Nastavení konfigurace informací o šifrování: Metody

Prostřednictvím této stránky můžete konfigurovat parametry šifrování a dešifrování pro metodu podpisu, metodu autentizace typu digest a metodu kanonizace.

Specifikace, které jsou uvedeny na této stránce pro metodu podpisu, metodu autentizace typu digest a metodu kanonizace, jsou umístěny v dokumentu W3C (World Wide Web Consortium), nazvaném XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 (Syntaxe a zpracování šifrování kódu XML: Doporučení W3C, 10. prosinec 2002).

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Aplikace > Typy aplikací > Podnikové aplikace platformy WebSphere název_aplikace a proveďte jeden z následujících kroků:
    • Klepněte na volbu Spravovat moduly > název_souboru_URI > Webové služby: vazby zabezpečení klienta. V části Vazba odesílatele požadavků klepněte na volbu Upravit. V části Vlastnosti zabezpečení webových služeb klepněte na volbu Informace o šifrování.
    • V části Moduly klepněte na volbu Spravovat moduly > název_souboru_identifikátoru_URI > Webové služby: vazby zabezpečení serveru. V části Vazba odesilatele odpovědí klepněte na volbu Upravit. V části Vlastnosti zabezpečení webových služeb klepněte na volbu Informace o šifrování.
  2. Vyberte volbu Žádné nebo Jednoúčelové informace o šifrování. Aplikační server může mít buď jednu, nebo žádnou konfiguraci šifrování pro vazby odesílatele požadavků a odesílatele odpovědí. Pokud nepoužíváte šifrování, vyberte hodnotu Žádné. Chcete-li konfigurovat šifrování pro libovolnou z těchto dvou vazeb, vyberte možnost Jednoúčelové informace o šifrování a zadejte nastavení konfigurace pomocí polí popsaných v tomto tématu.
Název informací o šifrování [Pouze verze 5]

Určuje název konfigurace lokátoru klíčů, která načítá klíč pro digitální podpis XML a šifrování kódu XML.

Odkaz na lokátor klíče [Pouze verze 5]

Určuje název sloužící jako odkaz na lokátor klíčů.

Tyto volby odkazu na lokátor klíče můžete konfigurovat na úrovni buňky, na úrovni serveru a na úrovni aplikace. Konfigurace uvedené v tomto poli tvoří kombinaci konfigurací na těchto třech úrovních.

Tyto volby odkazu na lokátor klíče můžete konfigurovat na úrovni serveru a na úrovni aplikace. Konfigurace uvedené v tomto poli tvoří kombinaci konfigurací na těchto dvou úrovních.

Chcete-li konfigurovat lokátory klíčů na úrovni buňky, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Běhová komponenta zabezpečení JAX-WS a JAX-RPC.
  2. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
Chcete-li konfigurovat lokátory klíčů na úrovni serveru, postupujte podle následujících kroků:
  1. Klepněte na volbu Servery > Typy serverů > Aplikační servery platformy WebSphere > název_serveru.
  2. V části Zabezpečení klepněte na volbu Běhová komponenta zabezpečení JAX-WS a JAX-RPC.
    Prostředí se smíšenými verzemi: V buňce se smíšenými uzly se serverem používajícím produkt Websphere Application Server verze 6.1 nebo dřívější klepněte na volbu Webové služby: výchozí vazby pro zabezpečení webových služeb.mixv
  3. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
Chcete-li konfigurovat lokátory klíčů na úrovni aplikace, postupujte podle následujících kroků:
  1. Klepněte na volbu Aplikace > Typy aplikací > Podnikové aplikace platformy WebSpherenázev_aplikace.
  2. V části Moduly klepněte na volbu Spravovat moduly > název_identifikátoru_URI.
  3. V části Vlastnosti zabezpečení webových služeb můžete přistupovat k lokátorům klíčů pro následující vazby:
    • Odesílatel požadavků: Klepněte na volbu Webové služby: vazby zabezpečení klienta. V části Vazba odesílatele požadavků klepněte na volbu Upravit. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
    • Příjemce požadavků: Klepněte na volbu Webové služby: vazby zabezpečení serveru. V části Vazba příjemce požadavků klepněte na volbu Upravit. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
    • Odesílatel odpovědi: Klepněte na volbu Webové služby: vazby zabezpečení serveru. V části Vazba odesilatele odpovědí klepněte na volbu Upravit. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
    • Příjemce odpovědi: Klepněte na volbu Webové služby: vazby zabezpečení klienta. V části Vazba příjemce odpovědí klepněte na volbu Upravit. V části Další vlastnosti klepněte na volbu Lokátory klíčů.
Název šifrovacího klíče [Pouze verze 5]

Určuje název šifrovacího klíče, který se převádí na skutečný klíč pomocí zadaného lokátoru klíče.

Datový typ Řetězec
Algoritmus šifrování klíčů [Pouze verze 5]

Určuje identifikátor URI (Uniform Resource Identifier) algoritmu metody šifrování klíče.

Podporovány jsou následující algoritmy:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    V případě spouštění s použitím sady SDK (IBM Software Development Kit) verze 1.4, není v seznamu podporovaných algoritmů přenosu klíče tento algoritmus uveden. Tento algoritmus se objevuje v seznamu podporovaných algoritmů přenosu klíče v případě spouštění se sadou JDK verze 1.5 nebo novější.

    Algoritmus RSA-OAEP při výchozím nastavení používá algoritmus pro vytvoření kódu digest zprávy SHA1 a počítá kód digest zprávy jako součást operace šifrování. Po určení vlastnosti algoritmus šifrování klíče můžete volitelně používat algoritmus pro vytvoření kódu digest zprávy SHA256 nebo SHA512. Název vlastnosti: com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. Hodnotou vlastnosti je jeden z následujících identifikátorů URI metody autentizace typu digest:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Algoritmus RSA-OAEP používá při výchozím nastavení pro volitelný řetězec oktetů kódování pro vlastnost OAEPParams prázdný řetězec. Explicitní řetězec oktetů kódování lze zadat prostřednictvím vlastnosti algoritmu šifrování klíče. Jako název vlastnosti můžete zadat název com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. Hodnotou vlastnosti je hodnota kódování Base 64 řetězce oktetů.
    Důležité: Tyto vlastnosti metody autentizace typu digest a vlastnost OAEPParams můžete nastavit pouze na straně generátoru. Na straně spotřebitele jsou tyto vlastnosti čteny z příchozí zprávy protokolu SOAP.
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Chcete-li používat 192bitový algoritmus šifrování klíčů, musíte stáhnout soubor neomezených zásad rozšíření JCE (Java Cryptography Extension).
    Omezení: Chcete-li, aby konfigurovaná aplikace odpovídala sadě specifikací BSP (Basic Security Profile), nepoužívejte algoritmus 192bitového šifrování klíčů.
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Chcete-li používat 256bitový algoritmus šifrování klíčů, musíte stáhnout soubor neomezených zásad rozšíření JCE.
Poznámka: Pokud dojde k chybě InvalidKeyException a používáte šifrovací algoritmus 129xxx nebo 256xxx, je možné, že v konfiguraci nejsou k dispozici soubory neomezených zásad.

Rozšíření JCE (Java Cryptography Extension)

Ve výchozím stavu je rozšíření JCE (Java Cryptography Extension) dodáváno se šiframi s omezenou silou. Chcete-li používat 192bitové a 256bitové šifrovací algoritmy standardu AES (Advanced Encryption Standard), musíte použít soubory zásad s neomezenou pravomocí.

Poznámka: Před stažením těchto souborů zásad zálohujte existující soubory zásad (local_policy.jar a US_export_policy.jar v adresáři WAS_HOME/jre/lib/security/) dříve, než budou přepsány, pro případ, že byste později chtěli obnovit původní soubory.
Důležité: Vaše země původu může omezovat import, držení, používání nebo opětovný export šifrovacího softwaru do jiných zemí. Před stažením nebo používáním neomezených souborů zásad je nutné zkontrolovat zákony dané země, její regulace a politiku v oblasti importu, držení, používání a opětovného exportu šifrovacího softwaru, abyste zjistili, zda jsou tyto úkony povoleny.

Platformy aplikačního serveru a vývojová sada IBM Developer Kit, Java Technology Edition verze 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Chcete-li stáhnout soubory zásad, postupujte podle některé z následujících sad kroků:
  • [AIX] [Linux] [Windows] [z/OS] Pro platformy aplikačního serveru používají sadu IBM Developer Kit, Java Technology Edition verze 1.4.2 včetně platforem AIX, Linux a Windows lze získat soubory zásad s neomezenou pravomocí provedením následujících kroků:
    1. Přejděte na následující web: IBM developer kit: Security information
    2. Klepněte na položku Java 1.4.2.
    3. Klepněte na položku IBM SDK Policy files (Soubory zásad sady SDK společnosti IBM).

      Zobrazí se web Unrestricted JCE Policy files for SDK 1.4 (Neomezené soubory zásad JCE pro sadu SDK 1.4).

    4. Zadejte jméno uživatele a heslo nebo se u společnosti IBM registrujte, abyste mohli stahovat soubory zásad. Soubory zásad budou staženy do vašeho počítače.
  • [Solaris] [HP-UX] Pro platformy aplikačního serveru používají sadu Java Development Kit 6 (JDK 6) společnosti Sun verze 1.4.2 včetně prostředí Solaris a platformy HP-UX lze získat soubory zásad s neomezenou pravomocí provedením následujících kroků:
    1. Přejděte na následující web: http://java.sun.com/j2se/1.4.2/download.html
    2. Klepněte na volbu Archive area (Oblast archivů).
    3. Vyhledejte informace o souborech Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 a klepněte na tlačítko Download (Stáhnout). Soubor jce_policy-1_4_1.zip bude stažen do vašeho počítače.
Po provedení těchto kroků budou v adresáři jre/lib/security/ prostředí JVM (Java Virtual Machine) umístěny dva soubory JAR (archivy prostředí Java).

Operační systém IBM i a sada IBM Software Development Kit 1.4 [iSeries]

U operačního systému IBM i a sady IBM Software Development Kit verze 1.4 není vyladění zabezpečení webových služeb vyžadováno. Při instalaci potřebného softwaru jsou automaticky nastaveny soubory zásad s neomezenou jurisdikcí pro sadu IBM Software Development Kit verze 1.4.

U operačního systému IBM i 5.4 a sady IBM Software Development Kit verze 1.4 jsou soubory zásad s neomezenou jurisdikcí pro sadu IBM Java Development Kit verze 1.4 automaticky nastaveny při instalaci produktu 5722SS1 s volbou 3 – Extended Base Directory Support.

U operačního systému IBM i (dříve nazývaného IBM i V5R3) a sady IBM Software Development Kit verze 1.4 jsou soubory zásad s neomezenou jurisdikcí pro sadu IBM Software Development Kit verze 1.4 automaticky nastaveny při instalaci produktu 5722AC3 – 128bitové verze poskytovatele Crypto Access.

Operační systém IBM i a sada IBM Software Development Kit 1.5 [iSeries]

V případě platforem IBM i 5.4 a IBM i (dříve IBM i V5R3) a sady IBM Software Development Kit 1.5 jsou ve výchozím nastavení konfigurovány soubory zásad rozšíření JCE s neomezenou jurisdikcí. Soubory zásad rozšíření JCE s neomezenou jurisdikcí lze stáhnout z následujícího webového serveru: Security information: IBM J2SE 5 SDKs

Chcete-li konfigurovat soubory zásad s neomezenou jurisdikcí pro operační systém IBM i a sadu IBM Software Development Kit verze 1.5, postupujte takto:
  1. Vytvořte záložní kopie následujících souborů:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Stáhněte neomezené soubory zásad z webu IBM developer kit: Security information do adresáře /QIBM/ProdData/Java400/jdk15/lib/security.
    1. Přejděte na následující web: IBM developer kit: Security information
    2. Klepněte na položku J2SE 5.0.
    3. Posuňte stránku dolů a klepněte na položku IBM SDK Policy files (Soubory zásad sady SDK společnosti IBM). Zobrazí se web Unrestricted JCE Policy files for the SDK (Neomezené soubory zásad JCE pro sadu SDK).
    4. Klepněte na volbu Sign in (Přihlásit) a zadejte ID a heslo pro intranet společnosti IBM.
    5. Vyberte odpovídající neomezené soubory zásad JCE a klepněte na volbu Continue (Pokračovat).
    6. Přečtěte si licenční smlouvu a klepněte na volbu I Agree (Souhlasím).
    7. Klepněte na volbu Download Now (Stáhnout nyní).
  3. Pomocí příkazu DSPAUT ověřte, že jsou uživateli *PUBLIC udělena oprávnění pro data *RX a že není poskytováno žádné oprávnění pro objekty v žádném ze souborů local_policy.jar a US_export_policy.jar v adresáři /QIBM/ProdData/Java400/jdk15/lib/security. Příklad:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. V případě potřeby změňte autorizaci pomocí příkazu CHGAUT. Příklad:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algoritmus šifrování dat [Pouze verze 5]

Určuje identifikátory URI (Uniform Resource Identifier) algoritmu metody šifrování dat.

Podporovány jsou následující algoritmy:

Ve výchozím stavu je rozšíření JCE dodáváno se šiframi s omezenou silou. Chcete-li používat 192bitové a 256bitové šifrovací algoritmy standardu AES, musíte použít soubory zásad s neomezenou pravomocí. Další informace naleznete v popisu pole Algoritmus šifrování klíčů.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související úlohy
Související odkazy
Kolekce Informace o šifrování
Kolekce Lokátory klíčů


Název souboru: uwbs_encryptrsb.html