Paramètres de configuration des informations de chiffrement : Méthodes

Cette page permet de configurer les paramètres de chiffrement et de déchiffrement pour les méthodes de canonisation, de prétraitement et de signature.

Les spécifications indiquées dans cette page pour la méthode de signature, la méthode simplifiée et la méthode de canonisation sont disponibles dans le document W3C (World Wide Web Consortium) intitulé, XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.

Pour afficher cette page de la console d'administration, suivez la procédure ci-après.
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere nom_application et procédez comme suit :
    • Cliquez sur Gestion des modules > nom_fichier_URI > Services Web : Liaisons de sécurité du client. Dans la section Liaison de l'émetteur de demande, cliquez sur Editer. Sous Propriétés de la sécurité des services Web, cliquez sur Informations de chiffrement.
    • Sous Modules, cliquez sur Gestion des modules > nom_fichier_URI > Services Web : Liaisons de sécurité du serveur. Dans la section Liaison d'émetteur de réponse, cliquez sur Editer. Sous Propriétés de la sécurité des services Web, cliquez sur Informations de chiffrement.
  2. Sélectionnez Aucune ou Informations de chiffrement dédiées. Le serveur d'applications peut comporter l'une des deux configurations de chiffrement pour les liaisons d'émetteur de demande ou d'émetteur de réponse, ou bien aucune. Si vous n'utilisez pas le chiffrement, sélectionnez Aucune. Pour configurer le chiffrement pour l'une de ces deux liaisons, sélectionnez Informations de chiffrement dédiées et indiquez les paramètres de configuration à l'aide des zones décrites dans cette rubrique.
Nom des informations de chiffrement [Version 5 only]

Spécifie le nom de la configuration du localisateur de clé chargé de récupérer la clé utilisée pour la signature numérique XML et le chiffrement XML.

Référence du localisateur de clé [Version 5 only]

Indique le nom utilisé pour référencer le localisateur de clé.

Vous pouvez configurer cette option au niveau de la cellule, du serveur et de l'application. Les configurations listées dans la zone sont une combinaison des configurations définies à ces trois niveaux.

Vous pouvez configurer cette option au niveau du serveur et de l'application. Les configurations listées dans la zone sont une combinaison des configurations définies à ces deux niveaux.

Pour configurer les localisateurs de clé au niveau de la cellule, procédez comme suit :
  1. Cliquez sur Sécurité > Modules d'exécution de sécurité JAX-WS et JAX-RPC.
  2. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
Pour configurer les localisateurs de clé au niveau d'un serveur, procédez comme suit :
  1. Cliquez sur Serveurs > Types de serveurw > Serveurs d'applications WebSphere > nom_serveur.
  2. Sous Sécurité, cliquez sur Module d'exécution de la sécurité JAX-WS et JAX-RPC.
    Environnement de version mixte : Dans une cellule de noeuds mixtes avec un serveur exécutant WebSphere Application Server version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des services Web.mixv
  3. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
Pour configurer les localisateurs de clé au niveau d'une application, procédez comme suit :
  1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSpherenom_application.
  2. Sous Modules, cliquez sur Gestion des modules > nom_URI.
  3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux localisateurs de clé pour les liaisons suivantes :
    • Pour l'émetteur de demande, cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison de l'émetteur de demande, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
    • Pour le récepteur de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Dans la section Liaison de récepteur de demande, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
    • Pour l'émetteur de réponse, cliquez sur Services Web : Liaisons de sécurité du serveur. Dans la section Liaison d'émetteur de réponse, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
    • Pour le récepteur de réponse, cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison de récepteur de réponse, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
Nom de clé de chiffrement [Version 5 only]

Indique le nom de la clé de chiffrement qui est converti en clé réelle par le localisateur de clé.

Type de données Chaîne
Algorithme de chiffrement des clés [Version 5 only]

Indique l'URI (uniform resource identifier) de l'algorithme de la méthode de chiffrement de clés.

Les algorithmes suivants sont pris en charge :
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    Lorsqu'elle s'exécute avec IBM Software Development Kit (SDK) Version 1.4, la liste des algorithmes de transport de clé prise en charge n'inclut pas cet algorithme. Cet algorithme apparaît dans la liste des algorithmes de transport de clé pris en charge lors de l'exécution avec JDK version 1.5 ou ultérieure.

    Par défaut, l'algorithme RSA-OAEP utilise l'algorithme de synthèse de message SHA1 pour calculer une synthèse de message pendant le chiffrement. Vous pouvez éventuellement utiliser l'algorithme de synthèse de message SHA256 ou SHA512 en indiquant une propriété d'algorithme de chiffrement des clés. Le nom de la propriété est : com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. La valeur de la propriété correspond à l'une des URI suivantes de la méthode simplifiée :
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Par défaut, l'algorithme RSA-OAEP utilise une chaîne nulle pour la chaîne d'octets de codage facultative de OAEPParams. Vous pouvez fournir une chaîne d'octets de codage en définissant une propriété d'algorithme de chiffrement des clés. Pour le nom de la propriété, vous pouvez utiliser com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. La valeur de la propriété correspond à la valeur codée en base 64 de la chaîne d'octets.
    Important : Vous pouvez configurer cette méthode simplifiée et les propriétés OAEPParams côté générateur uniquement. Côté client, ces propriétés sont lues à partir du message SOAP entrant.
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Pour utiliser l'algorithme de chiffrement de clé 192 bits, vous devez télécharger le fichier de règles JCE (Java Cryptography Extension), version non limitée.
    Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Pour utiliser l'algorithme de chiffrement de clé 256 bits, vous devez télécharger le fichier de règles JCE sans restriction.
Remarque : Si une erreur InvalidKeyException survient et que vous utilisez l'algorithme de chiffrement 129xxx ou 256xxx, les fichiers de règles sans restriction peuvent ne pas exister dans votre configuration.

Java Cryptography Extension

Par défaut, l'extension JCE (Java Cryptography Extension) est fournie avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES (Advanced Encryption Standard) 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées.

Remarque : Avant de télécharger ces fichiers de règles, sauvegardez les fichiers de règles existants (local_policy.jar et US_export_policy.jar dans le répertoire RACINE_WAS/jre/lib/security/) pour le cas où vous auriez à les restaurer ultérieurement.
Important : Il peut exister dans votre pays des restrictions sur l'importation, la possession, l'utilisation ou la ré-exportation vers un autre pays des logiciels de chiffrement. Avant de télécharger ou d'utiliser les fichiers de règles sans restriction, vous devez consulter la législation de votre pays et la réglementation en vigueur en ce qui concerne l'importation, la possession, l'utilisation et la réexportation des logiciels de chiffrement, afin de déterminer si elles sont autorisées.

Plateformes de serveur d'applications et IBM Developer Kit, Java Technology Edition Version 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Pour télécharger les fichiers de règles, suivez l'une des procédures suivantes :
  • [AIX] [Linux] [Windows] [z/OS] Pour les plateformes de serveur d'applications utilisant IBM Developer Kit, Java Technology Edition Version 1.4.2, y compris les plateformes AIX, Linux et Windows, procédez comme suit pour obtenir des fichiers de règles sans restriction :
    1. Accédez au site Web suivant : IBM developer kit: Security information
    2. Cliquez sur Java 1.4.2
    3. Cliquez sur IBM SDK Policy files.

      Le site Web des fichiers de règles sans restriction JCE pour SDK 1.4 s'affiche.

    4. Entrez votre ID utilisateur et votre mot de passe ou enregistrez-vous auprès d'IBM pour télécharger les fichiers de règles. Ces derniers sont téléchargés sur votre machine.
  • [Solaris] [HP-UX] Pour les plateformes de serveur d'applications utilisant le kit JDK Java SE Development Kit 6 (JDK 6) Version 1.4.2 basées sur Sun, y compris les environnements Solaris et la plateforme HP-UX, procédez comme suit pour obtenir des fichiers de règles sans restriction :
    1. Accédez au site Web suivant : http://java.sun.com/j2se/1.4.2/download.html
    2. Cliquez sur Archive area.
    3. Au niveau des informations Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2, cliquez sur Download. Le fichier jce_policy-1_4_1.zip est téléchargé sur votre machine.
Après avoir exécuté ces opérations, deux fichiers JAR (Java archive) sont placés dans le répertoire de la machine virtuelle Java (JVM) jre/lib/security/.

Système d'exploitation IBM i et IBM SDK 1.4 [iSeries]

Pour le système d'exploitation IBM i et IBM SDK Version 1.4, l'optimisation de la sécurité des services Web n'est pas nécessaire. Les fichiers de règles de juridiction sans restriction pour le kit SDK IBM version 1.4 sont automatiquement configurés lors de l'installation des logiciels prérequis.

Pour le système d'exploitation IBM i 5.4 et IBM SDK Version 1.4, les fichiers de règles sans restriction d'IBM Java Developer Kit 1.4 sont automatiquement configurés à l'installation du produit 5722SS1 Option 3, Extended Base Directory Support.

Pour le système d'exploitation IBM i (anciennement appelé IBM i V5R3) et IBM SDK Version 1.4, les fichiers de règles sans restriction d'IBM SDK Version 1.4 sont automatiquement configurés à l'installation du produit 5722AC3, Crypto Access Provider 128 bits.

Système d'exploitation IBM i et IBM SDK 1.5 [iSeries]

Pour IBM i 5.4 et IBM i (anciennement appelé IBM i V5R3) et IBM SDK 1.5, les fichiers de règles JCE avec restriction sont configurés par défaut. Vous pouvez télécharger les fichiers de règles JCE sans restriction à partir du site Web suivant : Security information: IBM J2SE 5 SDKs

Pour configurer les fichiers de règles sans restriction pour le système d'exploitation IBM i et IBM SDK Version 1.5 :
  1. Effectuez une sauvegarde de ces fichiers :
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Téléchargez les fichiers de règles sans restriction de IBM developer kit: Security information vers le répertoire /QIBM/ProdData/Java400/jdk15/lib/security.
    1. Accédez à ce site Web : IBM developer kit: Security information
    2. Cliquez sur J2SE 5.0.
    3. Faites défiler la liste et cliquez sur IBM SDK Policy files. Les fichiers de règles JCE non restreintes pour le site Web SDK s'affichent.
    4. Cliquez sur Sign in et saisissez votre ID et mot de passe Intranet IBM.
    5. Sélectionnez les fichiers de règles sans restriction appropriés, puis cliquez sur Continuer.
    6. Lisez le contrat de licence et cliquez sur I Agree.
    7. Cliquez sur Download Now.
  3. Avec la commande DSPAUT, vérifiez que *PUBLIC bénéficie des droits sur les données *RX mais vérifiez également qu'aucun droit sur les objets n'a été accordé aux fichiers local_policy.jar et US_export_policy.jar dans le répertoire /QIBM/ProdData/Java400/jdk15/lib/security. Par exemple :
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. Utilisez la commande CHGAUT pour modifier les droits, au besoin. Par exemple :
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorithme de chiffrement des données [Version 5 only]

Indiquez les URI (Uniform Resource Identifier) d'algorithme de la méthode de chiffrement de données.

Les algorithmes suivants sont pris en charge :

Par défaut, l'extension JCE est livrée avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées. Pour plus d'informations, voir la description de la zone Algorithme de chiffrement de clé.




Les liens marqués (en ligne) requièrent un accès à Internet.

Concepts associés
Tâches associées
Référence associée
Collection des informations de chiffrement
Collection de localisateurs de clé


Nom du fichier : uwbs_encryptrsb.html