Java プラットフォームのセキュリティーツールのサマリー
最終更新日: 2006 年 7 月 28 日ここでは、次のセキュリティーツールのサマリーを説明します。詳しいドキュメントへのリンクも示しています。keytool、jar、jarsigner、Policy Tool、kinit、klist、および ktab。Policy Tool はグラフィカルユーザーインタフェースを使用していますが、それ以外のツールはすべてコマンド行ツールです。
ツール
keytool (Solaris または Linux) (Windows)
keytool を使用して、キーストアを管理できます。たとえば、次の作業を行えます
- 公開鍵と非公開鍵のペアを作成する
- 証明書要求を発行する (適切な証明書発行局に送信する)
- 証明書応答をインポートする (要求を送信した証明書発行局から取得する)
- 別の組織に属する公開鍵の信頼性を明示する
- 2 つのキーストア間のエントリをコピーする
鍵と証明書は、アプリケーションとアプレットにデジタル署名を付けるときに使用します (下の jarsigner を参照)。キーストアとは、特定の企業用の鍵と証明書を保持する、保護されたデータベースです。キーストアへのアクセスは、パスワードによって保護されます。キーストアのパスワードは、キーストアの作成時に作成者が定義し、変更できるのは、パスワードが現在設定されている場合にだけです。また、キーストアに含まれる非公開鍵は、それぞれのパスワードによって保護できます。
jar (Solaris または Linux) (Windows)
JAR ファイルの作成には、jar ツールを使用します。
Java ARchive (JAR) ファイル形式を使用すると、複数のファイルを 1 つのアーカイブファイルに統合できます。JAR ファイルには、主に、アプレットおよびアプリケーションに関連したクラスファイルおよび補助リソースが含まれます。コードに「デジタル署名」する場合は、jar ツールを使用して JAR ファイルにコードを統合し、jarsigner ツールを使用して JAR ファイルに署名します (keytool を使用して適切な鍵をキーストアに生成またはインポートしたあとで行う)。
jarsigner (Solaris または Linux) (Windows)
JAR ファイルへの署名付けと、署名付き JAR ファイルの署名の検証には jarsigner ツールを使用します。
jarsigner ツールは、JAR ファイルに署名を付けるときに使用する非公開鍵、およびそれに関連する証明書チェーンを探す必要があるときは、keytool によって作成され管理されるキーストアにアクセスします。キーストアと非公開鍵へのアクセスはパスワードで保護されているので、非公開鍵のパスワードを知っている者だけが非公開鍵にアクセスでき、非公開鍵を使用して JAR ファイルに署名を付けることができます。パスワードが必要な場面では、jarsigner ツールはパスワードの入力を要求します。
Policy Tool (Solaris または Linux) (Windows)
インストールしたセキュリティーポリシーを定義する外部ポリシー構成ファイルの作成と修正には、Policy Tool (policytool コマンドを使用して起動) を使用します。
ポリシーについては、「Java セキュリティーアーキテクチャー」で説明しています。「デフォルトの Policy の実装とポリシーファイルの構文」では、さらに詳しく説明しています。
このツールはグラフィカルユーザーインタフェースを備えているため、ほかのツールのようにコマンドを入力することなくボタンやその他のオプションを選択できます。詳細は、「Policy Tool ユーザーズガイド」を参照してください。
kinit (Windows)
kinit は、Kerberos チケット認可チケット (Ticket Granting Ticket、TGT) の取得とキャッシュに使用されます。このツールは、SEAM および MIT リファレンス実装などのほかの Kerberos 実装に共通して使用されている kinit ツールと同様の機能があります。
kinit を実行する前に、Key Distribution Center (KDC) を使用してユーザーを主体として登録する必要があります。
Solaris - Solaris ユーザーは、Solaris オペレーティング環境に含まれる kinit ツールを使用して、同等の機能を利用できます。
Linux - Linux ユーザーは、Kerberos 5 インストールの kinit ツールを使用して、同等の機能を利用できます。
klist (Windows)
klist はコマンド行ツールで、ローカルの資格キャッシュおよびキーテーブル内のエントリを表示できます。
Solaris - Solaris ユーザーは、Solaris オペレーティング環境に含まれる klist ツールを使用して、同等の機能を利用できます。
Linux - Linux ユーザーは、Kerberos 5 インストールの klist ツールを使用して、同等の機能を利用できます。
ktab (Windows)
ktab はコマンド行ツールで、ローカルキーテーブルに保存されたプリンシパル名およびサービスキーを管理できます。キータブに一覧表示された主体と鍵のペアを使用することにより、ホスト上で実行しているサービスを、Key Distribution Center (KDC) に認証させることができます。Kerberos を使用できるようにサーバーを設定するには、サーバーを実行しているホスト上でキータブを設定する必要があります。ktab を使用したキータブの更新は、Kerberos データベースに影響しません。キータブ内の鍵を変更した場合、Kerberos データベースにも同様の変更を加えなければなりません。コマンド行オプションは、大文字と小文字を区別しないことにも注意してください。
Solaris - Solaris ユーザーは、Solaris オペレーティング環境に含まれる ktutil ツールまたは kadmin ツールを使用して、同等の機能を利用できます。
Linux - Linux ユーザーは、Kerberos 5 インストールの ktutil ツールまたは kadmin ツールを使用して、同等の機能を利用できます。