加密信息配置设置:消息部件

使用此页面来配置加密和解密参数。可以使用这些参数来加密和解密消息的各部件(包括主体和令牌)。

要查看管理控制台中单元级别的加密信息面板,请完成下列步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“JAX-RPC 缺省生成者绑定”或“JAX-RPC 缺省使用者绑定”下面,单击加密信息
  3. 单击新建以创建新的加密配置,或者单击现有加密配置的名称。
要查看管理控制台中服务器级别的加密信息面板,请完成下列步骤:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“JAX-RPC 缺省生成者绑定”或“JAX-RPC 缺省使用者绑定”下面,单击加密信息
  4. 单击新建以创建新的加密配置,或者单击现有加密配置的名称。
要查看管理控制台中应用程序级别的此加密信息页面,请完成下列步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下面,单击模块更新 > module_name
  3. 在“Web Service 安全性属性”下,可以访问以下绑定的加密信息:
    • 对于“请求生成者”,单击 Web Service:客户机安全性绑定。在“请求生成者(发送方)绑定”下面,单击编辑定制。在“必需属性”下面,单击加密信息
    • 对于“请求使用者”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下面,单击编辑定制。在“必需属性”下面,单击加密信息
    • 对于“响应生成者”,单击 Web Service:服务器安全性绑定。在“响应生成者(发送方)绑定”下面,单击编辑定制。在“必需属性”下面,单击加密信息
    • 对于“响应使用者”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下面,单击编辑定制。在“必需属性”下面,单击加密信息
  4. 单击新建以创建新的加密配置或单击现有加密配置的名称。
加密信息名称 [仅限于 V5 和 V6]

指定加密信息的名称。

数据类型 字符串
数据加密算法 [仅限于 V5 和 V6]

指定数据加密方法的算法统一资源标识 (URI)。

支持以下算法:

缺省情况下,Java 密码术扩展(JCE)与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准(AES)加密算法,那么必须应用无限制的管辖策略文件。有关更多信息,请参阅密钥加密算法字段描述。

密钥定位器引用 [仅限于 V5]

指定密钥定位器配置名称,以用它检索 XML 数字签名和 XML 加密的密钥。

为 V5.x 应用程序使用的请求接收方和响应接收方绑定显示“密钥定位器引用”字段。

可以在服务器级别、单元级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这三个级别上的配置的组合。

可以在服务器级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这两个级别上的配置的组合。

可以为以下级别上的以下绑定指定加密密钥配置:
表 1. 加密密钥绑定配置. 使用这些参数来加密和解密消息的各部件。
绑定名 服务器级别、单元级别或应用程序级别 路径
缺省生成者绑定 单元级别
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下面,单击密钥定位器
缺省使用者绑定 单元级别
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下面,单击密钥定位器
缺省生成者绑定 服务器级别
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“其他属性”下面,单击密钥定位器
缺省使用者绑定 服务器级别
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“其他属性”下面,单击密钥定位器
请求发送方 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 单击 Web Service:客户机安全性绑定。在“请求发送方绑定”下面,单击编辑
  4. 在“其他属性”下面,单击密钥定位器
请求接收方 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 单击 Web Service:服务器安全性绑定。在“请求接收方绑定”下面,单击编辑
  4. 在“其他属性”下面,单击密钥定位器
响应发送方 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 单击 Web Service:服务器安全性绑定。在“响应发送方绑定”下面,单击编辑
  4. 在“其他属性”下面,单击密钥定位器
响应接收方 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 单击 Web Service:客户机安全性绑定。在“响应接收方绑定”下面,单击编辑
  4. 在“其他属性”下面,单击密钥定位器
密钥加密算法 [仅限于 V5 和 V6]

指定密钥加密方法的算法统一资源标识 (URI)。

应用程序服务器提供了下列算法:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    当通过软件开发包(SDK)V1.4 运行时,受支持密钥传输算法列表不包括此算法。当通过软件开发包(SDK)V1.5 或更高版本运行时,受支持密钥传输算法列表将包含此算法。

    缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。
    重要: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192
    限制: 如果要让所配置的应用程序与基本安全概要文件(BSP)一致,那么不要使用 192 位数据加密算法。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256

应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

缺省情况下,Java 密码术扩展(JCE)与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准(AES)加密算法,那么必须应用无限制的管辖策略文件。下载这些策略文件和覆盖现有策略文件(WAS_HOME/jre/lib/security/ 目录中的 local_policy.jarUS_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。

注意: 包括软件开发包 (SDK) 更新的修订包可能会覆盖不受限制的策略文件。在应用修订包之前先备份不受限制的策略文件,然后在应用修订包之后再次应用这些文件。
重要: 您的原籍国可能对加密软件的进口、拥有、使用或再出口至其他国家实施限制。在下载或使用无限制的策略文件之前,您必须检查您所在国家加密软件进口、拥有、使用和再出口的相关法律、法规和政策的规定,以确定是否允许这些行为。
要下载策略文件,请完成下列其中一组步骤:
  • [AIX] [Linux] [Windows] 对于使用 IBM Developer Kit, Java Technology Edition V1.4.2 的应用程序服务器平台(包括 AIX®、Linux® 和 Windows® 平台)来说,请完成下列步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:IBM developer works:安全性信息
    2. 单击 Java 1.4.2
    3. 单击 IBM SDK 策略文件

      这将显示 SDK 1.4 Web 站点的无限制 JCE 策略文件。

    4. 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
  • [Solaris] 对于使用基于 Sun 的 Java Development Kit 6(JDK 6)V1.4.2 的应用程序服务器平台(包括 Solaris 环境和 HP-UX 平台)来说,请完成下列步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:下载 V1.4.2(Java EE)
    2. 单击归档区
    3. 找到 Java 密码术扩展(JCE)无限制强度权限策略文件 1.4.2 信息,并单击下载。策略文件下载到您的机器上。
在按照这两组步骤中的任一组进行操作之后,两个 Java 归档 (JAR) 文件都位于 Java 虚拟机 (JVM)jre/lib/security/ 目录中。

应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V5 [AIX Solaris HP-UX Linux Windows] [z/OS]

缺省情况下,Java 密码术扩展(JCE)与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准(AES)加密算法,那么必须应用无限制的管辖策略文件。下载这些策略文件和覆盖现有策略文件(WAS_HOME/jre/lib/security/ 目录中的 local_policy.jarUS_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。

重要: 您的原籍国可能对加密软件的进口、拥有、使用或再出口至其他国家实施限制。在下载或使用无限制的策略文件之前,您必须检查您所在国家加密软件进口、拥有、使用和再出口的相关法律、法规和政策的规定,以确定是否允许这些行为。
要下载策略文件,请完成下列其中一组步骤:
  • 对于使用 IBM Developer Kit, Java Technology Edition V5 的应用程序服务器平台来说,可通过完成以下步骤获取无限制的权限策略文件:
    1. 访问以下 Web 站点:IBM developer works:安全性信息
    2. 单击 Java 5
    3. 单击 IBM SDK 策略文件

      这将显示 SDK 5 Web 站点的无限制策略文件。

    4. 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
在按照这两组步骤进行操作之后,两个 Java 归档 (JAR) 文件都位于 Java 虚拟机 (JVM)jre/lib/security/ 目录中。

IBM 软件开发包 V1.4: [iSeries]

对于 IBM i 操作系统和 IBM 软件开发包 V1.4,不必调整 Web Service 安全性。安装必备软件时,将自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。
  • 对于 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 V1.4,请安装产品 5722AC3 Crypto Access Provider 128 位。
  • 对于 IBM i 5.4 和 IBM 软件开发包 V1.4,请安装产品 5722SS1 的选件 3,即“扩展基本目录支持”。

IBM 软件开发包 V1.5: [iSeries]

对于 IBM i 5.4 和 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 1.5,缺省情况下已经配置了受限 JCE 管辖区域策略文件。可从以下 Web 站点下载无限制 JCE 管辖区域策略文件:IBM developer works:安全性信息 V5

注: 如果用于 IBM i 的 Java Platform, Standard Edition 6(Java SE 6)32 位是用于您的概要文件的已启用 Java 虚拟机 (JVM),那么请使用 /QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre 替换 /QIBM/ProdData/Java400/jdk15 以作为以下步骤中的路径名。
重要: 您的原籍国可能对加密软件的进口、拥有、使用或再出口至其他国家实施限制。在下载或使用无限制的策略文件之前,您必须检查您所在国家加密软件进口、拥有、使用和再出口的相关法律、法规和政策的规定,以确定是否允许这些行为。
要为 IBM i 和 IBM 软件开发包 V1.5 配置非受限管辖区域策略文件:
  1. 备份以下文件:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 将 IBM developer works:安全性信息中的非受限策略文件下载到 /QIBM/ProdData/Java400/jdk15/lib/security 目录。
    1. 访问以下 Web 站点:http://www.ibm.com/developerworks/java/jdk/security/index.html
    2. 单击 J2SE 5.0
    3. 向下滚动并单击 IBM SDK 策略文件。这将显示 SDK Web 站点的无限制的 JCE 策略文件。
    4. 单击登录并提供 IBM 内部网标识和密码。
    5. 选择相应的非受限 JCE 策略文件,然后单击继续
    6. 查看许可协议,然后单击我同意
    7. 单击立即下载
  3. 使用 DSPAUT 命令以确保对 *PUBLIC 授予 *RX 数据权限,同时确保未对 /QIBM/ProdData/Java400/jdk15/lib/security 目录中的 local_policy.jarUS_export_policy.jar 文件提供任何对象权限。例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要时使用 CHGAUT 命令更改权限。例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)

单元级别上的定制算法

要指定单元级别上的定制算法,请完成下列步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下面,单击算法映射
  3. 单击新建以指定新的算法映射,或者单击现有配置的名称以修改其设置。
  4. 在“其他属性”下面,单击算法 URI
  5. 单击新建以创建新的算法 URI。必须在算法类型字段中指定密钥加密以使配置显示在“加密信息配置设置”面板上的密钥加密算法字段中。

服务器级别上的定制算法

要指定服务器级别上的定制算法,请完成下列步骤:
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“其他属性”下面,单击算法映射
  4. 单击新建以指定新的算法映射,或者单击现有配置的名称以修改其设置。
  5. 在“其他属性”下面,单击算法 URI
  6. 单击新建以创建新的算法 URI。必须在算法类型字段中指定密钥加密以使配置显示在“加密信息配置设置”面板上的密钥加密算法字段中。
加密密钥信息 [仅限于 V5 和 V6]

指定用于加密的密钥信息引用的名称。此引用由指定的密钥定位器解析到实际密钥,并定义在密钥信息中。

[仅限于 V6] 您必须为请求生成者和响应生成者绑定指定一个加密密钥配置或不指定加密密钥配置。

[仅限于 V6] 对于响应使用者和请求使用者绑定,您可以配置多个加密密钥引用。要创建新的加密密钥引用,在“其他属性”下单击密钥信息引用

可以为以下级别上的以下绑定指定加密密钥配置:
表 2. 加密密钥绑定配置. 使用这些参数来加密和解密消息的各部件。
绑定名 服务器级别、单元级别或应用程序级别 路径
缺省生成者绑定 单元级别
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“JAX-RPC 缺省生成者绑定”下面,单击密钥信息
缺省使用者绑定 单元级别
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“JAX-RPC 缺省使用者绑定”下面,单击密钥信息
缺省生成者绑定 服务器级别
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“JAX-RPC 缺省生成者绑定”下面,单击密钥信息
缺省使用者绑定 服务器级别
  1. 单击服务器 > 服务器类型 > WebSphere Application Server > server_name
  2. 在“安全性”下面,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  3. 在“JAX-RPC 缺省使用者绑定”下面,单击密钥信息
请求生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下面,单击 Web Service:客户机安全性绑定
  4. 在“请求生成者(发送方)绑定”下面,单击编辑定制
  5. 在“必需属性”下面,单击密钥信息
响应生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 application_name
  2. 在“模块”下面,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下面,单击 Web Service:服务器安全性绑定
  4. 在“响应生成者(发送方)绑定”下面,单击编辑定制
  5. 在“必需属性”下面,单击密钥信息
部件引用 [仅限于 V6]

为部署描述符中的生成者绑定指定 <confidentiality> 元素的名称,或者为使用者绑定元素指定 <requiredConfidentiality> 元素的名称。

此字段仅在应用程序级别上可用。




标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考
加密信息集合
密钥定位器集合
加密信息配置设置:方法


文件名: uwbs_encryptrrb.html