アプリがすでに使用しているものと同じキーストアと証明書をAMSに使用できますか?
1 に答える
2
必要に応じて、個別の証明書やキーストアを使用することもできますが、オプションもあります。keystore.confファイルには、キーストアの詳細と、AMSがメッセージの暗号化と署名に使用する証明書のラベルが含まれています。これは、WebSphere MQへの接続を確立するためにアプリケーションが使用するのと同じ証明書、アプリ・サーバーがSSL接続に使用するのと同じ証明書、またはAMS専用の完全に別個の鍵ストアを指すことができます。
重要なのは(駄洒落を許して)、必要なセキュリティモデルに基づいてキーストアを管理することです。アプリサーバーのキーストアのトラストストアには、おそらく外部向けの証明書がいくつかあります。たとえば、複数の商用認証局を信頼する場合があります。AMSキーストアには、アプリが消費するメッセージに署名または暗号化する人、またはアプリから暗号化されたメッセージを受信する人の証明書が含まれている必要があります。これらは通常内部向けであるため、外部向けのエンティティに使用されるものとは別のキーストアをAMSに使用する価値がある場合があります。そうしないと、2つの異なるセキュリティモデル(内部向けと外部向け)がお互いの参加者を信頼することになります。
これはほんの一例であり、一般的には、必要な特定のセキュリティモデルに基づいて、最小信頼の原則を使用してキーストアを構築するという考え方です。個別のキーストアを維持するためのコストと、個々のキーストアを維持するための追加のセキュリティとのバランスをとる必要があります。
于 2010-11-24T20:38:56.967 に答える