Określa identyfikator URI (Uniform Resource Identifier) algorytmu używanego w
metodzie szyfrowania klucza.
Na serwerze aplikacji udostępnione są następujące algorytmy:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Przy
pracy z pakietem Software Development Kit (SDK) 1.4 lista obsługiwanych
algorytmów transportu kluczy nie zawiera tego algorytmu. Ten algorytm pojawia się na liście
obsługiwanych algorytmów transportu klucza w pakiecie SDK w wersji 1.5 lub
późniejszej.
Domyślnie algorytm RSA-OAEP używa algorytmu generowania streszczenia
komunikatów SHA1 do obliczenia streszczenia komunikatu w ramach operacji
szyfrowania. Opcjonalnie można użyć algorytmu generowania streszczenia
komunikatów SHA256 lub SHA512, określając właściwość algorytmu szyfrowania
klucza. Nazwa właściwości:
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Wartością właściwości jest jeden z następujących identyfikatorów URI metody
generowania streszczenia:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Domyślnie algorytm RSA-OAEP używa łańcucha pustego
jako opcjonalnego łańcucha oktetów kodowania dla właściwości OAEPParams. Określając właściwość algorytmu szyfrowania klucza, można podać jawny łańcuch
oktetów kodowania. Jako nazwę właściwości można podać
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams.
Wartością właściwości jest wartość łańcucha oktetów zakodowana w formacie Base
64.
Ważne: Taką metodę generowania streszczenia i właściwości OAEPParams
można ustawić tylko po stronie generatora. Po stronie konsumenta te właściwości
są odczytywane z przychodzącego komunikatu SOAP (Simple Object Access
Protocol).
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Ograniczenie: Nie należy używać algorytmu szyfrowania 192-bitowego, jeśli
konfigurowana aplikacja ma być zgodna z profilem BSP (Basic Security Profile).
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Platformy serwerów aplikacji i pakiet
IBM
Developer Kit,
Java
Technology Edition 1.4.2
Domyślnie rozszerzenie JCE
(Java
Cryptography Extension) jest dostarczane razem z szyframi, na które są nałożone
ograniczenia lub które mają ograniczoną moc.
Aby można było używać algorytmów szyfrowania AES (Advanced Encryption
Standard) 192-bitowego i 256-bitowego, konieczne jest zastosowanie
plików nieograniczonej strategii jurysdykcji. Przed pobraniem tych plików strategii należy wykonać kopie zapasowe
istniejących plików
strategii(local_policy.jar i
US_export_policy.jar w katalogu
WAS_HOME/jre/lib/security/), jeśli oryginalne pliki mają być
odtwarzane w późniejszym czasie.
Ostrzeżenie: Pakiety poprawek zawierające aktualizacje pakietu SDK
(Software Development Kit) mogą nadpisać pliki nieograniczonej strategii. Przed
zastosowaniem pakietu poprawek należy utworzyć kopię zapasową plików
nieograniczonej strategii, a po zastosowaniu pakietu poprawek ponownie
zastosować te pliki.
Ważne: W danym kraju mogą istnieć
ograniczenia dotyczące importowania, posiadania i używania oprogramowania
szyfrującego lub jego dalszego eksportowania do innych krajów. Przed
pobraniem i użyciem plików nieograniczonej strategii należy sprawdzić
przepisy dotyczące importowania, posiadania i używania
oprogramowania szyfrującego oraz jego dalszego eksportowania
obowiązujące w
danym kraju, aby określić, czy jest to dozwolone.
Aby pobrać pliki strategii, należy wykonać
jeden z następujących zestawów kroków:
Dla platform serwerów aplikacji
wykorzystujących narzędzie
IBM
Developer Kit,
Java
Technology Edition w wersji 1.4.2, która obejmuje platformy
AIX,
Linux
i
Windows,
wykonaj następujące kroki w celu uzyskania plików strategii dotyczących
nieograniczonej jurysdykcji:
- Przejdź do następującego serwisu WWW:
IBM
developerWorks: Security Information (IBM developerWorks: Informacje o
zabezpieczeniach).
- Kliknij opcję
Java
1.4.2.
- Kliknij opcję Pliki strategii SDK
IBM.
Zostanie wyświetlony serwis WWW zawierający pliki
strategii JCE bez ograniczeń dla SDK 1.4.
- Wprowadź identyfikator użytkownika i hasło lub zarejestruj się w firmie
IBM,
aby pobrać pliki strategii. Pliki strategii są pobierane na komputer użytkownika.
Dla platform serwerów aplikacji, które
wykorzystują narzędzia JDK 6
(Java
SE Development Kit 6) w wersji 1.4.2 dla Sun, w tym dla środowisk Solaris i
HP-UX, wykonaj następujące kroki, aby uzyskać pliki strategii dotyczące
nieograniczonej jurysdykcji.
- Przejdź do następującego serwisu WWW (w języku angielskim):
Download
Java 2 Platform, Standard Edition, 1.4.2
(J2SE) (Pobieranie środowiska Java 2 Platform, Standard Edition 1.4.2 -
J2SE).
- Kliknij opcję Obszar archiwum.
- Znajdź informację o plikach JCE
(Java Cryptography Extension) Unlimited Strength Jurisdiction Policy
Files 1.4.2 i kliknij opcję Download (Pobierz). Pliki strategii zostaną pobrane na komputer użytkownika.
Po wykonaniu jednego z tych zestawów kroków dwa pliki JAR (archiwum
Java) zostaną
umieszczone w katalogu
jre/lib/security/ wirtualnej maszyny języka
Java (JVM).
Platforma serwera aplikacji i pakiet
IBM
Developer Kit,
Java
Technology Edition 5
Domyślnie rozszerzenie JCE
(Java
Cryptography Extension) jest dostarczane razem z szyframi, na które są nałożone
ograniczenia lub które mają ograniczoną moc.
Aby można było używać algorytmów szyfrowania AES (Advanced Encryption
Standard) 192-bitowego i 256-bitowego, konieczne jest zastosowanie
plików nieograniczonej strategii jurysdykcji. Jeśli oryginalne
pliki mają zostać nadpisane, przed pobraniem nowych plików
strategii należy utworzyć kopię zapasową plików istniejących strategii
(local_policy.jar i US_export_policy.jar w katalogu
katalog_główny_produktu_/jre/lib/security/), aby zabezpieczyć
się na wypadek potrzeby ich odtworzenia
w późniejszym czasie.
Ważne: W danym kraju mogą istnieć
ograniczenia dotyczące importowania, posiadania i używania oprogramowania
szyfrującego lub jego dalszego eksportowania do innych krajów. Przed
pobraniem i użyciem plików nieograniczonej strategii należy sprawdzić
przepisy dotyczące importowania, posiadania i używania
oprogramowania szyfrującego oraz jego dalszego eksportowania
obowiązujące w
danym kraju, aby określić, czy jest to dozwolone.
Aby pobrać pliki strategii, należy wykonać
jeden z następujących zestawów kroków:
- W przypadku platform serwerów aplikacji korzystających z pakietu
IBM
Developer Kit,
Java
Technology Edition 5 pliki nieograniczonej strategii jurysdykcji można uzyskać,
wykonując następujące kroki:
- Przejdź do następującego serwisu WWW:
IBM
developerWorks: Security Information (IBM developerWorks: Informacje o
zabezpieczeniach).
- Kliknij opcję
Java
5.
- Kliknij opcję Pliki strategii SDK
IBM.
Zostanie wyświetlony serwis WWW zawierający plik
strategii JCE bez ograniczeń dla SDK 5.
- Wprowadź identyfikator użytkownika i hasło lub zarejestruj się w firmie
IBM,
aby pobrać pliki strategii. Pliki strategii są pobierane na komputer użytkownika.
Po wykonaniu tych zestawów kroków dwa pliki JAR (archiwum
Java) zostaną umieszczone w
katalogu
jre/lib/security/ wirtualnej maszyny języka
Java (JVM).
IBM Software Development Kit 1.4:
W przypadku systemu operacyjnego IBM i
oraz pakietu IBM Software Development Kit
1.4 strojenie zabezpieczeń usług Web Service nie jest wymagane. Pliki nieograniczonej strategii jurysdykcji dla pakietu
IBM
Software Development Kit 1.4 są automatycznie konfigurowane przy instalowaniu
wstępnie wymaganego oprogramowania.
- W przypadku systemu IBM i (uprzednio
zwanego również IBM i V5R3) oraz pakietu
IBM Software Development Kit 1.4
zainstaluj produkt Crypto Access Provider 128-bit (5722AC3).
- W przypadku systemu IBM i 5.4 oraz
pakietu IBM Software Development Kit 1.4
zainstaluj opcję 3 produktu 5722SS1: Extended Base Directory Support.
IBM
Software Development Kit 1.5:
W przypadku systemów IBM i 5.4 oraz
IBM i (uprzednio zwanego również
IBM i V5R3) oraz pakietu
IBM Software Development Kit 1.5 pliki
strategii jurysdykcji JCE z ograniczeniami są domyślnie skonfigurowane. Pliki
nieograniczonej strategii jurysdykcji JCE można pobrać z następującego serwisu
WWW:
IBM
developerWorks: Security Information 5 (IBM developerWorks: Informacje
o zabezpieczeniach 5).
Uwaga: Jeśli 32-bitowe środowisko
Java Platform, Standard Edition 6
(Java SE 6) dla systemu
IBM i jest włączone w ramach wirtualnej
maszyny języka Java (JVM) dla profilu
użytkownika, w kolejnych krokach należy zastąpić nazwę ścieżki
/QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre nazwą
/QIBM/ProdData/Java400/jdk15.
Ważne: W danym kraju mogą istnieć
ograniczenia dotyczące importowania, posiadania i używania oprogramowania
szyfrującego lub jego dalszego eksportowania do innych krajów. Przed
pobraniem i użyciem plików nieograniczonej strategii należy sprawdzić
przepisy dotyczące importowania, posiadania i używania
oprogramowania szyfrującego oraz jego dalszego eksportowania
obowiązujące w
danym kraju, aby określić, czy jest to dozwolone.
Aby skonfigurować pliki nieograniczonej strategii jurysdykcji dla systemu
IBM i oraz pakietu
IBM Software Development Kit 1.5:
- Utwórz kopie zapasowe następujących plików:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Pobierz pliki nieograniczonej strategii z serwisu WWW:
IBM
developerWorks: Security Information (IBM developerWorks: Informacje o
zabezpieczeniach) do katalogu
/QIBM/ProdData/Java400/jdk15/lib/security.
- Przejdź do następującego serwisu WWW: http://www.ibm.com/developerworks/java/jdk/security/index.html
- Kliknij odsyłacz J2SE 5.0.
- Przewiń stronę w dół i kliknij odsyłacz
IBM SDK Policy files (Pliki
strategii IBM SDK). Wyświetlony
zostanie serwis WWW zawierający pliki nieograniczonej strategii JCE dla
pakietu SDK.
- Kliknij opcję Sign in (Zaloguj się), a następnie wprowadź
identyfikator intranetowy IBM
i hasło.
- Wybierz odpowiednie pliki nieograniczonej strategii JCE, a następnie
kliknij opcję Continue (Kontynuuj).
- Wyświetl umowę licencyjną, a następnie kliknij opcję I Agree (Zgadzam się).
- Kliknij przycisk Pobierz teraz.
- Korzystając z komendy DSPAUT, upewnij się, że elementowi *PUBLIC jest nadane
uprawnienie danych *RX, ale również że nie udostępniono żadnego uprawnienia
obiektu plikom local_policy.jar i US_export_policy.jar
znajdującym się w katalogu /QIBM/ProdData/Java400/jdk15/lib/security.
Na przykład:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- W razie potrzeby użyj komendy CHGAUT do zmiany autoryzacji. Na przykład:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Niestandardowe algorytmy dla poziomu komórki
Aby określić algorytmy niestandardowe na poziomie komórki,
wykonaj następujące kroki:
- Kliknij opcję Zabezpieczenia > Środowisko wykonawcze zabezpieczeń
JAX-WS i JAX-RPC.
- W obszarze Właściwości dodatkowe kliknij opcję Odwzorowania
algorytmów.
- Kliknij opcję Nowe, aby utworzyć nowe odwzorowanie algorytmu, albo
kliknij nazwę istniejącego odwzorowania algorytmu, aby je zmodyfikować.
- W obszarze Właściwości dodatkowe kliknij opcję Identyfikator URI algorytmu.
- Kliknij opcję Nowy aby utworzyć nowy identyfikator URI algorytmu. W polu
Typ algorytmu należy określić Szyfrowanie klucza, aby wyświetlić
konfigurację w polu Algorytm szyfrowania klucza w panelu ustawień
konfiguracyjnych informacji o szyfrowaniu.
Algorytmy niestandardowe na poziomie serwera
Aby określić algorytmy niestandardowe na poziomie serwera,
wykonaj następujące kroki:
- Kliknij opcję nazwa_serwera.
- W obszarze Zabezpieczenia kliknij opcję Środowisko wykonawcze zabezpieczeń JAX-WS i JAX-RPC.
Środowisko z różnymi wersjami: W komórce z węzłami mieszanymi, która zawiera serwer
korzystający z produktu WebSphere Application Server w wersji 6.1 lub wcześniejszej, kliknij opcję
Usługi Web Service: Domyślne powiązania
zabezpieczeń usług Web Service.
mixv
- W obszarze Właściwości dodatkowe kliknij opcję Odwzorowania
algorytmów.
- Kliknij opcję Nowe, aby utworzyć nowe odwzorowanie algorytmu, albo
kliknij nazwę istniejącego odwzorowania algorytmu, aby je zmodyfikować.
- W obszarze Właściwości dodatkowe kliknij opcję Identyfikator URI algorytmu.
- Kliknij opcję Nowy aby utworzyć nowy identyfikator URI algorytmu. W polu
Typ algorytmu należy określić Szyfrowanie klucza, aby wyświetlić
konfigurację w polu Algorytm szyfrowania klucza w panelu ustawień
konfiguracyjnych informacji o szyfrowaniu.