サーバー・レベルまたはセル・レベルでジェネレーター・バインディングの暗号化情報を構成できます。
始める前に
ベスト・プラクティス: WebSphere Application Server Version
6.1 Feature Pack for Web Services は、本製品の機能を拡張して、Java API for XML-Based Web Services (JAX-WS) 2.0 の
プログラミング・モデルを導入できるようにします。
JAX-WS は、次世代の Web サービス・プログラミング・モデルであり、
Java API for XML-based RPC (JAX-RPC) プログラミング・モデルが提供する
基盤を提供します。戦略的 JAX-WS プログラミング・モデルを使用すると、
標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が
容易になります。
JAX-RPC プログラミング・モデルとアプリケーションは
引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを
新規に開発する場合は、
実装が容易な JAX-WS プログラミング・モデルをご利用ください。bprac
このタスクについて
デフォルトのジェネレーターの暗号化情報は、
これらのバインディングがアプリケーション・レベルで定義されていない場合に、どのように送信側で情報を暗号化するかを指定します。
WebSphere Application Server は、バインディングのデフォルト値を提供します。
しかし、管理者は実稼働環境に合わせてデフォルトを変更する必要があります。
サーバー・レベルおよびセル・レベルでジェネレーター・バインディングの暗号化情報を構成できます。
以下のステップでは、最初のステップでサーバー・レベルの暗号化情報を構成し、第 2 ステップでセル・レベルの暗号化情報を構成します。
プロシージャー
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」とクリックします。
- 「セキュリティー」の下の「Web サービス: Web サービス・セキュリティーの
デフォルト・バインディング」をクリックします。
- 「セキュリティー」>「Web サービス」とクリックして、
セル・レベルでデフォルト・バインディングにアクセスします。
- 「デフォルト・ジェネレーター・バインディング」の下の「暗号化情報」をクリックします。
- 「新規」をクリックして暗号化情報構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、
「Encryption information name」フィールドに暗号化構成の固有の名前を入力します。
例えば、gen_encinfo と指定します。
- 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを選択します。
このアルゴリズムはデータの暗号化に使用されます。WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
ジェネレーター側に対して選択するデータ暗号化アルゴリズムは、
コンシューマー側に対して選択するデータ暗号化アルゴリズムと一致している必要があります。
- 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。
このアルゴリズムは鍵の暗号化に使用されます。WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
JDK 1.4 で実行する場合は、
サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。
JDK 1.5 で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS)
モードで稼働している場合、このアルゴリズムはサポートされません。
デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。
オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または
SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。
プロパティー名は
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。
プロパティー値は、ダイジェスト・メソッドの以下の URI のいずれかです。
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
デフォルトで RSA-OAEP アルゴリズムは、OAEPParams
用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。
鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。
プロパティー名として、
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定します。
プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。
重要: これらのダイジェスト方式および OAEPParams プロパティーを設定できるのは、
ジェネレーター側のみです。コンシューマー側では、着信する Simple Object Access Protocol
(SOAP) メッセージからこれらのプロパティーが読み取られます。
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
このアルゴリズムを使用するには、
Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
このアルゴリズムを使用するには、
Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
192 ビットの鍵暗号化アルゴリズムを使用しないでください。
「なし」を選択すると、鍵は暗号化されません。
ジェネレーター側に対して選択する鍵暗号化アルゴリズムは、
コンシューマー側に対して選択する鍵暗号化アルゴリズムと一致している必要があります。
- 「Encryption key information」フィールドから暗号鍵構成を選択します。
この属性は、メッセージを暗号化するために使用する鍵の名前を指定します。
鍵情報を構成するには、サーバーまたはセル・レベルでのジェネレーター・バインディングの鍵情報の構成
を参照してください。
- 「OK」をクリックしてから「保管」をクリックして、構成を保管します。
結果
サーバー・レベルまたはセル・レベルでジェネレーター・バインディングの暗号化情報が構成されました。
次の作業
コンシューマー用に同様の暗号化情報構成を指定する必要があります。