Параметры конфигурации информации о шифровании: части сообщения

Имя информации о шифровании

Имя информации о шифровании.

Тип данных

Строка

Алгоритм шифрования данных

Задает URI метода шифрования данных.

Поддерживаются следующие алгоритмы:

• http://www.w3.org/2001/04/xmlenc#tripledes-cbc
• http://www.w3.org/2001/04/xmlenc#aes128-cbc
• http://www.w3.org/2001/04/xmlenc#aes256-cbc. Для использования этого алгоритма необходимо загрузить файл неограниченной стратегии Java Cryptography Extension (JCE) со следующего Web-сайта: http://www.ibm.com/developerworks/java/jdk/security/index.html. Дополнительная информация приведена в разделе Параметры конфигурации информации о шифровании: методы.
• http://www.w3.org/2001/04/xmlenc#aes192-cbc. Для применения этого алгоритма следует загрузить файл неограниченной стратегии JCE со следующего Web-сайта: http://www.ibm.com/developerworks/java/jdk/security/index.html. Дополнительная информация приведена в справочном разделе Параметры конфигурации информации шифрования: методы.
  Ограничение: Для обеспечения совместимости настроенного приложения с базовым профайлом защиты не следует использовать 192-разрядный алгоритм шифрования.

По умолчанию Java Cryptography Extension (JCE) поставляется вместе с ограниченными или неполными шифрами. Для активации 192- и 256-разрядных алгоритмов шифрования AES необходимо применить файлы неограниченной стратегии. Дополнительная информация приведена в описании поля Алгоритм шифрования ключа.

Ссылка на агент поиска ключа

Имя конфигурации агента поиска ключа, с помощью которого извлекается ключ для добавления цифровых подписей и шифрования XML.

Поле Ссылка на агент поиска ключа доступно в привязках получателей запросов и ответов приложений версии 5.x.

Эти опции ссылки на агент ключа можно настроить на уровне кластера, сервера и приложения. Конфигурации, перечисленные в этом поле, являются сочетанием конфигураций этих трех уровней.

Эти опции ссылки на агент ключа можно настроить на уровне сервера и приложения. Конфигурации, перечисленные в этом поле, являются сочетанием конфигураций этих двух уровней.

Конфигурацию ключа шифрования можно задать для приведенных ниже привязок на следующих уровнях:

Имя привязки	Уровень сервера, уровень ячейки или уровень приложения	Путь
Привязка генератора по умолчанию	Уровень кластера	Выберите Защита > Среда выполнения защиты JAX-WS и JAX-RPC. В разделе Дополнительные свойства щелкните на Агенты поиска ключей.
Привязки приемника по умолчанию	Уровень кластера	Выберите Защита > Среда выполнения защиты JAX-WS и JAX-RPC. В разделе Дополнительные свойства щелкните на Агенты поиска ключей.
Привязка генератора по умолчанию	Уровень сервера	Выберите Серверы > Типы серверов > Серверы приложений WebSphere > имя_сервера. В разделе Защита выберите Среда выполнения защиты JAX-WS и JAX-RPC. Среда с разными версиями: В кластере со смешанными узлами с сервером, использующими Websphere Application Server версии 6.1 или более ранней версии, выберите Web-службы: стандартные привязки для защиты Web-служб. mixv В разделе Дополнительные свойства щелкните на Агенты поиска ключей.
Привязка приемника по умолчанию	Уровень сервера	Выберите Серверы > Типы серверов > Серверы приложений WebSphere > имя_сервера. В разделе Защита выберите Среда выполнения защиты JAX-WS и JAX-RPC. Среда с разными версиями: В кластере со смешанными узлами с сервером, использующими Websphere Application Server версии 6.1 или более ранней версии, выберите Web-службы: стандартные привязки для защиты Web-служб. mixv В разделе Дополнительные свойства щелкните на Агенты поиска ключей.
Отправитель запросов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения WebSphere > имя_приложения. В разделе Модули выберите Управление модулями > имя-URI. Выберите Web-службы: привязки защиты клиента. В разделе Привязка отправителя запросов выберите Изменить. В разделе Дополнительные свойства выберите Агенты поиска ключей.
Получатель запросов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения WebSphere > имя_приложения. В разделе Модули выберите Управление модулями > имя-URI. Выберите Web-службы: привязки защиты сервера . В разделе Привязка получателя запросов выберите Изменить. В разделе Дополнительные свойства выберите Агенты поиска ключей.
Отправитель ответов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения WebSphere > имя_приложения. В разделе Модули выберите Управление модулями > имя-URI. Выберите Web-службы: привязки защиты сервера . В разделе Привязка отправителя ответов выберите Изменить. В разделе Дополнительные свойства выберите Агенты поиска ключей.
Получатель ответов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения WebSphere > имя_приложения. В разделе Модули выберите Управление модулями > имя-URI. Выберите Web-службы: привязки защиты клиента. В разделе Привязка получателя ответов выберите Изменить. В разделе Дополнительные свойства выберите Агенты поиска ключей.

Алгоритм шифрования ключа

Задает URI метода шифрования ключа.

В сервере приложений предусмотрены следующие алгоритмы:

• http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

  Этот алгоритм не поддерживается при работе с Комплектом для разработки приложений (SDK) версии 1.4. Он доступен в списке поддерживаемых алгоритмов при наличии Комплекта для разработки приложений (SDK) версии 1.5 или более поздней версии.

  По умолчанию алгоритм RSA-OAEP использует алгоритм хэширования сообщений SHA1 для вычисления описателя сообщения в ходе операции шифрования. При необходимости можно выбрать алгоритм хэширования сообщений SHA256 или SHA512, указав свойство алгоритма шифрования ключа. Имя свойства: com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. В качестве значения этого свойства укажите один из следующих URI метода хэширования:

  • http://www.w3.org/2001/04/xmlenc#sha256
  • http://www.w3.org/2001/04/xmlenc#sha512
  По умолчанию в необязательном октете кодировки OAEPParams алгоритма RSA-OAEP указана нулевая строка. При необходимости в октете кодировки можно указать конкретное значение, задав свойство алгоритма шифрования ключа. Имя свойства: com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. В качества значения этого свойства указывается значение строки октета, закодированное с помощью 64-разрядного шифра.

  Важное замечание: Рассмотренные свойства метода хэширования и OAEPParams можно задать только на стороне генератора. На стороне клиента эти свойства читаются из входящего сообщения SOAP.
• http://www.w3.org/2001/04/xmlenc#rsa-1_5
• http://www.w3.org/2001/04/xmlenc#kw-tripledes
• http://www.w3.org/2001/04/xmlenc#kw-aes128
• http://www.w3.org/2001/04/xmlenc#kw-aes192
  Ограничение: Для обеспечения совместимости настроенного приложения с базовым профайлом защиты не следует использовать 192-разрядный алгоритм шифрования.
• http://www.w3.org/2001/04/xmlenc#kw-aes256

Платформы сервера приложений и IBM Developer Kit, Java Technology Edition версии 1.4.2

По умолчанию Java Cryptography Extension (JCE) поставляется вместе с ограниченными или неполными шифрами. Для активации 192- и 256-разрядных алгоритмов шифрования AES необходимо применить файлы неограниченной стратегии. Перед загрузкой этих файлов стратегии создайте резервную копию существующих файлов (local_policy.jar и US_export_policy.jar из каталога WAS_HOME/jre/lib/security/), чтобы впоследствии иметь возможность восстановить их. Ниже приведены инструкции по загрузке файлов стратегии для различных платформ.

• Платформы сервера приложений, применяющие IBM Developer Kit, Java Technology Edition версии 1.4.2, в том числе AIX, Linux и платформы Windows — для загрузки файлов неограниченной стратегии выполните следующие действия:
  1. Откройте следующий Web-сайт: Средства разработчика IBM: Информация о защите
  2. Выберите Java 1.4.2
  3. Выберите Файлы стратегий IBM SDK.

     Откроется Web-страница Unrestricted JCE Policy files for SDK 1.4.

  4. Введите имя пользователя и пароль или зарегистрируйтесь в IBM для загрузки файлов стратегии. Файлы стратегии будут загружены в локальную систему.
• Платформы сервера приложений, применяющие Java SE Development Kit 6 (JDK 6) версии 1.4.2 на основе Sun, в том числе среды Solaris и платформа HP-UX: Для загрузки файлов неограниченной стратегии выполните следующие действия:
  1. Откройте следующий Web-сайт: Download , v 1.4.2 (Java EE)
  2. Выберите Archive area.
  3. Найдите запись Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 и нажмите кнопку Download (загрузить). Файлы стратегии будут загружены в локальную систему.

После выполнения указанных инструкций в каталог виртуальной машины Java jre/lib/security/ будут добавлены два архивных файла Java (JAR).

Платформа сервера приложений и IBM Developer Kit, Java Technology Edition версии 5

По умолчанию Java Cryptography Extension (JCE) поставляется вместе с ограниченными или неполными шифрами. Для активации 192- и 256-разрядных алгоритмов шифрования AES необходимо применить файлы неограниченной стратегии. Перед загрузкой этих файлов стратегии создайте резервную копию существующих файлов (local_policy.jar и US_export_policy.jar из каталога WAS_HOME/jre/lib/security/), чтобы впоследствии иметь возможность их восстановить. Ниже приведены инструкции по загрузке файлов стратегии для различных платформ.

• Для платформ сервера приложений, применяющих IBM Developer Kit, Java Technology Edition версии 5, можно загрузить файлы неограниченной стратегии, выполнив следующие действия:
  1. Откройте следующий Web-сайт: Средства разработчика IBM: Информация о защите
  2. Выберите Java 5
  3. Выберите Файлы стратегий IBM SDK.

     Откроется Web-страница Unrestricted JCE Policy files for SDK 5.

  4. Введите имя пользователя и пароль или зарегистрируйтесь в IBM для загрузки файлов стратегии. Файлы стратегии будут загружены в локальную систему.

После выполнения указанных инструкций в каталог виртуальной машины Java jre/lib/security/ будут добавлены два архивных файла Java (JAR).

IBM Software Development Kit версии 1.4:

Для i5/OS и IBM Software Development Kit версии 1.4 настраивать защиту Web-служб не требуется. Файлы неограниченной стратегии для IBM Software Development Kit версии 1.4 автоматически настраиваются при установке необходимого базового программного обеспечения.

• Для i5/OS V5R3 и IBM Software Development Kit версии 1.4 — установите продукт 5722AC3, Crypto Access Provider 128-разрядный.
• Для i5/OS V5R4 и IBM Software Development Kit версии 1.4 — установите продукт 5722SS1 Option 3, Extended Base Directory Support.

IBM Software Development Kit (Комплект для разработки приложений) версии 1.5:

Для i5/OS (V5R3 и V5R4) и IBM Software Development Kit 1.5 файлы неограниченной стратегии JCE настроены по умолчанию. Файлы стратегий без ограничений JCE можно загрузить со следующего Web-сайта: Средства разработчика IBM: Информация о защите, версия 5

Прим.: Если в вашем профайле в качестве включенной виртуальной машины Java (JVM) выступает Java Platform, Standard Edition 6 (Java SE 6) 32-разрядная для i5/OS, то в следующих шагах инструкции замените имя пути /QIBM/ProdData/Java400/jdk15 на /QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre.

Для того чтобы настроить файлы неограниченной стратегии для операционной системы i5/OS и для комплекта для разработки приложений IBM Software Development Kit версии 1.5, необходимо выполнить следующие действия:

1. Сделайте резервные копии следующих файлов:

   /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
   /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar

2. Загрузите файлы неограниченной стратегии с Web-сайта Средства разработчика IBM: Информация о защите в каталог /QIBM/ProdData/Java400/jdk15/lib/security.
   1. Откройте следующий Web-сайт: http://www.ibm.com/developerworks/java/jdk/security/index.html
   2. Выберите J2SE 5.0.
   3. Прокрутите страницу и выберите Файлы стратегий IBM SDK. Откроется Web-сайт Файлы стратегий JCE без ограничений для SDK.
   4. Выберите Sign in (вход) и введите свой ИД и пароль для входа во внутреннюю сеть IBM.
   5. Выберите необходимые файлы стратегий JCE без ограничений и нажмите Продолжить.
   6. Просмотрите лицензионное соглашение и нажмите Принимаю.
   7. Выберите Загрузить немедленно.
3. С помощью команды DSPAUT убедитесь, что *PUBLIC предоставлены права доступа к данным *RX, также убедитесь, что ни один объект прав доступа не предоставлен и файлу local_policy.jar, и файлу US_export_policy.jar в каталоге /QIBM/ProdData/Java400/jdk15/lib/security. Пример:

   DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 

4. При необходимости используйте команду CHGAUT для изменения прав доступа. Пример:

   CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
   USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)

Пользовательские алгоритмы на уровне кластера

Для того чтобы указать пользовательские алгоритмы на уровне кластера, выполните следующие действия:

1. Выберите Защита > Среда выполнения защиты JAX-WS и JAX-RPC.
2. В разделе Дополнительные свойства выберите Преобразования алгоритмов.
3. Выберите Создать для создания нового преобразования алгоритмов или щелкните на имени существующей конфигурации, параметры которой требуется изменить.
4. В разделе Дополнительные свойства выберите URI алгоритма.
5. Выберите Создать для создания нового URI алгоритма. Для того чтобы конфигурация была показана в поле Алгоритм шифрования ключа панели параметров конфигурации информации о шифровании, в поле Тип алгоритма должно быть указано значение Шифрование ключа.

Пользовательские алгоритмы на уровне сервера

Для того чтобы указать пользовательские алгоритмы на уровне сервера, выполните следующие действия:

1. Выберите Серверы > Типы Серверов > Серверы приложений WebSphere > имя-сервера.
2. В разделе Защита выберите Среда выполнения защиты JAX-WS и JAX-RPC.
   Среда с разными версиями: В кластере со смешанными узлами с сервером, использующими Websphere Application Server версии 6.1 или более ранней версии, выберите Web-службы: стандартные привязки для защиты Web-служб. mixv
3. В разделе Дополнительные свойства выберите Преобразования алгоритмов.
4. Выберите Создать для создания нового преобразования алгоритмов или щелкните на имени существующей конфигурации, параметры которой требуется изменить.
5. В разделе Дополнительные свойства выберите URI алгоритма.
6. Выберите Создать для создания нового URI алгоритма. Для того чтобы конфигурация была показана в поле Алгоритм шифрования ключа панели параметров конфигурации информации о шифровании, в поле Тип алгоритма должно быть указано значение Шифрование ключа.

Информация о ключе шифрования

Имя ссылки на информацию о ключе шифрования. Ссылка преобразуется в фактический ключ указанным агентом поиска ключа.

Для привязок генераторов запросов и ответов может быть указана только одна конфигурация ключа шифрования. Кроме того, конфигурация может быть не указана.

Привязки приемников запросов и ответов допускают настройку нескольких ссылок на ключ шифрования. Для создания новой ссылки на ключ шифрования в разделе Дополнительные свойства выберите Ссылки на информацию о ключе.

Конфигурацию ключа шифрования можно задать для приведенных ниже привязок на следующих уровнях:

Имя привязки	Уровень сервера, уровень ячейки или уровень приложения	Путь
Привязка генератора по умолчанию	Уровень кластера	Выберите Защита > Среда выполнения защиты JAX-WS и JAX-RPC. В разделе Привязка генератора по умолчанию JAX-RPC выберите Информация о ключе.
Привязка приемника по умолчанию	Уровень кластера	Выберите Защита > Среда выполнения защиты JAX-WS и JAX-RPC. В разделе Привязка приемника по умолчанию JAX-RPC выберите Информация о ключе.
Привязка генератора по умолчанию	Уровень сервера	Выберите Серверы > Типы Серверов > Серверы приложений WebSphere > имя-сервера. В разделе Защита выберите Среда выполнения защиты JAX-WS и JAX-RPC. Среда с разными версиями: В кластере со смешанными узлами с сервером, использующими Websphere Application Server версии 6.1 или более ранней версии, выберите Web-службы: стандартные привязки для защиты Web-служб. mixv В разделе Привязка генератора по умолчанию JAX-RPC выберите Информация о ключе.
Привязка приемника по умолчанию	Уровень сервера	Выберите Серверы > Типы Серверов > Серверы приложений WebSphere > имя-сервера. В разделе Защита выберите Среда выполнения защиты JAX-WS и JAX-RPC. Среда с разными версиями: В кластере со смешанными узлами с сервером, использующими Websphere Application Server версии 6.1 или более ранней версии, выберите Web-службы: стандартные привязки для защиты Web-служб. mixv В разделе Привязка приемника по умолчанию JAX-RPC выберите Информация о ключе.
Привязка генератора (отправителя) запросов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения J2EE WebSphere имя-приложения. В разделе Модули выберите Управление модулями > имя-URI. В разделе Свойства защиты Web-служб выберите Web-службы: привязки защиты клиента. В разделе Связывание генератора запросов (отправителя) выберите Изменить пользовательский. В разделе Обязательные свойства выберите Информация о ключе.
Привязка генератора (отправителя) ответов	Уровень приложения	Выберите Приложения > Типы приложений > Приложения J2EE WebSphere имя-приложения. В разделе Модули выберите Управление модулями > имя-URI. В разделе Свойства защиты Web-служб выберите Web-службы: привязки защиты сервера. В разделе привязки генератора (отправителя) ответов выберите Изменить пользовательский. В разделе Обязательные свойства выберите Информация о ключе.

Ссылка на фрагмент

Имя элемента <confidentiality> привязки генератора или элемента <requiredConfidentiality> привязки приемника из файла описания.

Это поле доступно только на уровне приложения.