Gibt den Algorithmus-URI (Uniform Resource Identifier) der Verschlüsselungsmethode für den Schlüssel an.
Die folgenden Algorithmen werden vom Anwendungsserver unterstützt:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Wenn Sie mit
Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der
unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der
unterstützten Schlüsseltransportalgorithmen, wenn Sie mit Software
Development Kit (SDK) Version 1.5 oder höher arbeiten.
Standardmäßig verwendet der Algorithmus RSA-OAEP
den Nachrichten-Digest-Algorithmus SHA1, um einen Nachrichten-Digest im Rahmen der Verschlüsselungsoperation zu berechnen.
Optional können Sie den Nachrichten-Digest-Algorithmus SHA256 oder
SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Der Eigenschaftsname ist
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die
optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine
explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Als Eigenschaftsnamen können Sie
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben.
Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben.
Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht
(Simple Object Access Protocol) gelesen.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Anwendungsserverplattformen und IBM Developer
Kit, Java Technology Edition Version 1.4.2
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten
Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption
Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen. Bevor Sie diese
Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien (local_policy.jar und US_export_policy.jar im
Verzeichnis WAS_HOME/jre/lib/security/) sichern, da diese Dateien überschrieben werden und
sonst für den Fall, dass die Originaldateien wiedergeherstellt werden müssten, sonst nicht mehr zur Verfügung stünden.
Achtung: Fixpacks, die Aktualisierungen für Software Development
Kit (SDK) enthalten, können uneingeschränkte Richtliniendateien überschreiben.
Sichern Sie die uneingeschränkten Richtliniendateien, bevor Sie ein Fixpack anwenden und diese Dateien nach der
Anwendung des Fixpacks erneut anwenden.
Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitzt und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, um dies zulässig ist.
Gehen Sie wie folgt vor, um die Richtliniendateien herunterzuladen:
Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen,
die IBM Developer Kit, Java Technology Edition Version 1.4.2 verwenden (dazu gehören AIX, Linux und Windows),
können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: IBM developer
works: Security Information
- Klicken Sie auf Java 1.4.2.
- Klicken Sie auf IBM SDK Policy
files.
Die Website "Unrestricted
JCE Policy files for SDK 1.4" wird angezeigt.
- Geben Sie Ihre Benutzer-ID und das Kennwort ein, oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
Die uneingeschränkten Standortrichtliniendateien für Anwendungsserverplattformen,
die das Sun-basierte Java Development Kit (JDK) Version 1.4.2 verwenden (dazu gehören die Solaris-Umgebungen und HP-UX),
können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: Download, v 1.4.2 (Java EE).
- Klicken Sie auf Archive area.
- Suchen Sie die Information "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction
Policy Files 1.4.2", und klicken Sie auf Download. Die Richtliniendatei
wird auf Ihre Maschine heruntergeladen.
Nachdem Sie diese Schritte ausgeführt haben, befinden sich zwei JAR-Dateien (Java Archive) im JVM-Verzeichnis
jre/lib/security/.
Anwendungsserverplattform und IBM Developer Kit, Java Technology Edition Version 5
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten
Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption
Standard) verwenden möchten, müssen Sie Richtliniendateien anwenden, die keinen gesetzlichen Einschränkungen unterliegen. Bevor Sie diese
Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien (local_policy.jar und US_export_policy.jar im
Verzeichnis WAS_HOME/jre/lib/security/) sichern, da diese Dateien überschrieben werden und
sonst für den Fall, dass die Originaldateien wiedergeherstellt werden müssten, sonst nicht mehr zur Verfügung stünden.
Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitzt und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, um dies zulässig ist.
Gehen Sie wie folgt vor, um die Richtliniendateien herunterzuladen:
- Die Richtliniendateien mit den nicht eingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen,
die IBM Developer Kit, Java Technology Edition Version 5 verwenden, können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: IBM developer
works: Security Information
- Klicken Sie auf Java 5.
- Klicken Sie auf IBM SDK Policy
files.
Die Website mit den nicht eingeschränkten JCE-Richtliniendateien für SDK 5 erscheint.
- Geben Sie Ihre Benutzer-ID und das Kennwort ein, oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
Nachdem Sie diese Schritte ausgeführt haben, befinden sich zwei JAR-Dateien (Java-Archiv) im JVM-Verzeichnis
jre/lib/security/.
IBM Software
Development Kit Version 1.4:
Für das Betriebssystem IBM i
und IBM Software Development Kit Version 1.4 ist keine Optimierung der Web-Service-Sicherheit erforderlich.
Die nicht eingeschränkten Richtliniendateien für IBM Software
Development Kit Version 1.4 werden automatisch konfiguriert, wenn die vorausgesetzte Software installiert wird.
- Für das Betriebssystem IBM i (früher
IBM i V5R3) und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten
Standortrichtliniendateien für IBM Software Development Kit Version 1.4 automatisch durch Installation
des Produkts "5722AC3, Crypto Access Provider 128-bit" konfiguriert.
- Installieren Sie für IBM i 5.4 und IBM Software Development Kit Version 1.4 das Produkt "5722SS1 Option 3, Extended Base Directory Support".
IBM Software
Development Kit Version 1.5:
Für IBM i
5.4 und IBM i (früher
IBM i V5R3) und IBM Software Development Kit 1.5 werden standardmäßig die eingeschränkten JCE-Standortrichtliniendateien konfiguriert.
Sie können die nicht eingeschränkten JCE-Richtliniendateien von der folgenden Website herunterladen:
IBM developer works: Security Information, Version 5.
Anmerkung: Wenn Java Platform, Standard Edition 6 (Java SE 6) 32-bit for IBM i die aktivierte Java Virtual Machine (JVM) für Ihr Profil ist, setzen Sie
in den folgenden Schritten /QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre anstelle von /QIBM/ProdData/Java400/jdk15 als Pfadnamen ein.
Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitzt und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, um dies zulässig ist.
Gehen Sie zum Konfigurieren der nicht eingeschränkten Standortrichtliniendateien
für IBM i und IBM Software
Development Kit Version 1.5 wie folgt vor:
- Erstellen Sie Sicherungskopien der folgenden Dateien:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Laden Sie die nicht eingeschränkten Richtliniendateien von der Website
IBM developerworks: Security Information in das Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security herunter.
- Rufen Sie die folgende Website auf:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- Klicken Sie auf J2SE 5.0.
- Blättern Sie nach unten, und klicken Sie auf IBM SDK
Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
- Klicken Sie auf Sign in, und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein.
- Wählen Sie die richtigen nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie anschließend auf
Continue.
- Sehen Sie sich die Lizenzvereinbarung an, und klicken Sie anschließend auf I Agree.
- Klicken Sie auf Download Now.
- Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird
und dass die Dateien local_policy.jar und
US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security keine Objektberechtigungen erhalten.
Beispiel:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Angepasste Algorithmen auf Zellenebene
Führen Sie zum Definieren angepasster
Algorithmen auf Zellenebene die folgenden
Schritte aus:
- Klicken Sie auf Sicherheit > JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmuszuordnungen.
- Klicken Sie auf Neu, um eine neue Algorithmuszuordnung
anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmus-URI.
- Klicken Sie auf Neu, um einen neuen Algorithmus-URI zu erstellen. Sie müssen im Feld Algorithmustyp
die Einstellung Schlüsselchiffrierung eingeben, damit die Konfiguration im Feld Algorithmus für Schlüsselchiffrierung
der Anzeige mit den Konfigurationseinstellungen für Verschlüsselungsdaten angezeigt wird.
Angepasste Algorithmen auf Serverebene
Führen Sie zum Definieren angepasster Algorithmen auf Serverebene die folgenden
Schritte aus:
- Klicken Sie auf Servername.
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der
WebSphere Application Server Version 6.1 oder früher auf
Web-Services:
Standardbindungen für Web-Service-Sicherheit.
mixv
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmuszuordnungen.
- Klicken Sie auf Neu, um eine neue Algorithmuszuordnung
anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmus-URI.
- Klicken Sie auf Neu, um einen neuen Algorithmus-URI zu erstellen. Sie müssen im Feld Algorithmustyp
die Einstellung Schlüsselchiffrierung eingeben, damit die Konfiguration im Feld Algorithmus für Schlüsselchiffrierung
der Anzeige mit den Konfigurationseinstellungen für Verschlüsselungsdaten angezeigt wird.