Určuje identifikátor URI (Uniform Resource Identifier) algoritmu metody šifrování klíče.
Podporovány jsou následující algoritmy:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
V případě spouštění s použitím sady SDK (IBM Software Development Kit) verze 1.4, není v seznamu podporovaných algoritmů
přenosu klíče tento algoritmus uveden. Tento algoritmus se objevuje v seznamu podporovaných algoritmů přenosu klíče v
případě spouštění se sadou JDK verze 1.5 nebo novější.
Algoritmus RSA-OAEP při výchozím nastavení používá algoritmus pro vytvoření kódu digest zprávy SHA1 a počítá kód
digest zprávy jako součást operace šifrování. Po určení vlastnosti algoritmus šifrování klíče můžete volitelně používat
algoritmus pro vytvoření kódu digest zprávy SHA256 nebo SHA512. Název vlastnosti: com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Hodnotou vlastnosti je jeden z následujících identifikátorů URI
metody autentizace typu digest:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Algoritmus RSA-OAEP používá při výchozím nastavení pro volitelný řetězec oktetů kódování pro vlastnost
OAEPParams prázdný řetězec. Explicitní řetězec oktetů kódování lze zadat prostřednictvím vlastnosti algoritmu šifrování
klíče. Jako název vlastnosti můžete zadat název
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams.
Hodnotou
vlastnosti je hodnota kódování Base 64 řetězce oktetů.
Důležité: Tyto vlastnosti metody autentizace typu digest a vlastnost OAEPParams můžete nastavit pouze na straně
generátoru. Na straně spotřebitele jsou tyto vlastnosti čteny z příchozí zprávy protokolu SOAP.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- http://www.w3.org/2001/04/xmlenc#kw-tripledes.
- http://www.w3.org/2001/04/xmlenc#kw-aes128.
- http://www.w3.org/2001/04/xmlenc#kw-aes192. Chcete-li používat 192bitový algoritmus šifrování klíčů, musíte stáhnout soubor neomezených zásad rozšíření JCE (Java Cryptography Extension).
Omezení: Chcete-li, aby konfigurovaná aplikace odpovídala sadě specifikací BSP (Basic
Security Profile), nepoužívejte algoritmus 192bitového šifrování klíčů.
- http://www.w3.org/2001/04/xmlenc#kw-aes256. Chcete-li používat 256bitový algoritmus šifrování klíčů, musíte stáhnout soubor neomezených zásad rozšíření JCE.
Poznámka: Pokud dojde k chybě InvalidKeyException a používáte šifrovací algoritmus 129xxx nebo 256xxx, je možné, že v konfiguraci nejsou k dispozici soubory neomezených zásad.
Rozšíření JCE (Java Cryptography Extension)
Ve výchozím stavu je rozšíření JCE (Java Cryptography Extension) dodáváno se šiframi s omezenou silou. Chcete-li používat 192bitové a 256bitové šifrovací algoritmy standardu AES (Advanced Encryption Standard), musíte použít soubory zásad s neomezenou pravomocí.
Poznámka: Před stažením těchto souborů zásad zálohujte existující soubory zásad
(local_policy.jar a US_export_policy.jar v adresáři
WAS_HOME/jre/lib/security/) dříve, než budou přepsány, pro případ, že byste později chtěli obnovit původní
soubory.
Platformy aplikačního serveru a vývojová sada IBM Developer Kit, Java Technology Edition verze 1.4.2
Chcete-li stáhnout soubory zásad, postupujte podle některé z následujících sad kroků:
Po provedení některé z uvedených sad kroků budou v adresáři
jre/lib/security/ prostředí JVM (Java Virtual Machine) umístěny dva soubory JAR (archivy prostředí Java).
Operační systém i5/OS a sada IBM Software Development Kit 1.4
U operačního systému i5/OS a sady IBM Software Development Kit verze 1.4 není vyladění zabezpečení webových služeb vyžadováno. Při instalaci potřebného softwaru jsou automaticky nastaveny soubory zásad s neomezenou jurisdikcí pro sadu IBM Software Development Kit verze 1.4.
U operačního systému i5/OS V5R3 a sady IBM Software Development Kit verze 1.4 jsou soubory zásad s neomezenou jurisdikcí pro sadu IBM Software Development Kit verze 1.4 automaticky nastaveny při instalaci produktu 5722AC3 – 128bitové verze poskytovatele Crypto Access Provider.
U operačního systému i5/OS V5R4 a sady IBMSoftware Development Kit verze 1.4 jsou soubory zásad s neomezenou jurisdikcí pro sadu IBM Java Development Kit verze 1.4 automaticky nastaveny při instalaci produktu 5722SS1 s volbou 3 – Extended Base Directory Support.
Operační systém i5/OS a sada IBM Software Development Kit 1.5
V případě platformy i5/OS (verze 5, vydání 3 i verze 5, vydání 4) a sady IBM Software Development Kit 1.5 jsou při výchozím nastavení konfigurovány soubory zásad rozšíření JCE s neomezenou pravomocí. Soubory zásad rozšíření JCE s neomezenou jurisdikcí lze stáhnout z následujícího webového serveru: Security information: IBM J2SE 5 SDKs
Chcete-li konfigurovat soubory zásad s neomezenou pravomocí pro operační systém i5/OS a sadu IBM Software Development Kit verze 1.5, postupujte takto:
- Vytvořte záložní kopie následujících souborů:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Stáhněte neomezené soubory zásad z webu IBM developer kit: Security information do adresáře /QIBM/ProdData/Java400/jdk15/lib/security.
- Přejděte na následující web: IBM developer kit: Security information
- Klepněte na položku J2SE 5.0.
- Posuňte stránku dolů a klepněte na položku IBM SDK Policy files (Soubory zásad sady SDK společnosti IBM). Zobrazí se web Unrestricted JCE Policy files for the SDK (Neomezené soubory zásad JCE pro sadu SDK).
- Klepněte na volbu Sign in (Přihlásit) a zadejte ID a heslo pro intranet společnosti IBM.
- Vyberte odpovídající neomezené soubory zásad JCE a klepněte na volbu Continue (Pokračovat).
- Přečtěte si licenční smlouvu a klepněte na volbu I Agree (Souhlasím).
- Klepněte na volbu Download Now (Stáhnout nyní).
- Pomocí příkazu DSPAUT ověřte, že jsou uživateli *PUBLIC udělena oprávnění pro data *RX a že není poskytováno žádné oprávnění pro objekty v žádném ze souborů local_policy.jar a US_export_policy.jar v adresáři /QIBM/ProdData/Java400/jdk15/lib/security.
Příklad:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- V případě potřeby změňte autorizaci pomocí příkazu CHGAUT. Příklad:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)