加密信息配置设置:方法

使用此页面为签名方法、摘要方法和规范方法配置加密和解密参数。

此页面上为签名方法、摘要方法和规范方法所列出的规范位于标题为 XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 的万维网联盟(W3C)文档中。

要查看此管理控制台页面,请完成以下步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序application_name 并完成下列其中一个步骤:
    • 单击管理模块 > URI_file_name > Web Service:客户机安全性绑定。在“请求发送方绑定”下,单击编辑。在“Web Service 安全性属性”下,单击加密信息
    • 在“模块”下,单击管理模块 > URI_file_name > Web Service:服务器安全性绑定。在“响应发送方绑定”下,单击编辑。在“Web Service 安全性属性”下,单击加密信息
  2. 选择专用加密信息。应用程序服务器可以有一个用于请求发送方和响应发送方绑定的加密配置,也可以没有。如果未使用加密,那么选择。要为这两种绑定中的任何一种绑定配置加密,请选择专用加密信息并使用本主题描述的字段来指定配置设置。
加密信息名称 [仅限于 V5]

指定密钥定位器配置名称,以用它检索 XML 数字签名和 XML 加密的密钥。

密钥定位器引用 [仅限于 V5]

指定引用密钥定位器时所用的名称。

可以在单元级别、服务器级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这三个级别上的配置的组合。

可以在服务器级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这两个级别上的配置的组合。

要配置单元级别上的密钥定位器,请完成以下步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下,单击密钥定位器
要配置服务器级别的密钥定位器,请完成以下步骤:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“其他属性”下,单击密钥定位器
要配置应用程序级别上的密钥定位器,请完成以下步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序application_name
  2. 在“模块”下,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下,可以访问以下绑定的密钥定位器:
    • 对于“请求发送方”,单击 Web Service:客户机安全性绑定。在“请求发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“请求接收方”,单击 Web Service:服务器安全性绑定。在“请求接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“响应发送方”,单击 Web Service:服务器安全性绑定。在“响应发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“响应接收方”,单击 Web Service:客户机安全性绑定。在“响应接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
加密密钥名称 [仅限于 V5]

指定加密密钥的名称,通过指定的密钥定位器将此名称解析为实际密钥。

数据类型 字符串
密钥加密算法 [仅限于 V5]

指定密钥加密方法的算法统一资源标识(URI)。

支持以下算法:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    当通过 IBM® 软件开发包(SDK)V1.4 运行时,受支持密钥传输算法列表不包括此算法。当通过 JDK 1.5 或更高版本运行时,受支持密钥传输算法列表包括此算法。

    缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。该属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。
    重要: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192。要使用 192 位密钥加密算法,必须下载非受限的 Java™ 密码术扩展(JCE)策略文件。
    限制: 如果要让所配置的应用程序与基本安全概要文件(BSP)一致,请不要使用 192 位密钥加密算法。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256。要使用 256 位密钥加密算法,必须下载非受限的 JCE 策略文件。
注: 如果发生 InvalidKeyException 错误并且在使用 129xxx 或 256xxx 加密算法,那么配置中可能不存在非受限的策略文件。

Java 密码术扩展

缺省情况下,Java 密码术扩展(JCE)与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准(AES)加密算法,必须应用无限制的管辖策略文件。

注: 下载这些策略文件和覆盖现有策略文件(WAS_HOME/jre/lib/security/ 目录中的 local_policy.jarUS_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。

应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

要下载策略文件,请完成下列其中一组步骤:
  • [AIX] [Linux] [Windows] 对于使用 IBM Developer Kit, Java Technology Edition V1.4.2 的应用程序服务器平台(包括 AIX®、Linux® 和 Windows® 平台)来说,请完成以下步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:IBM Developer Kit:安全性信息
    2. 单击 Java 1.4.2
    3. 单击 IBM SDK 策略文件

      这将显示 SDK 1.4 Web 站点的无限制 JCE 策略文件。

    4. 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
  • [Solaris] [HP-UX] 对于使用基于 Sun 的 Java Development Kit 6(JDK 6)V1.4.2 的应用程序服务器平台(包括 Solaris 环境和 HP-UX 平台)来说,请完成以下步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:http://java.sun.com/j2se/1.4.2/download.html。
    2. 单击归档区
    3. 找到 Java 密码术扩展(JCE)无限制强度权限策略文件 1.4.2 信息,并单击下载jce_policy-1_4_1.zip 文件将下载到您的机器上。
在按照这两组步骤中的任一组进行操作之后,两个 Java 归档(JAR)文件都位于 Java 虚拟机(JVM)jre/lib/security/ 目录中。

i5/OS 操作系统和 IBM 软件开发包 1.4 [iSeries]

对于 i5/OS 操作系统和 IBM 软件开发包 V1.4,不必调整 Web Service 安全性。安装必备软件时,将自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。

对于 i5/OS 操作系统 V5R3 和 IBM 软件开发包 V1.4,将通过安装产品 5722AC3 Crypto Access Provider 128 位自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。

对于 i5/OS 操作系统 V5R4 和 IBM 软件开发包 V1.4,将通过安装产品 5722SS1 Option 3 Extended Base Directory Support 自动配置 IBM Java Developer Kit 1.4 的非受限管辖区域策略文件。

i5/OS 操作系统和 IBM 软件开发包 1.5 [iSeries]

对于 i5/OS(V5R3 和 V5R4)及 IBM 软件开发包 1.5,缺省情况下已经配置了受限 JCE 管辖区域策略文件。可从以下 Web 站点下载无限制 JCE 管辖区域策略文件:安全性信息:IBM J2SE 5 SDK

要为 i5/OS 操作系统和 IBM 软件开发包 V1.5 配置非受限管辖区域策略文件:
  1. 备份以下文件:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 将 IBM Developer Kit:安全性信息中的非受限策略文件下载到 /QIBM/ProdData/Java400/jdk15/lib/security 目录。
    1. 访问以下 Web 站点:IBM Developer Kit:安全性信息
    2. 单击 J2SE 5.0
    3. 向下滚动并单击 IBM SDK 策略文件。这将显示 SDK Web 站点的无限制的 JCE 策略文件。
    4. 单击登录并提供 IBM 内部网标识和密码。
    5. 选择相应的非受限 JCE 策略文件,然后单击继续
    6. 查看许可协议,然后单击我同意
    7. 单击立即下载
  3. 使用 DSPAUT 命令以确保对 *PUBLIC 授予 *RX 数据权限,同时确保未对 /QIBM/ProdData/Java400/jdk15/lib/security 目录中的 local_policy.jarUS_export_policy.jar 文件提供任何对象权限。例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要时使用 CHGAUT 命令更改权限。例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
数据加密算法 [仅限于 V5]

指定数据加密方法的算法统一资源标识(URI)。

支持以下算法:

缺省情况下,JCE 附带了强度受限的密码。要使用 192 位和 256 位 AES 加密算法,必须应用无限制的权限策略文件。有关更多信息,请参阅“密钥加密算法”字段描述。




标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考
加密信息集合
密钥定位器集合


文件名: uwbs_encryptrsb.html