加密資訊配置設定:方法

請利用這個頁面來配置簽章方法、摘要方法和標準化方法的加密和解密參數。

這個頁面列出之簽章方法、摘要方法和標準化方法的規格,都位於標題為 XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 的全球資訊網協會 (W3C) 文件中。

如果要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 application_name,並且完成下列其中一個步驟:
    • 按一下管理模組 > URI_file_name > Web 服務:用戶端安全連結。在「要求傳送端連結」下,按一下編輯。在「Web 服務安全內容」下,按一下加密資訊
    • 在「模組」下,按一下管理模組 > URI_file_name > Web 服務:伺服器安全連結。在「回應傳送端連結」下,按一下編輯。在「Web 服務安全內容」下,按一下加密資訊
  2. 選取專用加密資訊。 應用程式伺服器可以只設定一個或完全沒有要求傳送端和回應傳送端的加密配置,也可以完全沒有加密配置。如果您並未使用加密,請選取。 如果只要配置其中一種連結加密,請選取專用加密資訊,再利用這個主題說明的欄位來指定配置設定。
加密資訊名稱 [Version 5 only]

請指定金鑰定位器配置的名稱,用來擷取 XML 數位簽章和 XML 加密的金鑰。

金鑰定位器參照 [Version 5 only]

指定用來參照金鑰定位器的名稱。

您可以在 Cell 層次、伺服器層次和應用程式層次上,配置這些金鑰定位器參照選項。 在欄位中列出的配置是在這三個層次上的配置組合。

您可以在伺服器層次和應用程式層次上配置這些金鑰定位器參照選項。 在欄位中列出的配置是在這兩個層次上的配置組合。

如果要配置 Cell 層次的金鑰定位器,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下金鑰定位器
如果要配置伺服器層次的金鑰定位器,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下金鑰定位器
如果要配置應用程式層次的金鑰定位器,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,您可以存取下列連結的金鑰定位器:
    • 如果是要求傳送端,請按一下 Web 服務:用戶端安全連結。 在「要求傳送端連結」下,按一下編輯。在「其他內容」下,按一下金鑰定位器
    • 如果是要求接收端,請按一下 Web 服務:伺服器安全連結。 在「要求接收端連結」下,按一下編輯。在「其他內容」下,按一下金鑰定位器
    • 如果是回應傳送端,請按一下 Web 服務:伺服器安全連結。 在「回應傳送端連結」下,按一下編輯。在「其他內容」下,按一下金鑰定位器
    • 如果是回應接收端,請按一下 Web 服務:用戶端安全連結。 在「回應接收端連結」下,按一下編輯。在「其他內容」下,按一下金鑰定位器
加密金鑰名稱 [Version 5 only]

指定加密金鑰的名稱,指定的金鑰定位器會將它解析成實際的金鑰。

資料類型 String
金鑰加密演算法 [Version 5 only]

指定金鑰加密方法的演算法統一資源識別碼 (URI)。

以下是支援的演算法:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    當搭配 IBM® 軟體開發套件 (SDK) 1.4 版來執行時,支援的金鑰傳輸演算法清單不包括這個演算法。 必須安裝 JDK 1.5 或更新版本套件後,這個演算法才會出現在支援的金鑰傳輸演算法清單中。

    依預設,RSA-OAEP 演算法會利用 SHA1 訊息摘要演算法,將訊息摘要當作加密作業的一部分來計算。 您可以選擇性地指定金鑰加密演算法內容來使用 SHA256 或 SHA512 訊息摘要演算法。 內容名稱是 com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。 內容值是摘要方法的下列 URI 之一:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    依預設,RSA-OAEP 演算法會在 OAEPParams 的選用性編碼八進位字串上,使用空值字串。 您可以指定金鑰加密演算法內容來提供明確的編碼八進位字串。 對於內容名稱,您可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。 內容值是八進位字串的基本 64 編碼值。
    重要: 您只能在產生者端設定這些摘要方法及 OAEPParams 內容。 在消費者端,這些內容是從送入的 SOAP 訊息中讀取。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192。 如果要使用 192 位元金鑰加密演算法,您必須下載未限定的 Java™ Cryptography Extension (JCE) 原則檔。
    限制: 為了確保配置的應用程式與基本安全設定檔 (BSP) 的互通性,請勿使用 192 位元金鑰加密演算法。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256。 如果要使用 256 位元金鑰加密演算法,您必須下載未限定的 JCE 原則檔。
註: 如果發生 InvalidKeyException 錯誤,且您使用 129xxx 或 256xxx 加密演算法,則在您的配置中,可能不存在未限定的原則檔。

Java Cryptography Extension

依預設,Java Cryptography Extension (JCE) 隨附的密碼強度有限或受到限制的。如果要使用 192 位元和 256 位元的進階加密標準 (AES) 加密演算法,您必須套用無限適用範圍的原則檔。

註: 在下載這些原則檔之前,請先備份現有的原則檔(在 WAS_HOME/jre/lib/security/ 目錄中的 local_policy.jarUS_export_policy.jar),再改寫它們,以預防稍後需要還原原始檔案。
重要: 您的原住地對於加密軟體的輸入、佔有、使用或重新輸出至另一個國家或地區等方面可能會有一些限制。在下載或使用未限定的原則檔之前,您必須先查核您所在國家或地區的法令、規章,以及其對於加密軟體的輸入、佔有、使用或重新輸出等方面的政策,來判定是否允許這麼做。

應用程式伺服器平台和 IBM Developer Kit Java Technology Edition 1.4.2 版 [AIX Solaris HP-UX Linux Windows] [z/OS]

如果要下載原則檔,請完成下列其中一組步驟:
  • [AIX] [Linux] [Windows] [z/OS] 如果是使用 IBM Developer Kit Java Technology Edition 1.4.2 版的應用程式伺服器平台(包括 AIX®、Linux® 和 Windows® 平台),請完成下列步驟來取得無限制適用範圍的原則檔:
    1. 請前往下列網站:IBM Developer Kit:安全資訊
    2. 按一下 Java 1.4.2
    3. 按一下 IBM SDK 原則檔

      這時會顯示未限定的 SDK 1.4 網站 JCE 原則檔。

    4. 輸入您的使用者 ID 和密碼,或向 IBM 登錄來下載原則檔。這時會將原則檔下載至您的機器中。
  • [Solaris] [HP-UX] 如果是使用以 Sun 為基礎的 Java SE Development Kit 6 (JDK 6) 1.4.2 版的應用程式伺服器平台(包括 Solaris 環境和 HP-UX 平台),請完成下列步驟來取得無限制適用範圍的原則檔:
    1. 請前往下列網站:http://java.sun.com/j2se/1.4.2/download.html。
    2. 按一下保存區域
    3. 找出「Java Cryptography Extension (JCE) 無限制強度適用範圍原則檔 1.4.2」資訊,然後按一下下載。這時會將 jce_policy-1_4_1.zip 檔下載至您的機器中。
完成這些步驟之後,就會在 Java 虛擬機器 (JVM) jre/lib/security/ 目錄中放置兩個 Java 保存檔 (JAR)。

IBM i 作業系統和 IBM 軟體開發套件 1.4 版 [iSeries]

如果是 IBM i 作業系統和 IBM 軟體開發套件 1.4 版,不需要調整 Web 服務安全。 當安裝必備軟體時,會自動配置 IBM 軟體開發套件 1.4 版未限定適用範圍的原則檔。

如果是 IBM i 5.4 作業系統和 IBM 軟體開發套件 1.4 版,當您安裝產品 5722SS1 選項 3(延伸基本目錄支援)時,會自動配置 IBM Java Developer Kit 1.4 未限定適用範圍的原則檔。

如果是 IBM i 作業系統(早期稱為 IBM i V5R3)和 IBM 軟體開發套件 1.4 版,在安裝產品 5722AC3(加密存取提供者,128 位元)時,會自動配置 IBM 軟體開發套件 1.4 版未限定適用範圍的原則檔。

IBM i 作業系統和 IBM 軟體開發套件 1.5 [iSeries]

對於 IBM i 5.4 和 IBM i(早期稱為 IBM i V5R3)和 IBM 軟體開發套件 1.5,依預設會配置限定的 JCE 適用範圍原則檔。 您可以從下列網站下載未限定的 JCE 適用範圍原則檔:安全資訊:IBM J2SE 5 SDK

如果要配置 IBM i 作業系統和 IBM 軟體開發套件 1.5 版未限定的適用範圍原則檔:
  1. 備份下列檔案:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 從 IBM Developer Kit:安全資訊中,將未限定的原則檔下載到 /QIBM/ProdData/Java400/jdk15/lib/security 目錄。
    1. 請前往此網站:IBM Developer Kit:安全資訊
    2. 按一下 J2SE 5.0
    3. 向下捲動,再按一下 IBM SDK 原則檔。這時會顯示未限定的 SDK 網站 JCE 原則檔。
    4. 按一下登入,提供您的 IBM 內部網路 ID 和密碼。
    5. 選取適當的未限定 JCE 原則檔,再按一下繼續
    6. 檢視授權合約,再按一下我同意
    7. 按一下立即下載
  3. 利用 DSPAUT 指令,確定已將 *RX 資料權限授與 *PUBLIC,但也確定未將任何物件權限同時提供給 /QIBM/ProdData/Java400/jdk15/lib/security 目錄中的 local_policy.jarUS_export_policy.jar 檔。 例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要的話,利用 CHGAUT 指令來變更授權。例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
資料加密演算法 [Version 5 only]

指定資料加密方法的演算法統一資源識別碼 (URI)。

以下是支援的演算法:

依預設,JCE 會隨附強度有限的密碼。如果要使用 192 位元和 256 位元的 AES 加密演算法,您必須套用無限適用範圍的原則檔。如需相關資訊,請參閱金鑰加密演算法欄位說明。




標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
相關參考
加密資訊集合
金鑰定位器集合


檔名: uwbs_encryptrsb.html