Ustawienia konfiguracyjne informacji o szyfrowaniu: Metody

Ta strona służy do konfigurowania parametrów szyfrowania i deszyfrowania na potrzeby metody podpisywania, metody generowania skrótu wiadomości oraz metody normalizacji.

Specyfikacje wymienione na tej stronie dotyczące metody tworzenia podpisu, metody tworzenia skrótu oraz metody normalizacji znajdują się w dokumencie W3C (World Wide Web Consortium) zatytułowanym XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące czynności:
  1. Kliknij opcję Aplikacje > Typy aplikacji > Aplikacje korporacyjne WebSphere nazwa_aplikacji i wykonaj jeden z następujących kroków:
    • Kliknij opcję Zarządzaj modułami > nazwa_pliku_identyfikatora_URI > Usługi Web Service: Powiązania zabezpieczeń klienta. W opcji Powiązanie nadawcy żądań kliknij Edytuj. W obszarze Właściwości zabezpieczeń usług Web Service kliknij opcję Informacje o szyfrowaniu.
    • W obszarze Moduły kliknij opcję Zarządzaj modułami > nazwa_pliku_identyfikatora_URI > Usługi Web Service: Powiązania zabezpieczeń serwera. W opcji Powiązanie nadawcy odpowiedzi kliknij Edytuj. W obszarze Właściwości zabezpieczeń usług Web Service kliknij opcję Informacje o szyfrowaniu.
  2. Kliknij opcję Brak lub Dedykowane informacje o szyfrowaniu. Serwer aplikacji może mieć co najwyżej jedną konfigurację szyfrowania dla powiązań nadawcy żądań i nadawcy odpowiedzi. Jeśli szyfrowanie nie jest używane, kliknij opcję Brak. Aby skonfigurować szyfrowanie dla dowolnego z dwóch powiązań, kliknij opcję Dedykowane informacje o szyfrowaniu oraz podaj ustawienia konfiguracyjne, używając do tego pól opisanych w tym temacie
Nazwa informacji o szyfrowaniu [Tylko wersja 5]

Określa nazwę konfiguracji wskaźnika klucza, która umożliwia pobranie klucza dla cyfrowego podpisu XML oraz kodowania XML.

Odwołanie do wskaźnika kluczy [Tylko wersja 5]

Określa nazwę, która jest używana podczas do odwoływania się do wskaźnika klucza.

Można skonfigurować opcje odniesienia do wskaźnika klucza na poziomie komórki, serwera i aplikacji. Konfiguracje zawarte na tej liście to połączone konfiguracje na tych trzech poziomach.

Można skonfigurować opcje odniesienia do wskaźnika klucza na poziomie serwera i aplikacji. Konfiguracje zawarte na tej liście to połączone konfiguracje na tych dwóch poziomach.

Aby skonfigurować wskaźniki kluczy na poziomie komórki, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
  2. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
Aby skonfigurować wskaźniki kluczy na poziomie serwera, wykonaj następujące kroki:
  1. Kliknij opcję Serwery>Typy serwerów>Serwery aplikacji WebSphere> nazwa_serwera.
  2. W obszarze Zabezpieczenia kliknij opcję Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
    Środowisko z różnymi wersjami: W komórce z węzłami mieszanymi, która zawiera serwer korzystający z produktu WebSphere Application Server w wersji 6.1 lub wcześniejszej, kliknij opcję Usługi Web Service: Domyślne powiązania zabezpieczeń usług Web Service.mixv
  3. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
Aby skonfigurować wskaźniki kluczy na poziomie aplikacji, wykonaj następujące kroki:
  1. Kliknij opcję Aplikacje>Typy aplikacji>Aplikacje korporacyjne WebSpherenazwa_aplikacji.
  2. W obszarze Moduły kliknij opcję Zarządzaj modułami > nazwa_identyfikatora_URI.
  3. W obszarze Właściwości zabezpieczeń usług Web Service można przejść do wskaźników kluczy dla następujących powiązań:
    • Dla nadawcy żądań kliknij opcję Usługi Web Service: Powiązania zabezpieczeń klienta. W opcji Powiązanie nadawcy żądań kliknij Edytuj. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
    • Dla odbiorcy żądań kliknij opcję Usługi Web Service: Powiązania zabezpieczeń serwera. W opcji Powiązanie odbiornika żądań kliknij Edytuj. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
    • Dla nadawcy odpowiedzi kliknij opcję Usługi Web Service: Powiązania zabezpieczeń serwera. W opcji Powiązanie nadawcy odpowiedzi kliknij Edytuj. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
    • Dla odbiorcy odpowiedzi kliknij opcję Usługi Web Service: Powiązania zabezpieczeń klienta. W opcji Powiązanie odbiornika odpowiedzi kliknij Edytuj. W obszarze Właściwości dodatkowe kliknij opcję Wskaźniki kluczy.
Nazwa klucza szyfrowania [Tylko wersja 5]

Określa nazwę klucza szyfrowania, która jest tłumaczona przez określony wskaźnik klucza na bieżący klucz.

Typ danych String
Algorytm szyfrowania klucza [Tylko wersja 5]

Określa identyfikator URI (uniform resource identifier) algorytmu używanego w metodzie szyfrowania klucza.

Obsługiwane są następujące algorytmy:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    W przypadku korzystania z pakietu IBM Software Development Kit (SDK) 1.4 lista obsługiwanych algorytmów transportu kluczy nie zawiera tego algorytmu. Ten algorytm pojawia się na liście obsługiwanych algorytmów transportu klucza w pakiecie JDK w wersji 1.5 lub późniejszej.

    Domyślnie algorytm RSA-OAEP używa algorytmu generowania streszczenia komunikatów SHA1 do obliczenia streszczenia komunikatu w ramach operacji szyfrowania. Opcjonalnie można użyć algorytmu generowania streszczenia komunikatów SHA256 lub SHA512, określając właściwość algorytmu szyfrowania klucza. Nazwa właściwości: com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. Wartością właściwości jest jeden z następujących identyfikatorów URI metody generowania streszczenia:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Domyślnie algorytm RSA-OAEP używa łańcucha pustego jako opcjonalnego łańcucha oktetów kodowania dla właściwości OAEPParams. Określając właściwość algorytmu szyfrowania klucza, można podać jawny łańcuch oktetów kodowania. Jako nazwę właściwości można podać com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. Wartością właściwości jest wartość łańcucha oktetów zakodowana w formacie Base 64.
    Ważne: Taką metodę generowania streszczenia i właściwości OAEPParams można ustawić tylko po stronie generatora. Po stronie konsumenta te właściwości są odczytywane z przychodzącego komunikatu SOAP (Simple Object Access Protocol).
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Aby używać 192-bitowego algorytmu szyfrowania klucza, należy pobrać plik nieograniczonej strategii JCE (Java Cryptography Extension).
    Ograniczenie: Nie należy używać 192-bitowego algorytmu szyfrowania klucza, jeśli skonfigurowana aplikacja ma być zgodna z podstawowym profilem zabezpieczeń (BSP).
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Aby używać 256-bitowego algorytmu szyfrowania klucza, należy pobrać plik nieograniczonej strategii JCE (Java Cryptography Extension).
Uwaga: Jeśli wystąpi błąd InvalidKeyException i używany jest 128-bitowy lub 256-bitowy algorytm szyfrowania, może to oznaczać, że w konfiguracji brak plików nieograniczonej strategii.

Rozszerzenie kryptograficzne Java (JCE)

Domyślnie rozszerzenie JCE (Java Cryptography Extension) jest dostarczane razem z szyframi, na które są nałożone ograniczenia lub które mają ograniczoną moc. Aby można było używać algorytmów szyfrowania AES (Advanced Encryption Standard) 192-bitowego i 256-bitowego, konieczne jest zastosowanie plików nieograniczonej strategii jurysdykcji.

Uwaga: Przed pobraniem tych plików strategii należy wykonać kopie zapasowe istniejących plików strategii(local_policy.jar i US_export_policy.jar w katalogu WAS_HOME/jre/lib/security/), jeśli oryginalne pliki mają być odtwarzane w późniejszym czasie.
Ważne: W danym kraju mogą istnieć ograniczenia dotyczące importowania, posiadania i używania oprogramowania szyfrującego lub jego dalszego eksportowania do innych krajów. Przed pobraniem i użyciem plików nieograniczonej strategii należy sprawdzić przepisy dotyczące importowania, posiadania i używania oprogramowania szyfrującego oraz jego dalszego eksportowania obowiązujące w danym kraju, aby określić, czy jest to dozwolone.

Platformy serwerów aplikacji i pakiet IBM Developer Kit, Java Technology Edition 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Aby pobrać pliki strategii, należy wykonać jeden z następujących zestawów kroków:
  • [AIX] [Linux] [Windows] [z/OS] Dla platform serwerów aplikacji wykorzystujących narzędzie IBM Developer Kit, Java Technology Edition w wersji 1.4.2, która obejmuje platformy AIX, Linux i Windows, wykonaj następujące kroki w celu uzyskania plików strategii dotyczących nieograniczonej jurysdykcji:
    1. Przejdź do następującego serwisu WWW: IBM Developer Kit: Informacje o zabezpieczeniach
    2. Kliknij opcję Java 1.4.2.
    3. Kliknij opcję Pliki strategii SDK IBM.

      Zostanie wyświetlony serwis WWW zawierający pliki strategii JCE bez ograniczeń dla SDK 1.4.

    4. Wprowadź identyfikator użytkownika i hasło lub zarejestruj się w firmie IBM, aby pobrać pliki strategii. Pliki strategii są pobierane na komputer użytkownika.
  • [Solaris] [HP-UX] Dla platform serwerów aplikacji, które wykorzystują narzędzia JDK 6 (Java SE Development Kit 6) w wersji 1.4.2 dla Sun, w tym dla środowisk Solaris i HP-UX, wykonaj następujące kroki, aby uzyskać pliki strategii dotyczące nieograniczonej jurysdykcji.
    1. Przejdź do następującego serwisu WWW: http://java.sun.com/j2se/1.4.2/download.html
    2. Kliknij opcję Obszar archiwum.
    3. Znajdź informację o plikach JCE (Java Cryptography Extension) Unlimited Strength Jurisdiction Policy Files 1.4.2 i kliknij opcję Download (Pobierz). Plik jce_policy-1_4_1.zip zostanie pobrany na komputer użytkownika.
Po wykonaniu tych kroków dwa pliki JAR (archiwum Java) zostaną umieszczone w katalogu jre/lib/security/ wirtualnej maszyny języka Java (JVM).

System operacyjny IBM i oraz pakiet IBM Software Development Kit 1.4 [iSeries]

W przypadku systemu operacyjnego IBM i oraz pakietu IBM Software Development Kit 1.4 strojenie zabezpieczeń usług Web Service nie jest wymagane. Pliki nieograniczonej strategii jurysdykcji dla pakietu IBM Software Development Kit 1.4 są automatycznie konfigurowane po zainstalowaniu wstępnie wymaganego oprogramowania.

W przypadku systemu operacyjnego IBM i 5.4 oraz pakietu IBM Software Development Kit 1.4 pliki nieograniczonej strategii jurysdykcji dla pakietu IBM Java Developer Kit 1.4 są automatycznie konfigurowane przy instalowaniu opcji 3 produktu 5722SS1: Extended Base Directory Support.

W przypadku systemu operacyjnego IBM i (uprzednio zwanego również IBM i V5R3) oraz pakietu IBM Software Development Kit 1.4 pliki nieograniczonej strategii jurysdykcji dla pakietu IBM Software Development Kit 1.4 są automatycznie konfigurowane przy instalowaniu produktu Crypto Access Provider 128-bit (5722AC3).

System operacyjny IBM i oraz pakiet IBM Software Development Kit 1.5 [iSeries]

W przypadku systemów IBM i 5.4 oraz IBM i (uprzednio zwanego również IBM i V5R3) oraz pakietu IBM Software Development Kit 1.5 pliki strategii jurysdykcji JCE z ograniczeniami są domyślnie skonfigurowane. Pliki nieograniczonej strategii jurysdykcji JCE można pobrać z następującego serwisu WWW: Security information: IBM J2SE 5 SDKs (Informacje o zabezpieczeniach: Pakiety SDK IBM J2SE).

Aby skonfigurować pliki nieograniczonej strategii jurysdykcji dla systemu operacyjnego IBM i oraz pakietu IBM Software Development Kit 1.5:
  1. Utwórz kopie zapasowe następujących plików:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Pobierz pliki nieograniczonej strategii z serwisu WWW: IBM Developer Kit: Security information (IBM Developer Kit: Informacje o zabezpieczeniach) do katalogu /QIBM/ProdData/Java400/jdk15/lib/security.
    1. Przejdź do następującego serwisu WWW: IBM Developer Kit: Security information (IBM Developer Kit: Informacje o zabezpieczeniach).
    2. Kliknij odsyłacz J2SE 5.0.
    3. Przewiń stronę w dół i kliknij odsyłacz IBM SDK Policy files (Pliki strategii IBM SDK). Wyświetlony zostanie serwis WWW zawierający pliki nieograniczonej strategii JCE dla pakietu SDK.
    4. Kliknij opcję Sign in (Zaloguj się), a następnie wprowadź identyfikator intranetowy IBM i hasło.
    5. Wybierz odpowiednie pliki nieograniczonej strategii JCE, a następnie kliknij opcję Continue (Kontynuuj).
    6. Wyświetl umowę licencyjną, a następnie kliknij opcję I Agree (Zgadzam się).
    7. Kliknij przycisk Pobierz teraz.
  3. Korzystając z komendy DSPAUT, upewnij się, że elementowi *PUBLIC jest nadane uprawnienie danych *RX, ale również że nie udostępniono żadnego uprawnienia obiektu plikom local_policy.jar i US_export_policy.jar znajdującym się w katalogu /QIBM/ProdData/Java400/jdk15/lib/security. Na przykład:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. W razie potrzeby użyj komendy CHGAUT do zmiany autoryzacji. Na przykład:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorytm szyfrowania danych [Tylko wersja 5]

Określa identyfikator URI algorytmu używanego w metodzie szyfrowania danych.

Obsługiwane są następujące algorytmy:

Domyślnie rozszerzenie JCE (Java Cryptography Extension) jest wysyłane wraz z szyframi, na które są nałożone ograniczenia lub które mają ograniczoną moc. Aby można było używać algorytmów szyfrowania AES (Advanced Encryption Standard), 192-bitowego i 256-bitowego, należy zastosować pliki dotyczące jurysdykcji. Więcej informacji zawiera opis pola Algorytm szyfrowania klucza.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Pojęcia pokrewne
Zadania pokrewne
Odsyłacze pokrewne
Kolekcja informacji o szyfrowaniu
Kolekcja wskaźników kluczy


Nazwa pliku: uwbs_encryptrsb.html