はじめに

JMSサーバでは、コンシューマアプリケーションとプロデューサアプリケーションの間で交換されるメッセージを確実に送信できる高度なセキュリティ機能がサポートされています。 特に、JMSサーバをすべての通信目的にSSL (Secure Socket Layer)を使用するように設定できます。また、宛先の構造および名前がアプリケーションに影響を及ぼすことがあるため、組込み名サービスを無効にすることができます。 この章では、Novell exteNd Messaging Platform JMSの高度なセキュリティ機能の概要について説明します。

SSL (Secure Sockets Layer)は、クライアントアプリケーションおよびサーバアプリケーションが情報を安全に交換できるようにNetscape社が開発しました。SSLプロトコルは、任意のトランスポートプロトコルの上で階層になっており、HTTPなどのアプリケーションプロトコルで実行できます。 SSLは公開鍵暗号化に基づいており、SSLの基本方針は次のとおりです。 SSLプロトコルは2つの通信アプリケーション(クライアントとサーバ)間のプライバシーを保護するよう設計されています。 第二に、プロトコルはサーバおよびオプションでクライアントを認証するよう設計されています。

SSLプロトコルの詳しい説明は次のとおりです。

1. クライアントは、SSL接続をサーバから要求します。
2. 2つのパーティは、次のもので構成される共通の暗号をネゴシエートします。
   1. 公開鍵交換アルゴリズム - Diffie-HellmanまたはRSA
   2. 証明書アルゴリズム - デジタル署名アルゴリズム(DSS証明書で使用されます)、RSA、または匿名(証明書は使用されません)
   3. シンメトリック暗号化アルゴリズムはDES、Triple-DES、RC2、RC4などのデータの暗号化に使用されます。
   4. MD5およびSHA-1などのメッセージダイジェストアルゴリズム はデータの整合性のチェックに使用されます。
3. サーバは、クライアントが認証できるように、その証明書チェーンを提供します。また、クライアントは、サーバが認証できるように、その証明書チェーンを提供することもできます。
4. 2つのパーティは、データの暗号化に必要なシークレットキーなど、暗号で使用される暗号化パラメータを計算します。
5. 2つのパーティは、ネゴシエートされたアルゴリズムおよび計算された暗号化パラメータを使用して、アプリケーションデータを交換します。

暗号化パラメータが確立されると、アプリケーションデータは透過的に暗号化され、双方向で整合性がチェックされます。SSLプロトコルおよび公開鍵の暗号化の詳細については、該当する資料を参照してください。

SSLサポート

JMSサーバは、基礎となるORBでSSLサポートを利用します。保護機能は次の2つのカテゴリに分けられます。

• 機密保護 : 通信では、使用可能なデフォルトサイファスイートを使用して、整合性および機密が保護されます。
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA
  • SSL_DH_DSS_WITH_DES_CBC_SHA
  • SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
  • SSL_DHE_DSS_WITH_DES_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
  • SSL_DHE_RSA_WITH_DES_CBC_SHA
  • SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
  • SSL_DH_anon_WITH_RC4_128_MD5
  • SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
  • SSL_DH_anon_WITH_DES_CBC_SHA
  • SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
• 整合性: 通信では、使用可能なデフォルトのサイファスイートを使用して、整合性だけが保護されます。
  • SSL_RSA_WITH_NULL_MD5
  • SSL_RSA_WITH_NULL_SHA

上のリストで示したサイファスイートには、4つのコンポーネントがあります。

1. 鍵交換アルゴリズム: DHE (Diffie-Hellman ephemeral)またはRSA
2. 証明書アルゴリズム: DSS、RSA、またはanon (匿名、証明書なし)
3. シンメトリックサイファ: CBSモードのDES、CBCモードのDES-EDE (tripple-DES)、RC4 (40ビットまたは128ビット)、またはNULL (データ暗号化の暗号なし)
4. メッセージダイジェスト: MD5またはSHA-1

サイファスイートを指定する場合、スイートのグループを参照するか、JMSサーバが使用するスイートのカンマ区切りリストを指定できます。個々の暗号の名前は、上のリストに表示されています。 サイファスイートの組み合わせの文字列は次のとおり定義されます。

• CIPHER_SUITES_RSA_WITH_NULL:

  SSL_RSA_WITH_NULL_SHAおよびSSL_RSA_WITH_NULL_MD5を含むRSA認証され、非暗号化されたサイファスイート。

• CIPHER_SUITES_RSA_WITH_ALL:

  すべてのRSAキー交換サイファスイートにはSSL_RSA_WITH_RC4_128_MD5、SSL_RSA_WITH_RC4_128_SHA、SSL_RSA_WITH_3DES_EDE_CBC_SHA、SSL_RSA_WITH_DES_CBC_SHA、SSL_RSA_EXPORT_WITH_RC4_40_MD5、SSL_RSA_EXPORT_WITH_DES40_CBC_SHA、およびSSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5が含まれています。

• CIPHER_SUITES_RSA_EXPORT_WITH_ALL:

  エクスポートが許可されたRSAキー交換サイファスイートにはSSL_RSA_EXPORT_WITH_RC4_40_MD5およびSSL_RSA_EXPORT_WITH_DES40_CBC_SHAが含まれています。

• CIPHER_SUITES_RSA_NONEXPORT_WITH_ALL:

  エクスポートが制限されたRSAキー交換サイファスイートにはSSL_RSA_WITH_RC4_128_MD5、SSL_RSA_WITH_RC4_128_SHA、SSL_RSA_WITH_3DES_EDE_CBC_SHA、およびSSL_RSA_WITH_DES_CBC_SHAが含まれています。

• CIPHER_SUITES_DHE_WITH_ALL:

  すべてのDHEキー交換サイファスイートにはSSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA、SSL_DHE_RSA_WITH_DES_CBC_SHA、およびSSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHAが含まれています。

• CIPHER_SUITES_DHE_EXPORT_WITH_ALL:

  エクスポートが許可されたDHEキー交換サイファスイートはSSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHAです。

• CIPHER_SUITES_DHE_NONEXPORT_WITH_ALL:

  エクスポートが制限されたDHEキー交換サイファスイートにはSSL_DHE_RSA_WITH_3DES_EDE_CBC_SHAおよびSSL_DHE_RSA_WITH_DES_CBC_SHAが含まれています。

• CIPHER_SUITES_DHA_WITH_ALL:

  認証のない匿名のDiffie-Hellmanサイファスイートは次のとおりです。 SSL_DH_anon_WITH_RC4_128_MD5, SSL_DH_anon_WITH_3DES_EDE_CBC_SHA, SSL_DH_anon_WITH_DES_CBC_SHA, SSL_DH_anon_EXPORT_WITH_RC4_40_MD5, and SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA。

• CIPHER_SUITES_DSA_WITH_ALL:

  すべてのDSAサイファスイートにはSSL_DH_DSS_WITH_3DES_EDE_CBC_SHA、SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA、SSL_DH_DSS_WITH_DES_CBC_SHA、SSL_DHE_DSS_WITH_DES_CBC_SHA、SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA、およびSSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHAが含まれています。

• CIPHER_SUITES_DSA_EXPORT_WITH_ALL:

  エクスポートが許可されたDSAサイファスイートにはSSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHAおよびSSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHAが含まれています。

• CIPHER_SUITES_INTEGRITY_ONLY:

  整合性のみのサイファスイートはSSL_RSA_WITH_NULL_MD5およびSSL_RSA_WITH_NULL_SHAです。

• CIPHER_SUITES_CONFIDENTIALITY:

  すべての機密サイファスイートにはSSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5、SSL_RSA_EXPORT_WITH_RC4_40_MD5、SSL_RSA_WITH_RC4_128_MD5、SSL_RSA_WITH_RC4_128_SHA、SSL_RSA_EXPORT_WITH_DES40_CBC_SHA、SSL_RSA_WITH_DES_CBC_SHA、SSL_RSA_WITH_3DES_EDE_CBC_SHA、SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA、SSL_DH_DSS_WITH_DES_CBC_SHA、SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA、SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA、SSL_DHE_DSS_WITH_DES_CBC_SHA、SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA、SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA、SSL_DHE_RSA_WITH_DES_CBC_SHA、SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA、SSL_DH_anon_EXPORT_WITH_RC4_40_MD5、SSL_DH_anon_WITH_RC4_128_MD5、SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA、SSL_DH_anon_WITH_DES_CBC_SHA、およびSSL_DH_anon_WITH_3DES_EDE_CBC_SHAが含まれています。

• CIPHER_SUITES_ALL:

  JMSでサポートされているすべてのサイファスイート。

サイファスイートが指定された順序により、優先順位が決定します。 つまり、暗号スイートのクライアントのリストおよびJMSサーバのリストの最初の共通サイファスイートは、通信の確立に使用されます。

交換可能ななセキュリティ

JMQMessageServiceインタフェースから次のプロパティを使用するよう設定された場合の交換可能なセキュリティ。

• msgsvc.security.realm - 認証クラスの完全分類名。 このクラスはRealmインタフェースを実装する必要があります。
• msgsvc.security.manager - プリンシパルマネージャクラスの完全分類名。 このクラスはPrincipalManagerインタフェースを実装する必要があります。カスタムプリンシパルマネージャを指定する場合、カスタムRealmを指定する必要があります。
• msgsvc.security.authorization - アクセス制御リストクラスの完全分類名。 このクラスはAclManagerインタフェースを実装する必要があります。

SSL管理

SSLの環境設定はJMQMessageServiceインタフェースから次のプロパティを使用するよう定義されています。

• msgsvc.security.enable - 前に説明したとおり、JMSサーバでセキュリティを有効にするには、このプロパティをtrueに設定する必要があります。
• msgsvc.ssl.enable - このプロパティがtrueに設定されている場合、JMSサーバは、安全な接続ファクトリオブジェクトを提供します。このオブジェクトは、クライアントが機密接続を作成するときに使用できます。クライアント接続ファクトリは、目的の保護レベル、および認証局証明書と認証局のセットで構成する必要があります。
• msgsvc.ssl.certificate - JMSサーバのSSL情報のあるディレクトリ。このプロパティは、msgsvc.ssl.enableプロパティがTRUEに設定されているときに評価されます。 JMSサーバは、このディレクトリの次のファイルを参照します。
  • DERフォーマットのプライベートキーのあるprivateKey.derファイル。キーは、オプションで暗号化されることもあります。
  • DERエンコードされた証明書のチェーンのあるcertificate.chainファイル。オプションで、certificate.derファイル(次を参照)を指定することもできます。
  • 単一のDERエンコードされた証明書のあるcertificate.derファイル。
  • サフィックスが.derのすべてのファイルがロードされるcertsディレクトリ。これらのファイルは、ASN.1 DERエンコードされたCA証明書である必要があります。
• msgsvc.ssl.client.certificate - SSL対応JMSサーバがクライアントアプリケーションに証明書を提示するよう要求するかどうかを示すブールプロパティ。このプロパティは、msgsvc.ssl.enableプロパティがTRUEに設定されているときに評価されます。
• msgsvc.ssl.password - 公開鍵を復号化するときのパスワード。このプロパティは、公開鍵が暗号化される場合だけ指定する必要があります。このプロパティは、msgsvc.ssl.enableプロパティがTRUEに設定されているときに評価されます。また、privateKey.pkcs8ファイルからロードされる公開鍵を復号化するときにも使用されます。
• msgsvc.ssl.cipher.suites - サポートされているサイファスイートのリスト。 このリストの各名前は、ORB CipherSuiteインタフェースで定義されている文字列定数と一致している必要があります。例:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5、SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • CIPHER_SUITES_RSA_EXPORT_WITH_ALL
  • CIPHER_SUITES_CONFIDENTIALITY
• msgsvc.naming.enable - JMSのネームサービスの提供を無効にするブールプロパティ。このパラメータのデフォルト値は、trueです。 このプロパティがfalseに設定されている場合、JMSQサーバは管理オブジェクトおよび宛先をCOSネームサーバに提供しません。 JMSサーバのネームスペースはJNDI/CosNamingドライバを使用してアクセスされるため保護されません。 JMSサーバをSSLモードで実行している場合、クライアントがネームスペースにクリアテキスト形式でアクセスできないように、そのネームスペースを無効にすることができます。ネームサービスが無効にされている場合、管理オブジェクトおよび宛先(キューとトピック)は、JNDIを介してアクセスできません。 ただし、クライアントアプリケーションは、接続ファクトリのブートにはJMQConnectionFactoryオブジェクトを、また宛先オブジェクトのブートにはJMQQueueオブジェクトおよびJMQTopicオブジェクトを使用する必要があります。クリアテキスト形式のアクセスによりアプリケーションのセキュリティが損なわれる場合にだけ、ネームスペースを無効に設定します。

これらのプロパティは、JMSサーバプログラムjmqservで使用されるmsgsvc.propertiesファイルの一部です。

---

Copyright © 1998-2003, Novell, Inc.All rights reserved.