Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden

Verwenden Sie diese Seite, um die Verschlüsselungs- und Entschlüsselungsparameter für die Signaturmethode, die Digest-Methode und die Kanonisierungsmethode zu konfigurieren.

Die auf dieser Seite aufgelisteten Spezifikationen für die Signaturmethode, Digest-Methode und Kanonisierungsmethode finden Sie im W3C-Dokument (World Wide Web Consortium) mit dem Titel XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen Anwendungsname, und führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf Module verwalten > Name_der_URI-Datei > Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungssenderbindung" auf Bearbeiten. Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Verschlüsselungsdaten.
    • Klicken Sie unter "Module" auf Module verwalten > Name_der_URI-Datei > Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Antwortsenderbindung" auf Bearbeiten.Klicken Sie unter "Eigenschaften der Web-Service-Sicherheit" auf Verschlüsselungsdaten.
  2. Wählen Sie Ohne oder Dedizierte Verschlüsselungsdaten aus. Der Anwendungsserver kann eine oder keine Verschlüsselungskonfigurationen für die Anforderungssender- und Antwortsenderbindungen verwenden. Wenn Sie ohne Verschlüsselung arbeiten, wählen Sie Ohne aus. Wenn Sie Verschlüsselung für eine dieser Bindungen konfigurieren möchten, wählen Sie Dedizierte Verschlüsselungsdaten aus, und geben Sie die Konfigurationseinstellungen in die in diesem Artikel beschriebenen Felder ein.
Name der Verschlüsselungsdaten [nur Version 5]

Gibt den Namen der Key-Locator-Konfiguration an, die den Schlüssel für die digitale XML-Signatur und XML-Verschlüsselung abruft.

Referenz auf Key-Locator [nur Version 5]

Der Name, mit dem auf den Key-Locator verwiesen wird.

Sie können die Optionen für die Referenz auf den Key-Locator auf Serverebene, Zellenebene und Anwendungsebene konfigurieren. Die in dem Feld aufgelisteten Konfigurationen sind eine Kombination aus den Konfigurationen dieser drei Ebenen.

Sie können die Optionen für die Referenz auf den Key-Locator auf Serverebene und Anwendungsebene konfigurieren. Die in dem Feld aufgelisteten Konfigurationen sind eine Kombination aus den Konfigurationen dieser zwei Ebenen.

Gehen Sie zum Konfigurieren der Key-Locator auf Zellenebene wie folgt vor:
  1. Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Gehen Sie zum Konfigurieren der Key-Locator auf Serverebene wie folgt vor:
  1. Klicken Sie auf Server>Servertypen>WebSphere-Anwendungsserver> Servername.
  2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
    Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web-Service-Sicherheit.mixv
  3. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Gehen Sie zum Konfigurieren der Key-Locator auf Anwendungsebene wie folgt vor:
  1. Klicken Sie auf Anwendungen>Anwendungstypen>WebSphere-UnternehmensanwendungenAnwendungsname.
  2. Klicken Sie unter "Module" auf Module verwalten> URI-Name.
  3. Unter "Eigenschaften der Web-Service-Sicherheit" können Sie auf die Key-Locator für die folgenden Bindungen zugreifen:
    • Klicken Sie für den Anforderungssender auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungssenderbindung" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Anforderungsempfänger: Klicken Sie auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Klicken Sie für den Antwortsender auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Antwortsenderbindung" auf Bearbeiten.Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    • Klicken Sie für den Antwortempfänger auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Antwortempfängerbindung" auf Bearbeiten. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
Name des Chiffrierschlüssels [nur Version 5]

Der Name des Chiffrierschlüssels, der vom angegebenen Key-Locator in den echten Schlüssel aufgelöst wird.

Datentyp String
Algorithmus für Chiffrierschlüssel [nur Version 5]

Gibt den Algorithmus-URI der Chiffriermethode für Schlüssel an.

Die folgenden Algorithmen werden unterstützt:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    Wenn Sie mit IBM Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit JDK 1.5 oder höher arbeiten.

    Standardmäßig verwendet der Algorithmus RSA-OAEP den Nachrichten-Digest-Algorithmus SHA1, um einen Nachrichten-Digest im Rahmen der Verschlüsselungsoperation zu berechnen. Optional können Sie den Nachrichten-Digest-Algorithmus SHA256 oder SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Der Eigenschaftsname ist "com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod". Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Als Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben. Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
    Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben. Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht (Simple Object Access Protocol) gelesen.
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • http://www.w3.org/2001/04/xmlenc#kw-aes128.
  • http://www.w3.org/2001/04/xmlenc#kw-aes192. Wenn Sie den Algorithmus für 192-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) herunterladen.
    Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
  • http://www.w3.org/2001/04/xmlenc#kw-aes256. Wenn Sie den Algorithmus für 256-Bit-Schlüsselchiffrierung verwenden möchten, müssen Sie die nicht eingeschränkte JCE-Richtliniendatei herunterladen.
Anmerkung: Wenn ein Fehler des Typs "InvalidKeyException" auftritt und Sie den Algorithmus für 129xxx- oder 256xxx-Verschlüsselung verwenden, sind die nicht eingeschränkten Richtliniendateien möglicherweise nicht in Ihrer Konfiguration enthalten.

Java Cryptography Extension

Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie uneingeschränkte Standortrichtliniendateien anwenden.

Anmerkung: Bevor Sie diese Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien (local_policy.jar und US_export_policy.jar im Verzeichnis WAS_HOME/jre/lib/security/) sichern, da diese Dateien überschrieben werden und sonst für den Fall, dass die Originaldateien wiedergeherstellt werden müssten, sonst nicht mehr zur Verfügung stünden.
Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitzt und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, um dies zulässig ist.

Anwendungsserverplattformen und IBM Developer Kit, Java Technology Edition Version 1.4.2 [AIX Solaris HP-UX Linux Windows] [z/OS]

Gehen Sie wie folgt vor, um die Richtliniendateien herunterzuladen:
  • [AIX] [Linux] [Windows] [z/OS] Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen, die IBM Developer Kit, Java Technology Edition Version 1.4.2 verwenden (dazu gehören AIX, Linux und Windows), können Sie wie folgt herunterladen:
    1. Rufen Sie die folgende Website auf: IBM developer kit: Security information
    2. Klicken Sie auf Java 1.4.2.
    3. Klicken Sie auf IBM SDK Policy files.

      Die Website "Unrestricted JCE Policy files for SDK 1.4" wird angezeigt.

    4. Geben Sie Ihre Benutzer-ID und das Kennwort ein, oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
  • [Solaris] [HP-UX] Die uneingeschränkten Standortrichtliniendateien für Anwendungsserverplattformen, die das Sun-basierte Java Development Kit (JDK) Version 1.4.2 verwenden (dazu gehören die Solaris-Umgebungen und HP-UX), können Sie wie folgt herunterladen:
    1. Rufen Sie die folgende Website auf: http://java.sun.com/j2se/1.4.2/download.html
    2. Klicken Sie auf Archive area.
    3. Suchen Sie die Information "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2", und klicken Sie auf Download. Daraufhin wird die Datei jce_policy-1_4_1.zip auf Ihre Maschine heruntergeladen.
Nach der Ausführung dieser Schritte werden zwei JAR-Dateien (Java-Archiv) in das Verzeichnis jre/lib/security/ der Java Virtual Machine (JVM) gestellt.

IBM i operating system and IBM Software Development Kit 1.4 [iSeries]

Für das Betriebssystem IBM i und IBM Software Development Kit Version 1.4 ist keine Optimierung der Web-Service-Sicherheit erforderlich. Die nicht eingeschränkten Standortrichtliniendateien für IBM Software Development Kit Version 1.4 werden automatisch konfiguriert, wenn die vorausgesetzte Software installiert wird.

Für das Betriebssystem IBM i 5.4 und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Standortrichtliniendateien für IBM Java Developer Kit 1.4 automatisch durch Installation des Produkts "5722SS1 Option 3, Extended Base Directory Support" konfiguriert.

Für das Betriebssystem IBM i (früher IBM i V5R3) und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Standortrichtliniendateien für IBM Software Development Kit Version 1.4 automatisch durch Installation des Produkts "5722AC3, Crypto Access Provider 128-bit" konfiguriert.

Betriebssystem IBM i und IBM Software Development Kit 1.5 [iSeries]

Für IBM i 5.4 und IBM i (früher IBM i V5R3) und IBM Software Development Kit 1.5 werden standardmäßig die eingeschränkten JCE-Standortrichtliniendateien konfiguriert. Sie können die nicht eingeschränkten JCE-Standortrichtliniendateien von der folgenden Website herunterladen: Security information: IBM J2SE 5 SDKs.

Gehen Sie zum Konfigurieren der nicht eingeschränkten Standortrichtliniendateien für das Betriebssystem IBM i und IBM Software Development Kit Version 1.5 wie folgt vor:
  1. Erstellen Sie Sicherungskopien der folgenden Dateien:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. Laden Sie die nicht eingeschränkten Richtliniendateien von der Website IBM developer kit: Security information in das Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security herunter.
    1. Rufen Sie die folgende Website auf: IBM developer kit: Security information.
    2. Klicken Sie auf J2SE 5.0.
    3. Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
    4. Klicken Sie auf Sign in, und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein.
    5. Wählen Sie die richtigen nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie anschließend auf Continue.
    6. Sehen Sie sich die Lizenzvereinbarung an, und klicken Sie anschließend auf I Agree.
    7. Klicken Sie auf Download Now.
  3. Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird und dass die Dateien local_policy.jar und US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security keine Objektberechtigungen erhalten. Beispiel:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorithmus für Datenverschlüsselung [nur Version 5]

Der Algorithmus-URI (Uniform Resource Identifiers) der Datenverschlüsselungsmethode.

Die folgenden Algorithmen werden unterstützt:

Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen. Nähere Informationen finden Sie in der Beschreibung des Feldes "Algorithmus für Schlüsselverschlüsselung".




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise
Verschlüsselungsdaten
Key-Locator


Dateiname: uwbs_encryptrsb.html