Gibt den Algorithmus-URI der Chiffriermethode für Schlüssel an.
Die folgenden Algorithmen werden unterstützt:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Wenn Sie mit
IBM Software Development Kit (SDK) Version 1.4
arbeiten, ist dieser Algorithmus nicht in der Liste der
unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der
unterstützten Schlüsseltransportalgorithmen, wenn Sie mit JDK
1.5 oder höher arbeiten.
Standardmäßig verwendet der Algorithmus RSA-OAEP
den Nachrichten-Digest-Algorithmus SHA1, um einen Nachrichten-Digest im Rahmen der Verschlüsselungsoperation zu berechnen.
Optional können Sie den Nachrichten-Digest-Algorithmus SHA256 oder
SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Der Eigenschaftsname ist com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die
optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine
explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Für den Eigenschaftsnamen können Sie
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben.
Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben.
Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht
(Simple Object Access Protocol) gelesen.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- http://www.w3.org/2001/04/xmlenc#kw-tripledes.
- http://www.w3.org/2001/04/xmlenc#kw-aes128.
- http://www.w3.org/2001/04/xmlenc#kw-aes192. Wenn Sie den
Algorithmus für 192-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie
die nicht eingeschränkte JCE-Richtliniendatei (Java
Cryptography Extension) herunterladen.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
- http://www.w3.org/2001/04/xmlenc#kw-aes256. Wenn Sie den
Algorithmus für 256-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie
die nicht eingeschränkte JCE-Richtliniendatei herunterladen.
Anmerkung: Wenn ein Fehler des Typs "InvalidKeyException" auftritt und Sie den Algorithmus für
129xxx- oder 256xxx-Verschlüsselung verwenden, sind die nicht eingeschränkten Richtliniendateien möglicherweise nicht in Ihrer Konfiguration enthalten.
Java Cryptography Extension
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten
Chiffriergraden oder begrenzten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption
Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen.
Anmerkung: Bevor Sie diese
Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien
(local_policy.jar und US_export_policy.jar im Verzeichnis WAS_HOME/jre/lib/security/)
sichern, da diese Dateien überschrieben werden und
sonst für den Fall, dass die Originaldateien wiederhergestellt werden müssten, nicht mehr zur Verfügung stünden.
Anwendungsserverplattformen und IBM Developer
Kit, Java Technology
Edition Version 1.4.2
Gehen Sie wie folgt vor, um die Richtliniendateien herunterzuladen:
Nachdem Sie diese Schritte ausgeführt haben, befinden sich zwei JAR-Dateien (Java Archive) im JVM-Verzeichnis
(Java Virtual Machine)
jre/lib/security/.
Betriebssystem i5/OS und IBM Software Development Kit 1.4
Für das Betriebssystem
i5/OS
und IBM Software Development Kit Version 1.4 ist keine Optimierung der Web-Service-Sicherheit erforderlich.
Die nicht eingeschränkten Richtliniendateien für IBM Software
Development Kit Version 1.4 werden automatisch konfiguriert, wenn die vorausgesetzte Software installiert wird.
Für das Betriebssystem i5/OS
V5R3 und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten
Richtliniendateien für IBM Software Development Kit Version 1.4 automatisch durch Installation
des Produkts "5722AC3, Crypto Access Provider 128-bit" konfiguriert.
Für das Betriebssystem
i5/OS
V5R4 und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Richtliniendateien für
IBM Java Developer Kit 1.4 automatisch durch Installation des Produkts
"5722SS1 Option 3, Extended Base Directory Support" konfiguriert.
Betriebssystem i5/OS und IBM Software Development Kit 1.5
Für i5/OS (V5R3 und V5R4) und IBM Software Development Kit 1.5 werden standardmäßig die eingeschränkten JCE-Richtliniendateien konfiguriert.
Sie können die nicht eingeschränkten JCE-Richtliniendateien von der folgenden Website herunterladen:
Security information: IBM J2SE 5 SDKs.
Gehen Sie zum Konfigurieren der nicht eingeschränkten Richtliniendateien
für das Betriebssystem i5/OS und IBM Software
Development Kit Version 1.5 wie folgt vor:
- Erstellen Sie Sicherungskopien der folgenden Dateien:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Lagen Sie die nicht eingeschränkten Richtliniendateien von der Website
IBM developer kit: Security information
in das Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security herunter.
- Rufen Sie die folgende Website auf: IBM developer
kit: Security information.
- Klicken Sie auf J2SE 5.0.
- Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
- Klicken Sie auf Sign in, und geben Sie Ihre ID und Ihr Kennwort für das IBM Intranet ein.
- Wählen Sie die richtigen nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie anschließend auf
Continue.
- Sehen Sie sich die Lizenzvereinbarung an, und klicken Sie anschließend auf I Agree.
- Klicken Sie auf Download Now.
- Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird
und dass die Dateien local_policy.jar und
US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security keine Objektberechtigungen erhalten.
Beispiel:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)