Určuje identifikátor URI (Uniform Resource Identifier) algoritmu metody šifrování klíče.
Aplikační server poskytuje následující algoritmy:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
V případě spouštění s použitím sady SDK (Software Development Kit) verze 1.4, není v seznamu podporovaných algoritmů
přenosu klíče tento algoritmus uveden. Tento algoritmus se objevuje v seznamu podporovaných algoritmů přenosu klíče v
případě spouštění se sadou SDK (Software Development Kit) verze 1.5 nebo novější.
Algoritmus RSA-OAEP při výchozím nastavení používá algoritmus pro vytvoření kódu digest zprávy SHA1 a počítá kód
digest zprávy jako součást operace šifrování. Po určení vlastnosti algoritmus šifrování klíče můžete volitelně používat
algoritmus pro vytvoření kódu digest zprávy SHA256 nebo SHA512. Název vlastnosti:
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Hodnotou vlastnosti je jeden z následujících identifikátorů URI
metody autentizace typu digest:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Algoritmus RSA-OAEP používá při výchozím nastavení pro volitelný řetězec oktetů kódování pro vlastnost
OAEPParams prázdný řetězec. Explicitní řetězec oktetů kódování lze zadat prostřednictvím vlastnosti algoritmu šifrování
klíče. Jako název vlastnosti můžete zadat název
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams.
Hodnotou
vlastnosti je hodnota kódování Base 64 řetězce oktetů.
Důležité: Tyto vlastnosti metody autentizace typu digest a vlastnost OAEPParams můžete nastavit pouze na straně
generátoru. Na straně spotřebitele jsou tyto vlastnosti čteny z příchozí zprávy protokolu SOAP.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Omezení: Chcete-li, aby konfigurovaná aplikace odpovídala sadě specifikací BSP (Basic Security Profile), nepoužívejte algoritmus
192bitového šifrování dat.
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Platformy aplikačního serveru a vývojová sada IBM Developer Kit, Java Technology Edition verze 1.4.2
Ve výchozím stavu je rozšíření JCE (Java Cryptography Extension) dodáváno se šiframi s omezenou silou.
Chcete-li používat 192bitové a 256bitové šifrovací algoritmy standardu AES (Advanced Encryption Standard), musíte použít soubory zásad s neomezenou pravomocí. Před stažením těchto souborů zásad zálohujte existující soubory zásad
(local_policy.jar a US_export_policy.jar v adresáři
WAS_HOME/jre/lib/security/) dříve, než budou přepsány, pro případ, že byste později chtěli obnovit původní
soubory.
Upozornění: Opravné sady, které zahrnují aktualizace sady SDK (Software Development Kit) mohou přepsat neomezené soubory zásad. Před použitím opravné sady neomezené soubory zásad zazálohujte, a po použití opravné sady je opět použijte.
Důležité: Vaše země původu může omezovat import, držení, používání nebo opětovný export šifrovacího softwaru do jiných zemí. Před stažením nebo používáním neomezených souborů zásad je nutné zkontrolovat zákony dané země, její regulace a politiku v oblasti importu, držení, používání a opětovného exportu šifrovacího softwaru, abyste zjistili, zda jsou tyto úkony povoleny.
Chcete-li stáhnout soubory zásad, postupujte podle některé z následujících postupů:
Po provedení některé z uvedených postupů budou v adresáři
jre/lib/security/ prostředí JVM (Java Virtual Machine) umístěny dva soubory JAR (archivy prostředí Java).
Platforma aplikačního serveru a vývojová sada IBM Developer Kit, Java Technology Edition verze 5
Ve výchozím stavu je rozšíření JCE (Java Cryptography Extension) dodáváno se šiframi s omezenou silou.
Chcete-li používat 192bitové a 256bitové šifrovací algoritmy standardu AES (Advanced Encryption Standard), musíte použít soubory zásad s neomezenou pravomocí. Před stažením těchto souborů zásad zálohujte existující soubory zásad (local_policy.jar a US_export_policy.jar v adresáři WAS_HOME/jre/lib/security/) dříve, než budou přepsány, pro případ, že byste později chtěli obnovit původní soubory.
Důležité: Vaše země původu může omezovat import, držení, používání nebo opětovný export šifrovacího softwaru do jiných zemí. Před stažením nebo používáním neomezených souborů zásad je nutné zkontrolovat zákony dané země, její regulace a politiku v oblasti importu, držení, používání a opětovného exportu šifrovacího softwaru, abyste zjistili, zda jsou tyto úkony povoleny.
Chcete-li stáhnout soubory zásad, postupujte podle některé z následujících postupů:
- Pro platformy aplikačního serveru používající sadu IBM Developer Kit, Java Technology Edition verze 5 lze získat soubory zásad s neomezenou pravomocí provedením následujících kroků:
- Přejděte na následující web: IBM developer works: Security Information
- Klepněte na položku Java 5.
- Klepněte na položku IBM SDK Policy files (Soubory zásad sady SDK společnosti IBM).
Zobrazí se web Unrestricted JCE Policy files for SDK 5 (Neomezené soubory zásad JCE pro sadu SDK 5).
- Zadejte jméno uživatele a heslo nebo se u společnosti IBM registrujte, abyste mohli stahovat soubory zásad. Soubory
zásad budou staženy do vašeho počítače.
Po provedení uvedených postupů budou v adresáři
jre/lib/security/ prostředí JVM (Java Virtual Machine) umístěny dva soubory JAR (archivy prostředí Java).
IBM Software Development Kit verze 1.4:
U operačního systému IBM i a sady IBM Software Development Kit verze 1.4 není vyladění zabezpečení webových služeb vyžadováno. Při instalaci potřebného softwaru jsou automaticky nastaveny soubory zásad s neomezenou jurisdikcí pro sadu IBM Software Development Kit verze 1.4.
- U systému IBM i (dříve nazývaného IBM i V5R3) a sady IBM Software Development Kit verze 1.4 nainstalujte produkt 5722AC3 – 128bitovou verzi poskytovatele Crypto Access Provider.
- U systému IBM i 5.4 a sady IBM Software Development Kit verze 1.4 nainstalujte produkt 5722SS1 s volbou 3 – Extended Base Directory Support.
IBM Software Development Kit verze 1.5:
V případě platforem IBM i 5.4 a IBM i (dříve IBM i V5R3) a sady IBM Software Development Kit 1.5 jsou ve výchozím nastavení konfigurovány soubory zásad rozšíření JCE s neomezenou jurisdikcí. Soubory zásad rozšíření JCE s neomezenou pravomocí můžete stáhnout z následujícího webu: IBM developer works: Security Information, Version 5
Poznámka: Je-li jako prostředí Java virtual machine (JVM) pro příslušný profil povolena 32bitová platforma Java SE 6 (Java Standard Edition 6) pro systém IBM i, v následujících pokynech nahraďte cestu /QIBM/ProdData/Java400/jdk15 cestou /QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre.
Důležité: Vaše země původu může omezovat import, držení, používání nebo opětovný export šifrovacího softwaru do jiných zemí. Před stažením nebo používáním neomezených souborů zásad je nutné zkontrolovat zákony dané země, její regulace a politiku v oblasti importu, držení, používání a opětovného exportu šifrovacího softwaru, abyste zjistili, zda jsou tyto úkony povoleny.
Chcete-li konfigurovat soubory zásad s neomezenou jurisdikcí pro systém IBM i a sadu IBM Software Development Kit verze 1.5, postupujte takto:
- Vytvořte záložní kopie následujících souborů:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Stáhněte neomezené soubory zásad z webu IBM developer works: Security Information do adresáře /QIBM/ProdData/Java400/jdk15/lib/security.
- Přejděte na následující web: http://www.ibm.com/developerworks/java/jdk/security/index.html
- Klepněte na položku J2SE 5.0.
- Posuňte stránku dolů a klepněte na položku IBM SDK Policy files (Soubory zásad sady SDK společnosti IBM). Zobrazí se web Unrestricted JCE Policy files for the SDK (Neomezené soubory zásad JCE pro sadu SDK).
- Klepněte na volbu Sign in (Přihlásit) a zadejte ID a heslo pro intranet společnosti IBM.
- Vyberte odpovídající neomezené soubory zásad JCE a klepněte na volbu Continue (Pokračovat).
- Přečtěte si licenční smlouvu a klepněte na volbu I Agree (Souhlasím).
- Klepněte na volbu Download Now (Stáhnout nyní).
- Pomocí příkazu DSPAUT ověřte, že jsou uživateli *PUBLIC udělena oprávnění pro data *RX a že není poskytováno žádné oprávnění pro objekty v žádném ze souborů local_policy.jar a US_export_policy.jar v adresáři /QIBM/ProdData/Java400/jdk15/lib/security.
Příklad:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- V případě potřeby změňte autorizaci pomocí příkazu CHGAUT. Příklad:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Vlastní algoritmy na úrovni buňky
Chcete-li určit vlastní algoritmy na úrovni buňky, postupujte podle následujících kroků:
- Klepněte na volbu Zabezpečení > Běhová komponenta zabezpečení JAX-WS a JAX-RPC.
- V části Další vlastnosti klepněte na volbu Mapování algoritmů.
- Po klepnutí na volbu Nový určete nové mapování algoritmů nebo klepněte na název existující konfigurace, abyste
mohli upravit příslušná nastavení.
- V části Další vlastnosti klepněte na volbu Identifikátor URI algoritmu.
- Klepněte na volbu Nový a vytvořte nový identifikátor URI algoritmu. v poli Typ algoritmu je třeba určit
hodnotu Šifrování klíče, aby se konfigurace zobrazila v poli Algoritmus šifrování klíčů na panelu nastavení
informací o šifrování.
Vlastní algoritmy na úrovni serveru
Chcete-li určit vlastní algoritmy na úrovni serveru, postupujte podle následujících kroků:
- Klepněte na volbu název_serveru.
- V části Zabezpečení klepněte na volbu Běhová komponenta zabezpečení JAX-WS a JAX-RPC.
Prostředí se smíšenými verzemi: V buňce se smíšenými uzly se serverem používajícím produkt Websphere Application
Server verze 6.1 nebo dřívější klepněte na volbu
Webové služby: výchozí vazby pro zabezpečení webových služeb.
mixv
- V části Další vlastnosti klepněte na volbu Mapování algoritmů.
- Po klepnutí na volbu Nový určete nové mapování algoritmů nebo klepněte na název existující konfigurace, abyste
mohli upravit příslušná nastavení.
- V části Další vlastnosti klepněte na volbu Identifikátor URI algoritmu.
- Klepněte na volbu Nový a vytvořte nový identifikátor URI algoritmu. v poli Typ algoritmu je třeba určit
hodnotu Šifrování klíče, aby se konfigurace zobrazila v poli Algoritmus šifrování klíčů na panelu nastavení
informací o šifrování.