加密資訊配置設定:訊息組件

請利用這個頁面來配置加密和解密參數。您可以利用這些參數來加密及解密訊息的各個組件,包括主體和記號。

如果要檢視管理主控台畫面中有關 Cell 層次的加密資訊,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設產生者連結」或「JAX-RPC 預設消費者連結」下,按一下加密資訊
  3. 按一下新建來建立新的加密配置,或按一下現有的加密配置名稱。
如果要檢視管理主控台畫面中有關伺服器層次的加密資訊,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設產生者連結」或「JAX-RPC 預設消費者連結」下,按一下加密資訊
  4. 按一下新建來建立新的加密配置,或按一下現有的加密配置名稱。
如果要在應用程式層次檢視這個管理主控台頁面,以取得加密資訊,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下模組更新 > module_name
  3. 在「Web 服務安全內容」下,您可以存取下列連結的加密資訊:
    • 如果是要求產生者,請按一下 Web 服務:用戶端安全連結。 在「要求產生者(傳送端)連結」下,按一下編輯自訂。 在「必要內容」下,按一下加密資訊
    • 如果是要求消費者,請按一下 Web 服務:伺服器安全連結。 在「要求消費者(接收端)連結」下,按一下編輯自訂。 在「必要內容」下,按一下加密資訊
    • 如果是回應產生者,請按一下 Web 服務:伺服器安全連結。 在「回應產生者(傳送端)連結」下,按一下編輯自訂。 在「必要內容」下,按一下加密資訊
    • 如果是回應消費者,請按一下 Web 服務:用戶端安全連結。 在「回應消費者(接收端)連結」下,按一下編輯自訂。 在「必要內容」下,按一下加密資訊
  4. 按一下新建來建立新的加密配置,或按一下現有的加密配置名稱。
加密資訊名稱 [Version 5 and 6 only]

指定加密資訊的名稱。

資料類型 String
資料加密演算法 [Version 5 and 6 only]

指定資料加密方法的演算法統一資源識別碼 (URI)。

以下是支援的演算法:

依預設,Java Cryptography Extension (JCE) 隨附的密碼強度有限或受到限制的。如果要使用 192 位元和 256 位元的進階加密標準 (AES) 加密演算法,您必須套用無限適用範圍的原則檔。 如需相關資訊,請參閱金鑰加密演算法欄位說明。

金鑰定位器參照 [Version 5 only]

請指定金鑰定位器配置的名稱,用來擷取 XML 數位簽章和 XML 加密的金鑰。

5.x 版應用程式所使用的要求接收端和回應接收端連結會顯示「金鑰定位器參照」欄位。

您可以在伺服器層次、Cell 層次和應用程式層次上配置這些金鑰定位器參照選項。 在欄位中列出的配置是在這三個層次上的配置組合。

您可以在伺服器層次和應用程式層次上配置這些金鑰定位器參照選項。 在欄位中列出的配置是在這兩個層次上的配置組合。

您可以在下列層次上指定下列連結的加密金鑰配置:
表 1. 加密金鑰連結配置. 使用這些配置來加密和解密訊息的各個部分。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設產生者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下金鑰定位器
預設消費者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下金鑰定位器
預設產生者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下金鑰定位器
預設消費者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下金鑰定位器
要求傳送端 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 按一下 Web 服務:用戶端安全連結。 在「要求傳送端連結」下,按一下編輯
  4. 在「其他內容」下,按一下金鑰定位器
要求接收端 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 按一下 Web 服務:伺服器安全連結。 在「要求接收端連結」下,按一下編輯
  4. 在「其他內容」下,按一下金鑰定位器
回應傳送端 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 按一下 Web 服務:伺服器安全連結。 在「回應傳送端連結」下,按一下編輯
  4. 在「其他內容」下,按一下金鑰定位器
回應接收端 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 按一下 Web 服務:用戶端安全連結。 在「回應接收端連結」下,按一下編輯
  4. 在「其他內容」下,按一下金鑰定位器
金鑰加密演算法 [Version 5 and 6 only]

指定金鑰加密方法的演算法統一資源識別碼 (URI)。

以下是應用程式伺服器提供的演算法:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    當搭配軟體開發套件 (SDK) 1.4 版來執行時,支援的金鑰傳輸演算法清單不包括這一個演算法。 當搭配「軟體開發套件 (SDK)」1.5 版(或以上)來執行時,這個演算法會出現在支援的金鑰傳輸演算法清單中。

    依預設,RSA-OAEP 演算法會利用 SHA1 訊息摘要演算法,將訊息摘要當作加密作業的一部分來計算。 您可以選擇性地指定金鑰加密演算法內容來使用 SHA256 或 SHA512 訊息摘要演算法。 內容名稱為 com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。內容值是摘要方法的下列 URI 之一:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    依預設,RSA-OAEP 演算法會在 OAEPParams 的選用性編碼八進位字串上,使用空值字串。 您可以指定金鑰加密演算法內容來提供明確的編碼八進位字串。 對於內容名稱,您可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。 內容值是八進位字串的基本 64 編碼值。
    重要: 您只能在產生者端設定這些摘要方法及 OAEPParams 內容。 在消費者端,這些內容是從送入的 SOAP 訊息中讀取。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192
    限制: 為了確保配置的應用程式與基本安全設定檔 (BSP) 的互通性,請勿使用 192 位元資料加密演算法。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256

應用程式伺服器平台和 IBM Developer Kit Java Technology Edition 1.4.2 版 [AIX Solaris HP-UX Linux Windows] [z/OS]

依預設,Java Cryptography Extension (JCE) 檢附的密碼強度有限或受到限制的。如果要使用 192 位元和 256 位元的進階加密標準 (AES) 加密演算法,您必須套用無限適用範圍的原則檔。 在下載這些原則檔之前,請先備份現有的原則檔(在 WAS_HOME/jre/lib/security/ 目錄中的 local_policy.jarUS_export_policy.jar),再改寫它們,以預防稍後需要還原原始檔案。

小心: 包含「軟體開發套件 (Software Development Kit, SDK)」更新項目的修正套件,可能會改寫未限定的原則檔。請在套用修正套件之前備份未限定的原則檔,然後在套用修正套件之後重新套用這些檔案。
重要: 您的原住地對於加密軟體的輸入、佔有、使用或重新輸出至另一個國家或地區等方面可能會有一些限制。在下載或使用未限定的原則檔之前,您必須先查核您所在國家或地區的法令、規章,以及其對於加密軟體的輸入、佔有、使用或重新輸出等方面的政策,來判定是否允許這麼做。
如果要下載原則檔,請完成下列其中一組步驟:
  • [AIX] [Linux] [Windows] 如果是使用 IBM Developer Kit Java Technology Edition 1.4.2 版的應用程式伺服器平台(包括 AIX®、Linux® 和 Windows® 平台),請完成下列步驟來取得無限制適用範圍的原則檔:
    1. 請前往下列網站:IBM developerWorks:安全資訊
    2. 按一下 Java 1.4.2
    3. 按一下 IBM SDK 原則檔

      這時會顯示未限定的 SDK 1.4 網站 JCE 原則檔。

    4. 輸入您的使用者 ID 和密碼,或向 IBM 登錄來下載原則檔。這時會將原則檔下載至您的機器中。
  • [Solaris] 如果是使用以 Sun 為基礎的 Java SE Development Kit 6 (JDK 6) 1.4.2 版的應用程式伺服器平台(包括 Solaris 環境和 HP-UX 平台),請完成下列步驟來取得無限制適用範圍的原則檔:
    1. 請前往下列網站:Download , v 1.4.2 (Java EE)
    2. 按一下保存區域
    3. 找出「Java Cryptography Extension (JCE) 無限制強度適用範圍原則檔 1.4.2」資訊,然後按一下下載。原則檔即會下載至您的機器中。
在遵循其中一組步驟之後,兩個 Java 保存檔 (JAR) 即會放到 Java 虛擬機器 (JVM) jre/lib/security/ 目錄中。

應用程式伺服器平台和 IBM Developer Kit Java Technology Edition 第 5 版 [AIX Solaris HP-UX Linux Windows] [z/OS]

依預設,Java Cryptography Extension (JCE) 檢附的密碼強度有限或受到限制的。如果要使用 192 位元和 256 位元的進階加密標準 (AES) 加密演算法,您必須套用無限適用範圍的原則檔。 在下載這些原則檔之前,請先備份現有的原則檔(在 WAS_HOME/jre/lib/security/ 目錄中的 local_policy.jarUS_export_policy.jar),再改寫它們,以預防稍後需要還原原始檔案。

重要: 您的原住地對於加密軟體的輸入、佔有、使用或重新輸出至另一個國家或地區等方面可能會有一些限制。在下載或使用未限定的原則檔之前,您必須先查核您所在國家或地區的法令、規章,以及其對於加密軟體的輸入、佔有、使用或重新輸出等方面的政策,來判定是否允許這麼做。
如果要下載原則檔,請完成下列其中一組步驟:
  • 如果是使用 IBM Developer Kit, Java Technology Edition 第 5 版的應用程式伺服器平台,您可以完成下列步驟來取得無限制適用範圍的原則檔:
    1. 請前往下列網站:IBM developerWorks:安全資訊
    2. 按一下 Java 5
    3. 按一下 IBM SDK 原則檔

      這時會顯示未限定的 SDK 5 網站 JCE 原則檔。

    4. 輸入您的使用者 ID 和密碼,或向 IBM 登錄來下載原則檔。這時會將原則檔下載至您的機器中。
在遵循這幾組步驟之後,兩個 Java 保存檔 (JAR) 即會放到 Java 虛擬機器 (JVM) jre/lib/security/ 目錄中。

IBM 軟體開發套件 1.4 版: [iSeries]

如果是 IBM i 作業系統和 IBM 軟體開發套件 1.4 版,不需要調整 Web 服務安全。 當安裝必備軟體時,會自動配置 IBM 軟體開發套件 1.4 版未限定適用範圍的原則檔。
  • 如果是 IBM i(早期稱為 IBM i V5R3)和 IBM 軟體開發套件 1.4 版,請安裝產品 5722AC3(加密存取提供者,128 位元)。
  • 如果是 IBM i 5.4 和 IBM 軟體開發套件 1.4 版,請安裝產品 5722SS1 選項 3(延伸基本目錄支援)。

IBM 軟體開發套件 1.5 版: [iSeries]

對於 IBM i 5.4 和 IBM i(早期稱為 IBM i V5R3)和 IBM 軟體開發套件 1.5,依預設會配置限定的 JCE 適用範圍原則檔。 您可以從下列網站下載未限定的 JCE 適用範圍原則檔:IBM developerWorks:安全資訊第 5 版

註: 如果適用於 IBM i 的 Java Platform Standard Edition 6 (Java SE 6) 32 位元是針對您的設定檔而啟用的 Java 虛擬機器 (JVM),請用 /QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre 替代 /QIBM/ProdData/Java400/jdk15,作為下列各步驟中的路徑名稱。
重要: 您的原住地對於加密軟體的輸入、佔有、使用或重新輸出至另一個國家或地區等方面可能會有一些限制。在下載或使用未限定的原則檔之前,您必須先查核您所在國家或地區的法令、規章,以及其對於加密軟體的輸入、佔有、使用或重新輸出等方面的政策,來判定是否允許這麼做。
如果要配置 IBM i 和 IBM 軟體開發套件 1.5 版未限定的適用範圍原則檔:
  1. 備份下列檔案:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 從 IBM developerWorks:安全資訊中,將未限定的原則檔下載到 /QIBM/ProdData/Java400/jdk15/lib/security 目錄。
    1. 移至這個網站:http://www.ibm.com/developerworks/java/jdk/security/index.html
    2. 按一下 J2SE 5.0
    3. 向下捲動,再按一下 IBM SDK 原則檔。這時會顯示未限定的 SDK 網站 JCE 原則檔。
    4. 按一下登入,提供您的 IBM 內部網路 ID 和密碼。
    5. 選取適當的未限定 JCE 原則檔,再按一下繼續
    6. 檢視授權合約,再按一下我同意
    7. 按一下立即下載
  3. 利用 DSPAUT 指令,確定已將 *RX 資料權限授與 *PUBLIC,但也確定未將任何物件權限同時提供給 /QIBM/ProdData/Java400/jdk15/lib/security 目錄中的 local_policy.jarUS_export_policy.jar 檔。 例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要的話,利用 CHGAUT 指令來變更授權。例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)

Cell 層次自訂演算法

如果要在 Cell 層次上指定自訂演算法,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下演算法對映
  3. 按一下新建來指定新的演算法對映,或按一下現有的配置名稱來修改其設定。
  4. 在「其他內容」下,按一下演算法 URI
  5. 按一下新建來建立新的演算法 URI。您必須在演算法類型欄位中指定金鑰加密,讓配置顯示在「加密資訊配置設定」畫面的金鑰加密演算法欄位中。

伺服器層次自訂演算法

如果要在伺服器層次上指定自訂演算法,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下演算法對映
  4. 按一下新建來指定新的演算法對映,或按一下現有的配置名稱來修改其設定。
  5. 在「其他內容」下,按一下演算法 URI
  6. 按一下新建來建立新的演算法 URI。您必須在演算法類型欄位中指定金鑰加密,讓配置顯示在「加密資訊配置設定」畫面的金鑰加密演算法欄位中。
加密金鑰資訊 [Version 5 and 6 only]

指定用於加密之金鑰資訊參照的名稱。這項參照將由指定的金鑰定位器解析成實際的金鑰,並定義在金鑰資訊中。

[Version 6 only] 您必須對要求產生者和回應產生者連結指定一或零個加密金鑰配置。

[Version 6 only] 如果是回應消費者和要求消費者連結,您可以配置多個加密金鑰參照。 如果要建立新的加密金鑰參照,請在「其他內容」下,按一下金鑰資訊參照

您可以在下列層次上指定下列連結的加密金鑰配置:
表 2. 加密金鑰連結配置. 使用這些配置來加密和解密訊息的各個部分。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設產生者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設產生者連結」下,按一下金鑰資訊
預設消費者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設消費者連結」下,按一下金鑰資訊
預設產生者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設產生者連結」下,按一下金鑰資訊
預設消費者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設消費者連結」下,按一下金鑰資訊
要求產生者(傳送端)連結 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,按一下 Web 服務:用戶端安全連結
  4. 在「要求產生者(傳送端)連結」下,按一下編輯自訂
  5. 在「必要內容」下,按一下金鑰資訊
回應產生者(傳送端)連結 應用程式層次
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,按一下 Web 服務:伺服器安全連結
  4. 在「回應產生者(傳送端)連結」下,按一下編輯自訂
  5. 在「必要內容」下,按一下金鑰資訊
組件參照 [Version 6 only]

在部署描述子中,指定產生者連結的 <confidentiality> 元素名稱,或消費端連結元素的 <requiredConfidentiality> 元素名稱。

這個欄位僅使用於應用程式層次。




標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
相關參考
加密資訊集合
金鑰定位器集合
加密資訊配置設定:方法


檔名: uwbs_encryptrrb.html