Unterstützung von Hardwareverschlüsselungseinheiten für Web Services Security
In IBM® WebSphere Application Server Version 6.1 und höher unterstützt Web Services Security die Verwendung von Hardwareverschlüsselungseinheiten. Sie haben zwei Möglichkeiten, Hardwareverschlüsselungseinheiten mit Web Services Security zu verwenden.
Verschlüsselungsoperationen auf Hardwareeinheiten aktivieren
Sie können Verschlüsselungsoperationen auf Hardwareeinheiten aktivieren. Die verwendeten Schlüssel können in einer Java™-Keystore-Datei gespeichert werden - es ist nicht erforderlich, sie in der Hardwareeinheit zu speichern. Die Entscheidung für die Aktivierung von Verschlüsselungsoperationen auf Hardwareeinheiten wird nur auf der Serverebene getroffen, nicht auf der Anwendungsebene.
Sind Verschlüsselungsoperationen auf einer Hardwareeinheit aktiviert, dann versucht die WS-Security-Laufzeit zunächst, die Hardwareeinheit für Verschlüsselungsoperationen zu verwenden. Falls dieser Versuch fehlschlägt oder falls der Algorithmus von der Hardwareeinheit nicht unterstützt wird, verwendet die Laufzeit einen Softwareprovider aus der Liste der Sicherheitsprovider.
Wenn Sie dieses Features aktivieren, kann sich je nach Hardwareeinheit die Leistung verbessern. Nähere Informationen dazu, wie Sie Verschlüsselungsoperationen auf Hardwareeinheiten aktivieren, finden Sie im Artikel Hardwareverschlüsselungseinheiten für Web Services Security konfigurieren.
Sichere Schlüssel
Chiffrierschlüssel können in der Hardwareverschlüsselungseinheit gespeichert werden und die Einheit niemals verlassen. Diese sicheren Schlüssel sind eher aufgrund von Sicherheitsaspekten anstatt aus Gründen der Leistungsverbesserung auf die Hardwareverschlüsselungseinheit beschränkt. Auf Anwendungsebene können Sie wählen, ob Schlüssel verwendet werden sollen, die in einer Hardwareverschlüsselungseinheit gespeichert sind, oder Schlüssel, die in einer Java-Keystore-Datei gespeichert sind.
Wird als Keystore-Referenz eine Hardwareeinheitenkonfiguration angegeben, versucht die WS-Security-Laufzeit zunächst, den Verschlüsselungsalgorithmus aus der Hardwareeinheit abzurufen. Wird der Algorithmus nicht unterstützt oder scheitert dieser Versuch, verwendet die Laufzeit einen Softwareprovider aus der Liste der Sicherheitsprovider.
Weitere Informationen dazu, wie sichere Schlüssel aktiviert werden, enthält der Artikel Auf Hardwareeinheiten gespeicherte Chiffrierschlüssel in Web Services Security aktivieren.
Einschränkungen
- Es gibt keine Unterstützung für einen Web-Service-Client, der als Java-EE-Anwendungsclient (Java Platform, Enterprise Edition) ausgeführt wird.
- Es gibt keine Unterstützung für Hardwareverschlüsselungseinheiten in iSeries.
- Nur WS-Security-Anwendungen der Version 6.1 und höher können die Unterstützung der Hardwareverschlüsselung nutzen.
Anmerkung: WS-Security-Anwendungen der Versionen 5.x und 6.0.x können in WebSphere Application Server Version 6.1 ausgeführt werden, allerdings können sie die Unterstützung der Hardwareverschlüsselung nicht nutzen.
Langfristige Nutzung von Sitzungsschlüsseln
Sie können WebSphere Application Server für die Verwendung des Hardware-Keystore konfigurieren. Sie haben auch die Möglichkeit, die Karte für Hardwarebeschleunigung dahingehend zu konfigurieren, dass sie die langfristige Verwendung von Sitzungsschlüsseln zulässt. Sitzungsschlüssel sind potenziell unsicher.
Wenn Sie hinsichtlich der Sicherheit von Sitzungsschlüsseln Bedenken haben, konfigurieren Sie WebSphere Application Server für die Verwendung des Hardware-Keystore. Lesen Sie die Informationen zur Aktivierung von auf Hardwareeinheiten gespeicherten Chiffrierschlüsseln für Web Services Security.
- Bei Verwendung von nCipher nforce 1600 server Version 2.23.6 befolgen Sie die Anweisungen der nCipher-Dokumentation.
- Sie können den Parameter CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm in der Konfigurationsdatei cknfastrc setzen. Diese Konfigurationsänderung hebt die zeitliche Begrenzung für Sitzungsschlüssel auf.
- Folgen Sie den Anweisungen der Cipher-Dokumentation zum Neustart des nCipher-Servers.
- Starten Sie WebSphere Application Server erneut.