暗号化情報構成の設定: メソッド

このページを使用して、シグニチャー・メソッド、ダイジェスト・メソッド、 および正規化メソッドの暗号化パラメーターおよび暗号化解除パラメーターを構成します。

このページにリストされているシグニチャー方式、ダイジェスト方式、および正規化方式の仕様は、World Wide Web Consortium (W3C) の文書「XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 」に記述されています。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ (Application Types)」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」application_name」とクリックし、 以下のステップのいずれかを実行します。
    • モジュールの管理」>「URI_file_name」> 「Web サービス: クライアント・セキュリティーのバインディング」とクリックします。 「要求送信側バインディング」の下の「編集」をクリックします。 「Web サービス・セキュリティー・プロパティー」の下の「暗号化情報」をクリックします。
    • 「モジュール」の下で、「モジュールの管理」>「URI_file_name」>「Web サービス: サーバー・ セキュリティーのバインディング」とクリックします。 「応答送信側のバインディング」の下の「編集」をクリックします。 「Web サービス・セキュリティー・プロパティー」の下の「暗号化情報」をクリックします。
  2. なし」または「Dedicated encryption information」を選択します。 アプリケーション・サーバーは、要求送信側および応答送信側バインディングに対して 1 つの暗号化構成を持つか、 1 つも暗号化構成持たないようにすることができます。 暗号化を使用していない場合は、「なし」を選択します。 これらの 2 つのバインディングのいずれかの暗号化を構成するには、 「Dedicated encryption information」を選択し、 このトピックで説明するフィールドを使用して構成設定を指定します。
暗号化情報名 [Version 5 only]

XML デジタル・シグニチャーおよび XML 暗号化の鍵を検索する鍵ロケーター構成の名前を指定します。

鍵ロケーター参照 [Version 5 only]

鍵ロケーターの参照に使用する名前を指定します。

これらの鍵ロケーター参照オプションは、セル・レベル、サーバー・レベル、およびアプリケーション・レベルで構成することができます。 このフィールドにリストされる構成は、これらの 3 つのレベルにおける構成の組み合わせです。

これらの鍵ロケーター参照オプションは、 サーバー・レベルおよびアプリケーション・レベルで構成することができます。 このフィールドにリストされる構成は、これらの 2 つのレベルにおける構成を組み合わせたものです。

セル・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. 「セキュリティー」>「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」とクリックします。
  2. 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
サーバー・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ (Server Types)」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>「server_name」をクリックします。
  2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム (JAX-WS and JAX-RPC security runtime)」をクリックします。
    混合バージョン環境: Websphere Application Server バージョン 6.1 以前を使用しているサーバーの混合ノード・セルでは、「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。mixv
  3. 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
アプリケーション・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. 「アプリケーション」>「アプリケーション・タイプ (Application Types)」>「WebSphere エンタープライズ・アプリケーション (WebSphere enterprise applications)」application_name」とクリックします。
  2. 「モジュール」で、「モジュールの管理」>「URI_name」をクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下で、 以下のバインディングの鍵ロケーターにアクセスすることができます。
    • 要求送信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「要求送信側バインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 要求受信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 応答送信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答送信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 応答受信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「応答受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
暗号鍵名 [Version 5 only]

暗号鍵の名前を指定します。この暗号鍵は、指定された鍵ロケーターによって実際の鍵に解決されます。

データ型 ストリング
鍵暗号化アルゴリズム [Version 5 only]

鍵暗号化方式のアルゴリズム URI (Uniform Resource Identifier) を指定します。

以下のアルゴリズムがサポートされています。
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    IBM® Software Development Kit (SDK) バージョン 1.4 で実行する場合、このアルゴリズムは、サポートされる鍵トランスポート・アルゴリズムのリストに含まれていません。 JDK 1.5 以降で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。

    デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。 プロパティー名は、com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。 プロパティー値は、ダイジェスト・メソッドの以下の URI のいずれかです。
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定できます。 プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。
    重要: これらのダイジェスト・メソッドおよび OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192。 192 ビット鍵暗号化アルゴリズムを使用するには、無制限の Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
    制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットの鍵暗号化アルゴリズムを使用しないでください。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256。 256 ビット鍵暗号化アルゴリズムを使用するには、無制限の JCE ポリシー・ファイルを ダウンロードする必要があります。
注: InvalidKeyException エラーが発生し、129xxx または 256xxx 暗号化アルゴリズムを使用している場合、無制限のポリシー・ファイルが 構成内に存在していない可能性があります。

Java Cryptography Extension

デフォルトでは、Java Cryptography Extension (JCE) は、暗号の強度が制限された状態で出荷されています。 192 ビットおよび 256 ビットの Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用するには、 無制限の管轄権ポリシー・ファイルを適用する必要があります。

注: これらのポリシー・ファイルをダウンロードする前に、 あらかじめ既存のポリシー・ファイル (WAS_HOME/jre/lib/security/ ディレクトリーの local_policy.jar および US_export_policy.jar) をバックアップしてから上書きするようにし、後でオリジナル・ファイルを復元できるようにしてください。

アプリケーション・サーバー・プラットフォーム および IBM Developer Kit, Java Technology Edition バージョン 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

ポリシー・ファイルをダウンロードするには、次のいずれかのステップを行います。
  • [AIX] [Linux] [Windows] アプリケーション・サーバー・プラットフォームで IBM Developer Kit, Java Technology Edition バージョン 1.4.2 を使用している場合 (AIX®、Linux®、および Windows® プラットフォームを含みます)、以下のステップを実行して、無制限の管轄権ポリシー・ファイルを入手します。
    1. 次の Web サイトに移動します。IBM developer kit: Security information
    2. Java 1.4.2」をクリックします。
    3. IBM SDK Policy files」をクリックします。

      SDK 1.4 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。

    4. ユーザー ID とパスワードを入力するか、IBM に登録して、ポリシー・ファイルをダウンロードします。 ポリシー・ファイルがご使用のマシンにダウンロードされます。
  • [Solaris] [HP-UX] アプリケーション・サーバー・プラットフォームで Sun ベースの Java SE Development Kit 6 (JDK 6) バージョン 1.4.2 を使用している場合 (Solaris 環境および HP-UX プラットフォームを含みます)、次のステップを実行して、無制限の管轄権ポリシー・ファイルを入手します。
    1. 次の Web サイトに移動します。http://java.sun.com/j2se/1.4.2/download.html
    2. Archive area」をクリックします。
    3. Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 情報を見つけ、「Download」をクリックします。jce_policy-1_4_1.zip ファイルがマシンに ダウンロードされます。
上記のいずれかの手順を実行すると、2 つの Java アーカイブ (JAR) ファイルが Java 仮想マシン (JVM) jre/lib/security/ ディレクトリーに置かれます。

i5/OS オペレーティング・システム および IBM Software Development Kit 1.4 [iSeries]

i5/OS オペレーティング・システムおよび IBM Software Development Kit バージョン 1.4 の場合、Web サービス・セキュリティーを調整する必要はありません。IBM Software Development Kit バージョン 1.4 の無制限の管轄権ポリシー・ファイルは、前提条件のソフトウェアがインストールされていれば自動的に構成されます。

i5/OS オペレーティング・システム V5R3 および IBM Software Development Kit バージョン 1.4 の場合、製品 5722AC3、Crypto Access Provider 128-bit をインストールすることにより、IBM Software Development Kit バージョン 1.4 の 無制限の管轄権ポリシー・ファイルが自動的に構成されます。

i5/OS オペレーティング・システム V5R4 および IBM Software Development Kit バージョン 1.4 の場合は、製品 5722SS1 Option 3, Extended Base Directory Support をインストールすることにより、IBM Java Developer Kit バージョン 1.4 の 無制限の管轄権ポリシー・ファイルが自動的に構成されます。

i5/OS オペレーティング・システム および IBM Software Development Kit バージョン 1.5 [iSeries]

i5/OS (V5R3 および V5R4 の両方) および IBM Software Development Kit バージョン 1.5 の場合、制限付きの JCE 管轄権ポリシー・ファイルがデフォルトで構成されます。無制限の JCE 管轄権ポリシー・ファイルは、 Web サイト Security information: IBM J2SE 5 SDKs からダウンロードできます。

無制限の管轄権ポリシー・ファイルを、i5/OS オペレーティング・システムおよび IBM Software Development Kit バージョン 1.5 に合わせて構成するには、以下のようにします。
  1. 次のファイルのバックアップを作成します。
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 無制限のポリシー・ファイルを IBM developer kit: Security information から /QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにダウンロードします。
    1. Web サイト IBM developer kit: Security information に移動します。
    2. J2SE 5.0」をクリックします。
    3. ページをスクロールダウンして、「IBM SDK Policy files」をクリックします。 SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
    4. Sign in」をクリックして、IBM イントラネット ID とパスワードを入力します。
    5. 適切な無制限のポリシー・ファイルを選択し、「継続」をクリックします。
    6. ご使用条件をお読みのうえ、「同意する」をクリックします。
    7. Download Now」をクリックします。
  3. DSPAUT コマンドを使用して、*PUBLIC が *RX データ権限に 付与されていることと、local_policy.jar ファイルと US_export_policy.jar ファイル (/QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにあります) の いずれにも、オブジェクト権限が提供されていないことを確認します。以下に例を示します。
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要であれば、CHGAUT コマンドを使用して権限を変更します。以下に例を示します。
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
データ暗号化アルゴリズム [Version 5 only]

データ暗号化方式のアルゴリズム Uniform Resource Identifier (URI) を指定します。

以下のアルゴリズムがサポートされています。

デフォルトでは、JCE は、効果が制限または限定された強力な暗号に付属しています。 192 ビットおよび 256 ビット AES 暗号化アルゴリズムを使用するには、無制限の管轄権ポリシー・ファイルを適用する必要があります。 詳しくは、 鍵暗号化アルゴリズムのフィールドの説明を参照してください。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
関連資料
暗号化情報コレクション
鍵ロケーターのコレクション


ファイル名: uwbs_encryptrsb.html