Verschlüsselung zum Schutz der Nachrichtenvertraulichkeit auf Anwendungsebene konfigurieren

Sie können die Verschlüsselungsdaten für die Anforderungskonsumenten- (Serverseite) und die Antwortkonsumentenbindungen (Clientseite) auf Anwendungsebene angeben.

Vorbereitende Schritte

Konfigurieren Sie die Schlüsseldaten, auf die in der Anzeige "Verschlüsselungsdaten" verwiesen wird. Weitere Informationen finden Sie im Artikel Schlüsseldaten für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren.

Informationen zu diesem Vorgang

Diese Task beschreibt, wie Sie die Verschlüsselungsdaten für die Bindungen für den Anforderungskonsumenten (Serverseite) und den Antwortkonsumenten (Clientseite) auf Anwendungsebene konfigurieren. Die Verschlüsselungsdaten auf der Konsumentenseite werden zum Entschlüsseln der verschlüsselten Nachrichtenabschnitte in eingehenden SOAP-Nachrichten verwendet.

Führen Sie die folgenden Schritte aus, um die Verschlüsselungsdaten für den Anforderungskonsumenten oder den Antwortkonsumenten in der Bindungsdatei auf Anwendungsebene zu konfigurieren:

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Konfigurationsanzeige "Verschlüsselungsdaten" auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Weitere Eigenschaften" können Sie auf die Verschlüsselungsdaten für die Bindungen für den Anforderungskonsumenten und den Antwortkonsumenten zugreifen.
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
    5. Klicken Sie auf Neu, um eine Konfiguration für Verschlüsselungsdaten zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für Verschlüsselungsdaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen möchten, geben Sie im Feld Name der Verschlüsselungsdaten einen Namen ein. Sie können beispielsweise cons_encinfo eingeben.
  2. Wählen Sie im Feld Algorithmus für Datenverschlüsselung einen Algorithmus für die Datenverschlüsselung aus. Der Datenverschlüsselungsalgorithmus wird für die Ver- und Entschlüsselung von Teilen einer SOAP-Nachricht, wie z. B. den SOAP-Body oder das UsernameToken, verwendet. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

      Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
      Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.

    Der Datenverschlüsselungsalgorithmus, den Sie für die Konsumentenseite auswählen, muss mit der Datenverschlüsselungsmethode übereinstimmen, die Sie für die Generatorseite auswählen.

  3. Wählen Sie im Feld Algorithmus für Schlüsselchiffrierung einen Algorithmus für die Schlüsselchiffrierung aus. Der Algorithmus für Schlüsselchiffrierung wird für die Ver- und Entschlüsselung des Schlüssels verwendet, mit dem die Nachrichtenabschnitte in der SOAP-Nachricht verschlüsselt werden. Wählen Sie (Ohne) aus, wenn der Datenchiffrierschlüssel, d. h. der Schlüssel für die Verschlüsselung der Nachrichtenabschnitte, nicht verschlüsselt ist. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
      Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.
      Einschränkung: Dieser Algorithmus wird nicht unterstützt, wenn WebSphere Application Server im FIPS-Modus (Federal Information Processing Standard) ausgeführt wird.
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      Zur Verwendung des Algorithmus "http://www.w3.org/2001/04/xmlenc#aes256-cbc" müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      Zur Verwendung des Algorithmus "http://www.w3.org/2001/04/xmlenc#kw-aes192" müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

      Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    Der Algorithmus für Schlüsselchiffrierung, den Sie für die Konsumentenseite auswählen, muss mit der Schlüsselchiffriermethode übereinstimmen, den Sie für die Generatorseite auswählen.

  4. Optional: Wählen Sie im Feld Referenz auf Nachrichtenabschnitt eine Referenz aus. Die Referenz gibt den Namen des verschlüsselten und im Implementierungsdeskriptor definierten Nachrichtenabschnitts an. Sie können beispielsweise den Nachrichtenabschnitt bodycontent im Implementierungsdeskriptor verschlüsseln. Der Name des Abschnitts für erforderliche Vertraulichkeit ist conf_con. Der Nachrichtenabschnitt wird als Option im Feld Abschnittsreferenz angezeigt.
  5. Klicken Sie unter "Weitere Eigenschaften" auf Referenzen auf Schlüsseldaten.
  6. Klicken Sie auf Neu, um eine Schlüsseldatenkonfiguration zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Schlüsseldatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name einen Namen ein. Beispielsweise können Sie den Namen con_ekeyinfo angeben. Dieser Eintrag gibt den Namen des Elements <encryptionKeyInfo> in der Bindungsdatei an.
  7. Wählen Sie im Feld Referenz auf Schlüsseldaten eine Referenz aus. Diese Referenz ist der Wert des Attributs "keyinfoRef" des Elements <encryptionKeyInfo> und der Name des Elements <keyInfo>, auf das von dieser Schlüsseldatenreferenz verwiesen wird. Jeder Schlüsseldatenreferenzeintrag generiert ein Element <encryptionKeyInfo> unter dem Element <encryptionInfo> in der Bindungskonfigurationsdatei. Wenn Sie z. B. im Feld Name den Wert con_ekeyinfo und im Feld Referenz auf Schlüsseldaten den Wert dec_keyinfo eingeben, wird das folgende Element vom Typ <encryptionKeyInfo> in der Bindungsdatei generiert:
    <encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843"
    keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
  8. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben die Verschlüsselungsdaten für die Konsumentenbindung auf Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen analog eine Konfiguration für Verschlüsselungsdaten für den Generator erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconsapp
Dateiname:twbs_configencryptinfoconsapp.html