Definições de Configuração de Informações de Criptografia: Métodos

Utilize esta página para configurar os parâmetros de criptografia e decriptografia para o método de assinatura, compilação e canonicalização.

As especificações listadas nessa página para o método de assinatura, o método de compilação e o método de canonicalização estão localizados no documento W3C (World Wide Web Consortium) intitulado XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.

Para visualizar essa página do console administrativo, complete as etapas a seguir:
  1. Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos WebSphere application_name e conclua uma das seguintes etapas:
    • Clique em Gerenciar Módulos > URI_file_name > Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Emissor de Pedido, clique em Editar. Em Propriedades da Segurança do Serviço da Web, clique em Informações sobre Criptografia.
    • Em Módulos, clique em Gerenciar Módulos > URI_file_name > Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Emissor de Resposta, clique em Editar. Em Propriedades da Segurança do Serviço da Web, clique em Informações sobre Criptografia.
  2. Selecione Nenhum ou Informações sobre Criptografia Dedicada. O servidor de aplicativos pode ter uma ou nenhuma configuração de criptografia para as ligações do emissor de pedido e do emissor de resposta. Se você não estiver utilizando criptografia, selecione Nenhum. Para configurar a criptografia para qualquer uma destas duas ligações, selecione Informações sobre Criptografia Dedicada e especifique as definições de configuração utilizando os campos descritos neste tópico.
Nome de Informações de Criptografia [Version 5 only]

Especifica o nome da configuração do localizador de chaves que recupera a chave para assinatura digital XML e criptografia XML.

Referência do Localizador de Chaves [Version 5 only]

Especifica o nome utilizado para referir-se ao localizador de chaves.

É possível configurar estas opções de referência do localizador de chaves no nível de célula, no nível do servidor e no nível do aplicativo. As configurações listadas no campo são uma combinação das configurações nestes três níveis.

É possível configurar estas opções de referência do localizador de chaves no nível do servidor e no nível do aplicativo. As configurações listadas no campo são uma combinação das configurações nestes dois níveis.

Para configurar os localizadores de chaves no nível de célula, conclua as seguintes etapas:
  1. Clique em Segurança > Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
  2. Em Propriedades Adicionais, clique em Localizadores de Chaves.
Para configurar os localizadores de chaves no nível do servidor, conclua as seguintes etapas:
  1. Clique em Servidores > Tipos de Servidores > Servidores de Aplicativos WebSphere > server_name .
  2. Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
    Ambiente de Versão Mista: Em uma célula de nó misto com um servidor utilizando o Websphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações Padrão para Segurança dos Serviços da Web.mixv
  3. Em Propriedades Adicionais, clique em Localizadores de Chaves.
Para configurar os localizadores de chaves no nível do aplicativo, conclua as seguintes etapas:
  1. Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos WebSphereapplication_name.
  2. Em Módulos, clique em Gerenciar Módulos > URI_name.
  3. Em Propriedades de Segurança de Serviços da Web, é possível acessar os localizadores de chaves para as seguintes ligações:
    • Para o Emissor de Pedido, clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Emissor de Pedido, clique em Editar. Em Propriedades Adicionais, clique em Localizadores de Chaves.
    • Para o receptor de Pedidos, clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Receptor de Pedidos, clique em Editar. Em Propriedades Adicionais, clique em Localizadores de Chaves.
    • Para o Emissor de Resposta, clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Emissor de Resposta, clique em Editar. Em Propriedades Adicionais, clique em Localizadores de Chaves.
    • Para o receptor de Respostas, clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Receptor de Respostas, clique em Editar. Em Propriedades Adicionais, clique em Localizadores de Chaves.
Nome da chave de criptografia [Version 5 only]

Especifica o nome da chave de criptografia, que é resolvido para a chave real pelo localizador de chaves especificado.

Tipo de dados Cadeia
Algoritmo de Criptografia de Chaves [Version 5 only]

Especifica o URI (Uniform Resource Identifier) de algoritmo do método de criptografia de chaves.

Os seguintes algoritmos são suportados:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    Ao executar com o IBM SDK (Software Development Kit) Versão 1.4, a lista de algoritmos de transporte de chaves suportada não inclui esse algoritmo. Ele aparece na lista de algoritmos de transporte de chaves suportados na execução do JDK 1.5 ou posterior.

    Por padrão, o algoritmo RSA-OAEP utiliza o algoritmo de compilação de mensagens SHA1 para computar uma compilação de mensagens como parte da operação de criptografia. Opcionalmente, você pode utilizar o algoritmo de compilação de mensagem SHA256 ou SHA512 ao especificar uma propriedade do algoritmo de criptografia de chave. O nome da propriedade é: com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. O valor da propriedade é um dos seguintes URIs do método de compilação:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Por padrão, o algoritmo RSA-OAEP utiliza uma cadeia nula para a cadeia em octeto com codificação opcional para o OAEPParams. É possível fornecer uma cadeia em octeto com codificação explícita ao especificar uma propriedade de algoritmo de criptografia de chave. Para o nome da propriedade, é possível especificar com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. O valor da propriedade é o valor codificado na base 64 da cadeia em octeto.
    Importante: É possível configurar este método de compilação e as propriedades OAEPParams apenas no lado do gerador. Do lado do consumidor, estas propriedades são lidas a partir da mensagem SOAP recebida.
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Para utilizar o algoritmo de criptografia de chave de 192 bits, você deverá transferir por download o arquivo de políticas JCE (Java Cryptography Extension) irrestrito.
    Restrição: Não utilize o algoritmo de criptografia de chave de 192 bits se quiser que seu aplicativo configurado seja compatível com o BSP (Basic Security Profile).
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Para utilizar o algoritmo de criptografia de chave de 256 bits, você deverá fazer download do arquivo de política JCE irrestrita.
Nota: Se um erro InvalidKeyException ocorrer e você estiver utilizando o algoritmo de criptografia 129xxx ou 256xxx, os arquivos de política irrestrita poderão não existir em sua configuração.

Java Cryptography Extension

Por padrão, o JCE (Java Cryptography Extension) é fornecido com criptografias de força restritas ou limitadas. Para utilizar algoritmos de criptografia AES (Advanced Encryption Standard) de 192 bits e 256 bits, aplique arquivos de políticas de jurisdição limitada.

Nota: Antes de fazer download destes arquivos de políticas, faça backup dos arquivos de políticas existentes (local_policy.jar e US_export_policy.jar no diretório WAS_HOME/jre/lib/security/) antes de sobrescrevê-los, caso deseje restaurar os arquivos originais posteriormente.

Plataformas do Servidor de Aplicativos e IBM Developer Kit, Java Technology Edition Versão 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Para fazer download dos arquivos de políticas, execute um dos seguintes conjuntos de etapas:
  • [AIX] [Linux] [Windows] Para plataformas do servidor de aplicativos que utilizam o IBM Developer Kit, o Java Technology Edition Versão 1.4.2, incluindo as plataformas AIX, Linux e Windows, conclua as seguintes etapas para obter arquivos de políticas de jurisdição ilimitada:
    1. Vá para o seguinte Web site: IBM developer kit: Security information
    2. Clique em Java 1.4.2
    3. Clique em Arquivos da Política SDK IBM.

      Os arquivos de Políticas JCE Irrestritas para o Web site do SDK 1.4 são exibidos.

    4. Insira seu ID do usuário e senha ou registre-se com a IBM para fazer download dos arquivos de política. Os arquivos de políticas são transferidos por download para sua máquina.
  • [Solaris] [HP-UX] Para plataformas do servidor de aplicativos que utilizam o Java SE Development Kit 6 (JDK 6) Versão 1.4.2 baseado em Sun, incluindo os ambientes Solaris e a plataforma HP-UX, conclua as seguintes etapas para obter arquivos de políticas de jurisdição ilimitada:
    1. Vá para o seguinte Web site: http://java.sun.com/j2se/1.4.2/download.html
    2. Clique em Área de Archive.
    3. Localize as informações do Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 e clique em Download. O arquivo jce_policy-1_4_1.zip será transferido por download para sua máquina.
Depois de seguir esses conjuntos de etapas, dois arquivos JAR (Arquivo de Java) são colocados no diretório jre/lib/security/ do JVM (Java virtual machine).

Sistema Operacional i5/OS e IBM Software Development Kit 1.4 [iSeries]

Para o sistema operacional i5/OS e IBM Software Development Kit Versão 1.4, o ajuste de segurança dos serviços da Web não é necessário. Os arquivos de jurisdição irrestrita do IBM Software Development Kit Versão 1.4 são automaticamente configurados quando o software obrigatório é instalado.

Para o sistema operacional i5/OS V5R3 e o IBM Software Development Kit Versão 1.4, os arquivos de políticas de jurisdição irrestrita do IBM Software Development Kit Versão 1.4 são configurados automaticamente ao instalar o produto 5722AC3, Provedor de Acesso de Criptografia de 128 bits.

Para o sistema operacional i5/OS V5R4 e o IBM Software Development Kit Versão 1.4, os arquivos de políticas de jurisdição irrestrita do IBM Java Developer Kit 1.4 são configurados automaticamente ao instalar o produto 5722SS1 Opção 3, Suporte de Diretório de Base Estendido.

Sistema Operacional i5/OS e IBM Software Development Kit 1.5 [iSeries]

Para o i5/OS (V5R3 e V5R4) e o IBM Software Development Kit 1.5, os arquivos de políticas de jurisdição JCE restrita são configurados, por padrão. É possível transferir por download os arquivos de políticas de jurisdição JCE irrestrita a partir do seguinte Web site: Security information: IBM J2SE 5 SDKs

Para configurar os arquivos de políticas de jurisdição irrestrita do sistema operacional i5/OS e o IBM Software Development Kit Versão 1.5:
  1. Faça cópias de backup destes arquivos:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Transfira por download os arquivos de política irrestrita do IBM developer kit: Security information para o diretório /QIBM/ProdData/Java400/jdk15/lib/security.
    1. Vá para este Web site: IBM developer kit: Security information
    2. Clique em J2SE 5.0.
    3. Desça e clique em Arquivos de Política SDK IBM.Os arquivos de Políticas JCE Irrestritas para o Web site do SDK são exibidos.
    4. Clique em Registrar-se e forneça seu ID de intranet e sua senha IBM.
    5. Selecione os arquivos de políticas JCE irrestritas apropriados e, em seguida, clique em Continuar.
    6. Visualize o contrato de licença e, em seguida, clique em Concordo.
    7. Clique em Fazer Download Agora.
  3. Utilize o comando DSPAUT para assegurar que *PUBLIC receba autoridade de dados *RX, mas assegure-se também que nenhuma autoridade de objeto seja fornecida para ambos os arquivos, local_policy.jar e US_export_policy.jar, no diretório /QIBM/ProdData/Java400/jdk15/lib/security. Por exemplo:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. Utilize o comando CHGAUT para alterar a autorização, se necessário. Por exemplo:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algoritmo de criptografia de dados [Version 5 only]

Especifica o URI (Uniform Resource Identifier) do método de criptografia de dados.

Os seguintes algoritmos são suportados:

Por padrão, o JCE é fornecido com criptografias de força restritas ou limitadas. Para utilizar algoritmos de criptografia AES de 192 bits e 256 bits, aplique arquivos de critérios de jurisdição limitada. Para obter informações adicionais, consulte a descrição do campo do algoritmo de criptografia de chave.




Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Tarefas relacionadas
Referências relacionadas
Coleta de Informações de Criptografia
Coleta de Localizadores de Chaves


Nome do arquivo: uwbs_encryptrsb.html