、クライアントが TLS 接続の確立時にサーバーを信頼できるようにします。TLS クライアント認証が有効な場合、サーバーがクライアントを信頼するには、同じ原則が当てはまります。

z/OS Connect EEJava™ KeyStores (JKS)、Public Key Cryptography Standards #12 (PKCS12)、および SAF 鍵リングをサポートしています。

JKS 鍵ストア・タイプ

Java Keystore (JKS) は、セットアップが簡単という理由で Java 環境に使用される共通鍵ストア・タイプです。 JKS では、zFS ファイル・システムに保管されている拡張子 .jks のファイルが使用されます。 JKS は、server.xml 構成ファイル内の keyStore エレメントによって参照されます。JKS は鍵ストアとトラストストアの両方に使用できます。

PKCS12 鍵ストア・タイプ

Public Key Cryptography Standards #12 (PKCS12) は業界標準の鍵ストア・タイプです。 これは他の製品と互換性があります。PKCS12 鍵ストアでは、zFS ファイル・システムに保管されている拡張子 .p12 のファイルが使用されます。 PKCS12 鍵ストアは、server.xml 構成ファイル内の keyStore エレメントによって参照されます。PKCS12 タイプは鍵ストアとトラストストアの両方に使用できます。

PKCS12 は z/OS Connect EE におけるデフォルト鍵ストア・タイプです。

SAF 鍵リング

鍵ストアおよびトラストストアとして SAF 鍵リングも使用できます。 SAF 鍵リングは、SAF セキュリティー管理者の制御下にあります。 z/OS Connect EE は、SAF 鍵リングについて以下の鍵ストア・タイプをサポートします。
  • JCERACFKS (IBMJCE セキュリティー・プロバイダーが使用される場合)。
  • JCECCARACFKS (IBMJCECCA セキュリティー・プロバイダーが使用される場合)。
  • JCEHYBRIDRACFKS (IBMJCEHYBRID セキュリティー・プロバイダーが使用される場合)。
各種 Java Cryptography Extension (JCE) セキュリティー・プロバイダーの使用について詳しくは、『ハードウェア暗号方式』を参照してください。
SAF 鍵リングは、server.xml 構成ファイル内の keyStore エレメントによって参照されます。 鍵ストアのタイプは location 属性および type 属性で指定されます。
表 1. JCE プロバイダー、鍵ストア・ロケーション、および鍵ストア・タイプの間の関係。 . さまざまなセキュリティー・プロバイダーの鍵ストアのロケーションとタイプが示されています
JCE プロバイダー server.xml
  ssl 鍵ストア・ロケーション属性 ssl 鍵ストア・タイプ属性
IBMJCE location="safkeyring:///" type="JCERACFKS"
IBMJCECCA location="safkeyringhw:///" type="JCECCARACFKS"
IBMJCEHYBRID location="safkeyringhybrid:///" type="JCEHYBRIDRACFKS"

z/OS Connect EE がどのようにして鍵ストアとトラストストアを使用できるのかについて学習するには、z/OS Connect EE が API プロバイダーとして機能する場合は『API プロバイダーの機密性および保全性』を参照し、z/OS Connect EE が API リクエスターとして機能する場合は『API リクエスターの機密性および保全性』を参照してください。