本文へジャンプ

Tivoli セキュリティー製品におけるIBM JCE証明書期限切れの問題と対応方法 (Tivoli-06-024)

作成日: 2006年5月16日
更新日: 2006年7月6日

概要

IBMの実装であるIBMJCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分(日本標準時)に設定されているため有効期限切れの問題が発生します。影響を受ける可能性があるTivoliのセキュリティー製品とその対応方法を解説します。


内容/目次

更新ログ
(2006/07/06 14:38) ibmjcaprovider.jarファイルがJavaディレクトリの下の/lib/ext以下にある場合に問題が発生する事象が報告されているため、ibmjcaprovier.jarファイルを削除もしくは他のディレクトリに移動する旨注意事項を追加。

【概要】
IBMの実装であるIBM JCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分(日本標準時)に設定されているため、有効期限切れの問題が発生します。
Tivoliのセキュリティー製品のうち以下の製品はJavaによる証明書および暗号化の処理を行う実装になっているため、IBM JCEの証明書有効期限切れの影響を受ける可能性があります。

※Tivoli Automation製品の状況についてはテクニカル・フラッシュ"IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響について (Tivoli-05-064)"を参照して下さい。

問題が発生する可能性がある製品リスト
・Tivoli Access Manager for e-business V3.9, V4.1, V5.1
・Tivoli Access Manager for Operating System V4.1, V5.1
・Tivoli Identity Manager V4.4, V4.5, V4.5.1
・IBM Tivoli Directory Integrator V5.1, V5.2
・SecureWay Directory Server V3.2.1, V3.2.2
・IBM Directory Server V4.1
・IBM Tivoli Directory Server V5.1,V5.2

【詳細説明】
2006年5月19日にIBM JCE 1.2.1のパッケージの署名に使われている証明書の有効期限が切れます。
有効期限が切れるとJCEの一部の機能が実行出来なくなります。通信の暗号化が失敗したり、画面が呼び出せなくなったりするという事象が発生します。

製品別の問題と対応方法

Tivoli Access Manager for e-business(TAM) V3.9
Java API(AdminAPI,aznAPI)を使用しているお客様作成プログラムおよびWPM(Web Portal Manager)が影響を受けます。
 また、同梱されているLDAPサーバー SecureWay Directory Server V3.2.2でSSL接続をしている場合、DMT(Directory Management Tool)が影響を受けます。
 
 これらの機能を使用されている場合には対応が必要になります。

 - WPMを使用している場合
   TAM V3.9のWPMはWAS V4.0.2を同梱して使用するようになっています。
   WASのFixであるWAS_Security_01-29-2004_4.0.7-4.0.6-4.0.5-4.0.4-4.0.3-4.0.2-4.0.1_JCE_cumulative fixを適用することで、問題が修正可能です。
   このFixは以下のURLから入手出来ます。
   http://www.ibm.com/support/docview.wss?uid=swg24010094

 - Java APIを使用している場合
   TAM V3.9ではIBM JRE V1.3.1を同梱しています。
   IBM JRE V1.3.1に関しては当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルを、該当 JREの同じディレクトリ下にコピー(ファイルの上書き)することで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

 - SecureWay Directory Server V3.2.2のDMTについて
   DMTでLDAPサーバーにSSL接続している場合のみに問題が発生します。
   SSLを使用している場合には、Directory Serverの導入ディレクトリ以下のjavaディレクトリの下にあるファイルを、当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。   
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加  
 
Tivoli Access Manager for e-business(TAM) V4.1
Java API(AdminAPI,aznAPI)を使用しているお客様プログラムおよびWPM(Web Portal Manager)が影響を受けます。
 また同梱されているLDAPサーバーIBM Directory Server V4.1でSSL接続をしている場合、DMT(Directory Management Tool)が影響を受けます。
 これらの機能を使用している場合には対応が必要になります。

 - WPMを使用している場合
   TAM V4.1のWPMはWAS V4.0.3を同梱していて使用するようになっています。
   WASのFixであるWAS_Security_01-29-2004_4.0.7-4.0.6-4.0.5-4.0.4-4.0.3-4.0.2-4.0.1_JCE_cumulative fixを適用することで、問題が修正可能です。
   このFixは以下のURLから入手出来ます。
   http://www.ibm.com/support/docview.wss?uid=swg24010094

 - Java APIを使用している場合
   TAM V4.1ではIBM JRE V1.3.1を同梱しています。
   IBM JRE V1.3.1に関しては当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルを、該当 JREの同じディレクトリ下にコピー(ファイルの上書き)することで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。)
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

 - SecureWay Directory Server V4.1のDMTについて
   DMTでLDAPサーバーにSSL接続している場合のみに問題が発生します。
   SSLを使用している場合には、Directory Serverの導入ディレクトリ以下のjavaディレクトリの下にあるファイルを、当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。)
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

Tivoli Access Manager for e-business(TAM) V5.1
Java API(AdminAPI,aznAPI)を使用しているお客様プログラムおよびWPM(Web Portal Manager)が影響を受けます。
 また同梱されているLDAPサーバーTivoli Directory Server V5.2でWeb管理コンソールを使用している場合、Web管理コンソールでSSL接続をしたりWebSphere上でGlobal Securityの機能をonにしたりすると問題が発生する可能性があります。
 <<< 2006/05/16追加 >>>
 TAMに同梱されていて証明書の操作に使用するGSKitはJavaを使用するようになっています。
 GSKitのiKeymanやコマンドラインで証明書を操作する際に問題が発生する可能性があります。
 <<< 2006/05/16追加終了 >>>
 以上の機能を使用している場合には以下の対応を行って下さい。

 - WPMを使用している場合
   TAM V5.1のWPMはWAS V5.0.2を同梱していて使用するようになっています。
   WPMはWASのリリースを上げると動作しない仕様になっていますので、WASのリリースを上げないようにご注意下さい。
   JCEの問題に対してはWASが使用するJDKのみを修正するFixが提供されていますのでご利用下さい。
   WASのJDKをJDK131SR8以降にするFixは以下からダウンロードすることが可能です。
   http://www.ibm.com/support/docview.wss?uid=swg24007622   

 - Java APIを使用している場合
   TAM V5.1ではIBM JRE V1.3.1を同梱しています。
   IBM JRE V1.3.1に関しては当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルを、該当 JREの同じディレクトリ下にコピー(ファイルの上書き)することで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

 - Tivoli Directory Server V5.2のWeb管理コンソールについて
   Tivoli Directory Server V5.2はWeb管理コンソール用にWAS V5.0.2 Expressを同梱しています。
Web管理コンソールよりLDAPサーバーにSSL接続をしたり、Web管理コンソールが動作するWASに対してSSLでアクセスしたり、WASのGlobal Security機能を使用していると問題が発生する可能性があります。
Directory Serverに添付されているWAS Express V5.0を使用している場合には以下のTechNoteを参照の上対応を実施して下さい。
   http://www.ibm.com/jp/domino01/mkt/websphere.nsf/doc/001982FA
   上記のTechNoteに記載されている対応を実施したあと、通常のWASと同様に以下のFixを適用して下さい。
http://www-1.ibm.com/support/docview.wss?uid=swg24012319 <- 2006/05/18 WASの適用Fixが修正されたのでURLを変更   

  <<< 2006/05/16追加 >>>
 - GSKit V7について
   GSKit自体にはJVMは内蔵されていませんので、Winows,UNIXのいずれの場合もPATH環境変数で参照されるパスにあるJVMが使用されます。
   参照されるJVM,JREの導入ディレクトリの下の\lib\ext(UNIXの場合には/lib/ext)の下にあるjarファイルを、本文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加
  <<< 2006/05/16追加終了 >>>

Tivoli Access Manager for Operating System(AMOS) V4.1
 WPM(Web Portal Manager)を使用している場合に影響を受けます。
 また同梱されているLDAPサーバーIBM Directory Server V4.1でSSL接続をしている場合、DMT(Directory Management Tool)が影響を受けます。
 これらの機能を使用している場合には対応が必要になります。

 - WPMを使用している場合
   TAM V4.1のWPMはWAS V4.0.3を同梱していて使用するようになっています。
   WASのFixであるWAS_Security_01-29-2004_4.0.7-4.0.6-4.0.5-4.0.4-4.0.3-4.0.2-4.0.1_JCE_cumulative fixを適用することで、問題が修正可能です。
   このFixは以下のURLから入手出来ます。
   http://www.ibm.com/support/docview.wss?uid=swg24010094

 - SecureWay Directory Server V4.1のDMTについて
   DMTでLDAPサーバーにSSL接続している場合のみに問題が発生します。
   SSLを使用している場合には、Directory Serverの導入ディレクトリ以下のjavaディレクトリの下にあるファイルを、当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。) 
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加 

Tivoli Access Manager for Operating System(AMOS) V5.1
 WPM(Web Portal Manager)を使用している場合に影響を受けます。
 また同梱されているLDAPサーバーTivoli Directory Server V5.2でWeb管理コンソールを使用している場合、Web管理コンソールでSSL接続をしたりWebSphere上でGlobal Securityの機能をonにしたりすると問題が発生する可能性があります。
 <<< 2006/05/16追加 >>>
 AMOSに同梱されていて証明書の操作に使用するGSKitはJavaを使用するようになっています。
 GSKitのiKeymanやコマンドラインで証明書を操作する際に問題が発生する可能性があります。
 <<< 2006/05/16追加終了 >>>
以上の機能を使用している場合には以下の対応を行って下さい。

 - WPMを使用している場合
   TAM V5.1のWPMはWAS V5.0.2を同梱していて使用するようになっています。
   WPMはWASのリリースを上げると動作しない仕様になっていますので、WASのリリースを上げないようにご注意下さい。
   JCEの問題に対してはWASが使用するJDKのみを修正するFixが提供されていますのでご利用下さい。
   WASのJDKをJDK131SR8以降にするFixは以下からダウンロードすることが可能です。
   http://www.ibm.com/support/docview.wss?uid=swg24007622   

 - Tivoli Directory Server V5.2のWeb管理コンソールについて
   Tivoli Directory Server V5.2はWeb管理コンソール用にWAS V5.0.2 Expressを同梱しています。
Web管理コンソールよりLDAPサーバーにSSL接続をしたり、Web管理コンソールが動作するWASに対してSSLでアクセスしたり、WASのGlobal Security機能を使用していると問題が発生する可能性があります。
Directory Serverに添付されているWAS Express V5.0.2を使用している場合には、以下のTechNoteを参照の上対応を実施して下さい。
   http://www.ibm.com/jp/domino01/mkt/websphere.nsf/doc/001982FA
   上記のTechNoteに記載されている対応を実施したあと、通常のWASと同様に以下のFixを適用して下さい。
   http://www-1.ibm.com/support/docview.wss?uid=swg24012319 <- 2006/05/18 WASの適用Fixが修正されたのでURLを変更   

<<< 2006/05/16追加 >>>
 ・GSKit V7について
   GSKit自体にはJVMは内蔵されていませんので、Winows,UNIXのいずれの場合もPATH環境変数で参照されるパスにあるJVMが使用されます。
   参照されるJVM,JREの導入ディレクトリの下の\lib\ext(UNIXの場合には/lib/ext)の下にあるjarファイルを本文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
   ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
     また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加
  <<< 2006/05/16追加終了 >>>

Tivoli Identity Manager(TIM) V4.4
 TIM自体はJCEを使用していませんが、TIM V4.4はWAS Advance Edition V4.0.4を同梱して使用します。
 このWASの上でSSLをOnにしたりGlobal Security機能をOnにしている場合には問題が発生する可能性があります。
 SSLやGlobal Securityを使用している場合には、WAS_Security_01-29-2004_4.0.7-4.0.6-4.0.5-4.0.4-4.0.3-4.0.2-4.0.1_JCE_cumulative fixを、以下からダウンロードして適用して下さい。
 http://www.ibm.com/support/docview.wss?uid=swg24010094

 <<< 2005/05/16追加 >>>
 TIM V4.4にはIBM Directory Server(IDS) V4.1が同梱されています。
 IDS V4.1でDMTを使用してLDAPサーバーにSSL接続する際に問題が発生する可能性があります。
 SSLを使用している場合には、Directory Serverの導入ディレクトリ以下のjavaディレクトリの下にあるファイルを、当文書に添付してあるibmjceprovider.zipファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。 
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加 
 <<< 2005/05/16追加終了 >>>

Tivoli Identity Manager V4.5, V4.5.1
 TIM自体はJCEを使用していませんが、TIM V4.5, V4.5.1はWAS V5.0.2を同梱して使用します。
 このWASの上でSSLをOnにしたりGlobal Security機能をOnにしている場合には、問題が発生する可能性があります。
 これらの機能を使用している場合には、以下のFixをダウンロードしてWASに適用することで問題を修正可能です。
 http://www-1.ibm.com/support/docview.wss?uid=swg24012319 <- 2006/05/18 WASの適用Fixが修正されたのでURLを変更
 
またTIMのエージェントとしてIBM Directory Integrator(IDI) V5.1.2を使用していて、かつTDIでSSLを使用する構成をしている場合には、問題が発生する可能性があります。
 IDIでSSLを使用している場合には、IDIの導入ディレクトリの下の\_jvm\lib\ext (UNIXの場合は\を/に読み替えて下さい)ディレクトリの下のファイルを、当文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えて下さい。
 (※必ず上書きするファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。)

 <<< 2005/05/16追加 >>>
 TIMにはLDAPサーバーとしてIBM Tivoli Directory Server(ITDS)が同梱されていて使用します。TIM V4.5, V4.5.1では、環境によりITDS V5.1を使用しているケースとITDS V5.2を使用しているケースがあります。
 ITDS V5.1にはGSKit V6、ITDS V5.2にはGSKit V7が同梱されていて証明書の管理に使用されます。
 GSKit V6, GSKit V7ではJava V1.3.1を使用するようになっているので、iKeymanやコマンドラインで証明書を操作するときに問題が発生する可能性があります。
 GSKitでは、PATH環境変数で指定されているパスにあるJVMを使用します。PATH環境変数の設定を確認して、呼び出されているJVMを確認して、JVMの導入ディレクトリの下の\lib\ext(UNIXでは/lib/ext)の下のjarファイルを当文書に添付してある ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加
 <<< 2005/05/16追加終了 >>>

IBM Directory Integrator(IDI) V5.1.x
IDIでコネクタなどの接続にSSLを使用している場合に、問題が発生する可能性があります。
 IDIでSSLを使用している場合には、IDIの導入ディレクトリの下の\_jvm\lib\ext (UNIXの場合は\を/に読み替えて下さい)ディレクトリの下のファイルを、当文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えて下さい。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

 また、パスワードをレジストリから取得するプラグインの中にJVM V1.3.1が使用されています。
 プラグインとプラグインの宛先のLDAPサーバーとの間をSSLで保護している場合には、問題が発生する可能性があります。
 
プラグインでSSLを使用している場合には、プラグインの導入ディレクトリの下の\_jvm\lib\ext (UNIXの場合は\を/に読み替えて下さい)ディレクトリの下のファイルを、当文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えて下さい。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

IBM Directory Integrator(IDI) V5.2
IDI本体のJVMがV1.4.1のため本体では問題が発生しませんが、パスワードをレジストリから取得するプラグインの中にJVM V1.3.1が使用されています。
 プラグインとプラグインの宛先のLDAPサーバーとの間をSSLで保護している場合には、問題が発生する可能性があります。
 
SSLを使用している場合には、プラグインの導入ディレクトリの下の\_jvm\lib\ext (UNIXの場合は\を/に読み替えて下さい)ディレクトリの下のファイルを、当文書に添付している ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えて下さい。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加

SecureWay Directory Server V3.2.1, V3.2.2,IBM Directory Server V4.1
 DMTでLDAPサーバーとの間をSSLで接続する設定をしている場合に、問題が発生する可能性があります。
 SSLを使用している場合には、Directory Serverの導入ディレクトリ以下のjavaディレクトリの下にあるファイルを、当文書に添付してある ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
 (※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。)

IBM Tivoli Directory Server(ITDS) V5.1, V5.2
ITDS V5.1にはWAS V5.0 Expressが、ITDS V5.2にはWAS V5.0.2 ExpressがWeb管理コンソール用に同梱されています。
 LDAPサーバーと管理コンソールの間でSSL通信を使用したり、管理コンソールにブラウザからSSLでアクセスする設定をしたり、WASのGlobal Security機能をOnにしている場合に問題が発生する可能性があります。
 Directory Serverに添付されているWAS Express V5.0を使用している場合には以下のTechNoteを参照の上対応を実施して下さい。
 http://www.ibm.com/jp/domino01/mkt/websphere.nsf/doc/001982FA
 上記のTechNoteに記載されている対応を実施したあと、通常のWASと同様に以下のFixを適用して下さい。
 http://www-1.ibm.com/support/docview.wss?uid=swg24012319 <- 2006/05/18 WASの適用Fixが修正されたのでURLを変更

<<< 2005/05/16追加 >>>
 ITDS V5.1にはGSKit V6,ITDS V5.2にはGSKit V7が同梱されていて、証明書の管理に使用されます。
 GSKit V6, GSKit V7ではJava V1.3.1を使用するようになっているので、iKeymanやコマンドラインで証明書を操作するときに問題が発生する可能性があります。
 GSKitでは、PATH環境変数で指定されているパスにあるJVMを使用します。PATH環境変数の設定を確認して、呼び出されているJVMを確認して、JVMの導入ディレクトリの下の\lib\ext(UNIXでは/lib/ext)の下のjarファイルを当文書に添付してある ibmjceprovider.zip ファイルの中の\jre\lib\ext以下のファイルで置き換えることで問題が修正されます。
 ※必ず上書きされるファイルを別ディレクトリに退避して、問題が発生したときに元に戻せるようにして下さい。
   また、\jre\lib\ext\配下にibmjcaprovider.jarというファイルが存在している場合には、削除するか他のディレクトリに移動して下さい。<-2006/07/06 追加
 <<< 2005/05/16追加終了 >>>

【添付ファイル】
IBM JCEの問題に対する修正モジュール
(当モジュールは当文書の中で明示的に適用するガイドがある場合のみに使用して下さい。)
ibmjceprovider.zip
添付資料


文書情報
有効期限: 2009年5月16日
資料番号: Tivoli-06-024
本コーナーは、お客様の問題解決のためのヒントとしてご利用ください。 本コーナーの記載内容は、お客様固有の問題に対し、適切であるかどうか、また、正確であるかどうかは十分検証されていません。 結果について、いかなる保証も責任も負いかねますので、あらかじめご了承ください。