3.2.2. HTTPS の信頼された CA 証明書の指定

CA 証明書の形式

CA 証明書は Java キーストア形式で提供する必要があります。

Apache CXF 設定ファイルでの CA 証明書のデプロイメント

HTTPS トランスポート用に信頼されたルート CA を 1 つ以上デプロイするには、以下の手順を実行します。

  1. デプロイする信頼される CA 証明書のコレクションをアセンブルします。信頼できる CA 証明書は、パブリック CA またはプライベート CA から取得できます (独自の CA 証明書を生成する方法の詳細については、「独自の証明書の作成」 を参照してください。信頼できる CA 証明書は、Java keystore ユーティリティー (例: PEM 形式) と互換性のある任意の形式にすることができます。必要な証明書は、秘密鍵とパスワードだけでは必要ありません。
  2. PEM 形式の CA 証明書 cacert.pem が指定されている場合は、以下のコマンドを入力して証明書を JKS トラストストアに追加できます (または新規のトラストストアを作成します)。

    keytool -import -file cacert.pem -alias CAAlias -keystore truststore.jks -storepass StorePass

    CAAlias は便利なタグで、これにより、keytool ユーティリティーを使用して、この特定の CA 証明書にアクセスすることができます。ファイル truststore.jks は CA 証明書を含むキーストアファイルです。このファイルがまだ存在しない場合は、keytool ユーティリティーが作成します。StorePass パスワードは、キーストアファイル truststore.jks へのアクセスを提供します。

  3. 必要に応じて手順 2 を繰り返し、すべての CA 証明書をトラストストアファイル truststore.jks に追加します。
  4. 関連する XML 設定ファイルを編集して、トラストストアファイルの場所を指定します。関連する HTTPS ポートの設定に sec:trustManagers 要素を含める必要があります。

    たとえば、以下のようにクライアントポートを設定できます。

    <!-- Client port configuration -->
    <http:conduit id="{Namespace}PortName.http-conduit">
      <http:tlsClientParameters>
        ...
        <sec:trustManagers>
          <sec:keyStore type="JKS"
                        password="StorePass"
                        file="certs/truststore.jks"/>
        </sec:trustManagers>
        ...
      </http:tlsClientParameters>
    </http:conduit>

    ここで、type 属性は、トラストストアが JKS キーストア実装を使用し、StorePasstruststore.jks キーストアへのアクセスに必要なパスワードであることを指定します。

    以下のようにサーバーポートを設定します。

    <!-- Server port configuration -->
    <http:destination id="{Namespace}PortName.http-destination">
      <http:tlsServerParameters secureSocketProtocol="TLSv1">
        ...
        <sec:trustManagers>
          <sec:keyStore type="JKS"
                        password="StorePass"
                        file="certs/truststore.jks"/>
        </sec:trustManagers>
        ...
      </http:tlsServerParameters>
    </http:destination>
    重要

    Poodle 脆弱性 (CVE-2014-3566) から保護するために、サーバー側で secureSocketProtocol を TLSv1 に設定する必要があります。

    警告

    トラストストアを含むディレクトリー (例: X509Deploy/truststores/) は、安全なディレクトリー (管理者のみが書き込み可能) である必要があります。