Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden

Verwenden Sie diese Seite, um die Verschlüsselungs- und Entschlüsselungsparameter für die Signaturmethode, die Digest-Methode und die Kanonisierungsmethode zu konfigurieren.

Die auf dieser Seite aufgelisteten Spezifikationen für die Signaturmethode, Digest-Methode und Kanonisierungsmethode finden Sie im W3C-Dokument (World Wide Web Consortium) mit dem Titel XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname, und führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf Module verwalten > URI-Dateiname > Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Anforderungssender" auf Bearbeiten. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Verschlüsselungsdaten.
    • Klicken Sie auf Module verwalten > URI-Dateiname > Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Antwortsender" auf Bearbeiten. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Verschlüsselungsdaten.
  2. Wählen Sie Ohne oder Dedizierte Verschlüsselungsdaten aus. Der Anwendungsserver kann eine oder keine Verschlüsselungskonfigurationen für die Anforderungssender- und Antwortsenderbindungen verwenden. Wenn Sie ohne Verschlüsselung arbeiten, wählen Sie Ohne aus. Wenn Sie Verschlüsselung für eine dieser Bindungen konfigurieren möchten, wählen Sie Dedizierte Verschlüsselungsdaten aus, und geben Sie die Konfigurationseinstellungen in die in diesem Artikel beschriebenen Felder ein.
Name der Verschlüsselungsdaten [nur Version 5]

Gibt den Namen der Key-Locator-Konfiguration an, die den Schlüssel für die digitale XML-Signatur und XML-Verschlüsselung abruft.

Referenz auf Key-Locator [nur Version 5]

Der Name, mit dem auf den Key-Locator verwiesen wird.

Sie können die Optionen für die Referenz auf den Key-Locator auf Serverebene, Zellenebene und Anwendungsebene konfigurieren. Die in dem Feld aufgelisteten Konfigurationen sind eine Kombination aus den Konfigurationen dieser drei Ebenen.

Sie können die Optionen für die Referenz auf den Key-Locator auf Serverebene und Anwendungsebene konfigurieren. Die in dem Feld aufgelisteten Konfigurationen sind eine Kombination aus den Konfigurationen dieser zwei Ebenen.

Gehen Sie zum Konfigurieren der Key-Locator auf Zellenebene wie folgt vor:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Gehen Sie zum Konfigurieren der Key-Locator auf Serverebene wie folgt vor:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer Zelle mit heterogenen Knoten mit einem Server, der WebSphere Application Server Version 6.1 oder früher verwendet, auf Web-Services: Standardbindungen für die Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Gehen Sie zum Konfigurieren der Key-Locator auf Anwendungsebene wie folgt vor:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten > URI-Name.
  3. Unter "Eigenschaften der Web-Service-Sicherheit" können Sie auf die Key-Locator für die folgenden Bindungen zugreifen:
    • Klicken Sie für den Anforderungssender auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Anforderungssender" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Klicken Sie für den Anforderungsempfänger auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Anforderungsempfänger" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Klicken Sie für den Antwortsender auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Bindung für Antwortsender" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Klicken Sie für den Antwortempfänger auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Bindung für Antwortempfänger" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Name des Chiffrierschlüssels [nur Version 5]

Der Name des Chiffrierschlüssels, der vom angegebenen Key-Locator in den echten Schlüssel aufgelöst wird.

Datentyp String
Algorithmus für Schlüsselchiffrierung [nur Version 5]

Gibt den Algorithmus-URI der Chiffriermethode für Schlüssel an.

Die folgenden Algorithmen werden unterstützt:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    Wenn Sie mit IBM Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit JDK 1.5 oder höher arbeiten.

    Standardmäßig verwendet der Algorithmus RSA-OAEP den Nachrichten-Digest-Algorithmus SHA1, um einen Nachrichten-Digest im Rahmen der Verschlüsselungsoperation zu berechnen. Optional können Sie den Nachrichten-Digest-Algorithmus SHA256 oder SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Der Eigenschaftsname ist com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Für den Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben. Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
    Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben. Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht (Simple Object Access Protocol) gelesen.
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Wenn Sie den Algorithmus für 192-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) herunterladen.
    Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Wenn Sie den Algorithmus für 256-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie die nicht eingeschränkte JCE-Richtliniendatei herunterladen.
Anmerkung: Wenn ein Fehler des Typs "InvalidKeyException" auftritt und Sie den Algorithmus für 129xxx- oder 256xxx-Verschlüsselung verwenden, sind die nicht eingeschränkten Richtliniendateien möglicherweise nicht in Ihrer Konfiguration enthalten.

Java Cryptography Extension

Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder begrenzten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen.

Anmerkung: Bevor Sie diese Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien (local_policy.jar und US_export_policy.jar im Verzeichnis WAS_HOME/jre/lib/security/) sichern, da diese Dateien überschrieben werden und sonst für den Fall, dass die Originaldateien wiederhergestellt werden müssten, nicht mehr zur Verfügung stünden.

Anwendungsserverplattformen und IBM Developer Kit, Java Technology Edition Version 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Gehen Sie wie folgt vor, um die Richtliniendateien herunterzuladen:
  • [AIX] [Linux] [Windows] Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen, die IBM Developer Kit, Java Technology Edition Version 1.4.2 verwenden (dazu gehören AIX, Linux und Windows), können Sie wie folgt herunterladen:
    1. Rufen Sie die folgende Website auf: IBM developer kit: Security information.
    2. Klicken Sie auf Java 1.4.2.
    3. Klicken Sie auf IBM SDK Policy files.

      Die nicht eingeschränkten JCE-Richtliniendateien für die Website für SDK 1.4 werden angezeigt.

    4. Geben Sie Ihre Benutzer-ID und das Kennwort ein, oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
  • [Solaris] [HP-UX] Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen, die das Sun-basierte Java SE Development Kit 6 (JDK 6) Version 1.4.2 verwenden (dazu gehören die Solaris-Umgebungen und HP-UX), können Sie wie folgt herunterladen:
    1. Rufen Sie die folgende Website auf: http://java.sun.com/j2se/1.4.2/download.html.
    2. Klicken Sie auf Archive area.
    3. Suchen Sie die Information "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2", und klicken Sie auf Download. Daraufhin wird die Datei jce_policy-1_4_1.zip auf Ihre Maschine heruntergeladen.
Nachdem Sie diese Schritte ausgeführt haben, befinden sich zwei JAR-Dateien (Java Archive) im JVM-Verzeichnis (Java Virtual Machine) jre/lib/security/.

Betriebssystem i5/OS und IBM Software Development Kit 1.4 [iSeries]

Für das Betriebssystem i5/OS und IBM Software Development Kit Version 1.4 ist keine Optimierung der Web-Service-Sicherheit erforderlich. Die nicht eingeschränkten Richtliniendateien für IBM Software Development Kit Version 1.4 werden automatisch konfiguriert, wenn die vorausgesetzte Software installiert wird.

Für das Betriebssystem i5/OS V5R3 und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Richtliniendateien für IBM Software Development Kit Version 1.4 automatisch durch Installation des Produkts "5722AC3, Crypto Access Provider 128-bit" konfiguriert.

Für das Betriebssystem i5/OS V5R4 und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Richtliniendateien für IBM Java Developer Kit 1.4 automatisch durch Installation des Produkts "5722SS1 Option 3, Extended Base Directory Support" konfiguriert.

Betriebssystem i5/OS und IBM Software Development Kit 1.5 [iSeries]

Für i5/OS (V5R3 und V5R4) und IBM Software Development Kit 1.5 werden standardmäßig die eingeschränkten JCE-Richtliniendateien konfiguriert. Sie können die nicht eingeschränkten JCE-Richtliniendateien von der folgenden Website herunterladen: Security information: IBM J2SE 5 SDKs.

Gehen Sie zum Konfigurieren der nicht eingeschränkten Richtliniendateien für das Betriebssystem i5/OS und IBM Software Development Kit Version 1.5 wie folgt vor:
  1. Erstellen Sie Sicherungskopien der folgenden Dateien:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Lagen Sie die nicht eingeschränkten Richtliniendateien von der Website IBM developer kit: Security information in das Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security herunter.
    1. Rufen Sie die folgende Website auf: IBM developer kit: Security information.
    2. Klicken Sie auf J2SE 5.0.
    3. Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
    4. Klicken Sie auf Sign in, und geben Sie Ihre ID und Ihr Kennwort für das IBM Intranet ein.
    5. Wählen Sie die richtigen nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie anschließend auf Continue.
    6. Sehen Sie sich die Lizenzvereinbarung an, und klicken Sie anschließend auf I Agree.
    7. Klicken Sie auf Download Now.
  3. Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird und dass die Dateien local_policy.jar und US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security keine Objektberechtigungen erhalten. Beispiel:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorithmus für Datenverschlüsselung [nur Version 5]

Der Algorithmus-URI (Uniform Resource Identifiers) der Datenverschlüsselungsmethode.

Die folgenden Algorithmen werden unterstützt:

Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder begrenzten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen. Nähere Informationen finden Sie in der Beschreibung des Feldes "Algorithmus für Schlüsselverschlüsselung".




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise
Verschlüsselungsdaten
Key-Locator


Dateiname: uwbs_encryptrsb.html