WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

暗号化情報構成の設定: メソッド

このページを使用して、シグニチャー・メソッド、ダイジェスト・メソッド、 および正規化メソッドの暗号化パラメーターおよび暗号化解除パラメーターを構成します。

このページにリストされているシグニチャー方式、ダイジェスト方式、および正規化方式の仕様は、World Wide Web Consortium (W3C) の文書「XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 」に記述されています。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name) 」とクリックし、 以下のステップのいずれかを実行します。
    • 「モジュールの管理」>「URI ファイル名 (URI_file_name) >「 Web サービス: クライアント・セキュリティー・バインディング」とクリックします。「要求送信側バインディング」の下の「編集」をクリックします。 「Web サービス・セキュリティー・プロパティー」の下の「暗号化情報」をクリックします。
    • 「モジュールの管理」>「URI ファイル名 (URI_file_name) >「 Web サービス: サーバー・セキュリティーのバインディング」とクリックします。「Response sender binding」の下の「編集」をクリックします。 「Web サービス・セキュリティー・プロパティー」の下の「暗号化情報」をクリックします。
  2. なし」または「Dedicated encryption information」を選択します。 アプリケーション・サーバーは、要求送信側および応答送信側バインディングに対して 1 つの暗号化構成を持つか、 1 つも暗号化構成持たないようにすることができます。 暗号化を使用していない場合は、「なし」を選択します。 これらの 2 つのバインディングのいずれかの暗号化を構成するには、 「Dedicated encryption information」を選択し、 このトピックで説明するフィールドを使用して構成設定を指定します。
暗号化情報名 [バージョン 5 のみ]

XML デジタル・シグニチャーおよび XML 暗号化の鍵を検索する鍵ロケーター構成の名前を指定します。

鍵ロケーター参照 [バージョン 5 のみ]

鍵ロケーターの参照に使用する名前を指定します。

これらの鍵ロケーター参照オプションは、セル・レベル、サーバー・レベル、およびアプリケーション・レベルで構成することができます。 このフィールドにリストされる構成は、これらの 3 つのレベルにおける構成の組み合わせです。

セル・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. セキュリティー」>「Web サービス」とクリックします。
  2. 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
サーバー・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. サーバー」>「アプリケーション・サーバー」>「サーバー名 (server_name)」とクリックします。
  2. 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーのデフォルト・バインディング」をクリックします。
  3. 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
アプリケーション・レベルで鍵ロケーターを構成するには、以下のステップを実行します。
  1. 「アプリケーション」>「エンタープライズ・アプリケーション」>「アプリケーション名 (application_name) とクリックします。
  2. 「モジュールの管理」>「URI 名 (URI_name) とクリックします。
  3. 「Web サービス・セキュリティー・プロパティー」の下で、 以下のバインディングの鍵ロケーターにアクセスすることができます。
    • 要求送信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「要求送信側バインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 要求受信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 応答送信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「Response sender binding」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
    • 応答受信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「応答受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
暗号鍵名 [バージョン 5 のみ]

暗号鍵の名前を指定します。この暗号鍵は、指定された鍵ロケーターによって実際の鍵に解決されます。

データ型 ストリング
鍵暗号化アルゴリズム [バージョン 5 のみ]

鍵暗号化方式のアルゴリズム URI (Uniform Resource Identifier) を指定します。

以下のアルゴリズムがサポートされています。
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    IBM Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、 このアルゴリズムは含まれていません。 JDK 1.5 以降で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。

    デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用することができます。 プロパティー名は、com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。 プロパティー値は、以下のダイジェスト・メソッドの URI のいずれかです。
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定することができます。 プロパティー値は、オクテット・ストリングのベース 64 エンコードの値です。
    重要: これらのダイジェスト・メソッドおよび OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192。 192-bit 鍵暗号化アルゴリズムを使用するには、無制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
    注: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットの鍵暗号化アルゴリズムを使用しないでください。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256。 256-bit 鍵暗号化アルゴリズムを使用するには、無制限の JCE ポリシー・ファイルを ダウンロードする必要があります。
注: InvalidKeyException エラーが発生し、129xxx または 256xxx 暗号化アルゴリズムを使用している場合、無制限のポリシー・ファイルが 構成内に存在していない可能性があります。

Java Cryptography Extension

デフォルトでは、Java Cryptography Extension (JCE) は、効果が制限または限定された強力な暗号に付属しています。 192 ビットおよび 256 ビットの Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用するには、 無制限の管轄権ポリシー・ファイルを適用する必要があります。

注: これらのポリシー・ファイルをダウンロードする前に、 あらかじめ既存のポリシー・ファイル (WAS_HOME/jre/lib/security/ ディレクトリーの local_policy.jar および US_export_policy.jar) をバックアップしてから上書きするようにし、後でオリジナル・ファイルを復元できるようにしてください。
ポリシー・ファイルをダウンロードするには、次のいずれかのステップを行います。
これらのいずれかのステップを実行すると、2 つの Java アーカイブ (JAR) ファイルが Java 仮想マシン (JVM) jre/lib/security/ ディレクトリーに置かれます。

i5/OS オペレーティング・システム および IBM Software Development Kit 1.4

i5/OS オペレーティング・システム および IBM Software Development Kit バージョン 1.4 では、Web サービス・セキュリティーの調整は必要ありません。 IBM Software Development Kit バージョン 1.4 の 無制限の管轄権ポリシー・ファイルは、 前提ソフトウェアがインストールされるときに、 自動的に構成されます。

i5/OS オペレーティング・システム V5R3 および IBM Software Development Kit バージョン 1.4 の場合、Crypto Access Provider 128-bit (5722AC3) 製品を インストールすることにより、IBM Software Development Kit バージョン 1.4 の 無制限の管轄権ポリシー・ファイルが自動的に構成されます。

i5/OS オペレーティング・システム V5R4 および IBM Software Development Kit バージョン 1.4 の 場合、Extended Base Directory Support (5722SS1 Option 3) 製品を インストールすることにより、IBM Java Developer Kit 1.4 の 無制限の管轄権ポリシー・ファイルが自動的に構成されます。

i5/OS オペレーティング・システム および IBM Software Development Kit 1.5

i5/OS (V5R3 および V5R4 の両方) および IBM Software Development Kit バージョン 1.5 の場合、 制限付きの JCE 管轄権ポリシー・ファイルがデフォルトで構成されます。 無制限の JCE 管轄権ポリシー・ファイルは、 Web サイト IBM developer kit: IBM J2SE 5 SDKs からダウンロードできます。

i5/OS オペレーティング・システム および IBM Software Development Kit バージョン 1.5 に対して、 無制限の管轄権ポリシー・ファイルを構成するには、以下のようにします。
  1. 次のファイルのバックアップを作成します。
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 無制限のポリシー・ファイルを IBM developer kit: Security information から /QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにダウンロードします。
    1. 次の Web サイトに移動します。IBM developer kit: Security information
    2. J2SE 5.0」をクリックします。
    3. スクロールダウンしてから、「IBM SDK Policy files」をクリックします。 SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
    4. Sign in」をクリックして、IBM イントラネット ID とパスワードを入力します。
    5. 適切な無制限のポリシー・ファイルを選択し、「継続」をクリックします。
    6. ご使用条件が表示されたら、「同意します」をクリックします。
    7. Download Now」をクリックします。
  3. DSPAUT コマンドを使用して、*PUBLIC が *RX データ権限に 付与されていることと、local_policy.jar ファイルと US_export_policy.jar ファイル (/QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにあります) の いずれにも、オブジェクト権限が提供されていないことを確認します。以下に例を示します。
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要であれば、CHGAUT コマンドを使用して権限を変更します。以下に例を示します。
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
データ暗号化アルゴリズム [バージョン 5 のみ]

データ暗号化方式のアルゴリズム Uniform Resource Identifier (URI) を指定します。

以下のアルゴリズムがサポートされています。

デフォルトでは、JCE は、効果が制限または限定された強力な暗号に付属しています。 192 ビットおよび 256 ビット AES 暗号化アルゴリズムを使用するには、無制限の管轄権ポリシー・ファイルを適用する必要があります。 詳しくは、 鍵暗号化アルゴリズムのフィールドの説明を参照してください。




関連概念
基本セキュリティー・プロファイル準拠のヒント
関連タスク
アプリケーション・レベルでメッセージの機密性を保護するための、 JAX-RPC による暗号化の構成
関連資料
暗号化情報コレクション
鍵ロケーターのコレクション
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/uwbs_encryptrsb.html