Verschlüsselung zum Schutz der Nachrichtenvertraulichkeit auf Serverebene mit JAX-RPC konfigurieren

Sie können die Verschlüsselungsdaten für die Generatorbindung auf der Server- oder Zellenebene konfigurieren.

Informationen zu diesem Vorgang

Die Verschlüsselungsdaten für den Standardgenerator geben an, wie die Daten auf der Senderseite verschlüsselt werden sollen, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server stellt Standardwerte für diese Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden.

Sie können die Verschlüsselungsdaten für die Generatorbindung auf der Server- und Zellenebene konfigurieren. In den nachfolgenden Schritten erstellen Sie zunächst die Konfiguration für die Verschlüsselungsdaten auf der Serverebene. Anschließend erstellen Sie in einem weiteren Schritt die Konfiguration für die Verschlüsselungsdaten auf der Zellenebene:

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Standardgeneratorbindungen" auf Verschlüsselungsdaten.
  4. Klicken Sie auf Neu, um eine Konfiguration für Schlüsseldaten zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für Schlüsseldaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name für Verschlüsselungsdaten" einen eindeutigen Namen ein. Beispielsweise können Sie den Namen gen_encinfo angeben.
    Fehler vermeiden Fehler vermeiden: Wenn Sie mehrere Konfigurationen für Schlüsseldaten erstellen, berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.gotcha
  5. Wählen im Feld "Algorithmus für Datenverschlüsselung" einen Algorithmus aus. Dieser Algorithmus wird für die Verschlüsselung von Daten verwendet. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

      Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
    Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.

    Der Datenverschlüsselungsalgorithmus, den Sie für die Generatorseite auswählen, muss mit dem Datenverschlüsselungsalgorithmus übereinstimmen, die Sie für die Konsumentenseite auswählen.

  6. Wählen Sie im Feld "Algorithmus für Schlüsselchiffrierung" einen Verschlüsselungsalgorithmus aus. Dieser Algorithmus wird für die Verschlüsselung des Schlüssels verwendet. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
      Wenn Sie mit JDK 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit JDK 1.5 arbeiten.
      Einschränkung: Dieser Algorithmus wird nicht unterstützt, wenn WebSphere Application Server im FIPS-Modus (Federal Information Processing Standard) ausgeführt wird.
      Standardmäßig verwendet der Algorithmus RSA-OAEP den Message-Digest-Algorithmus SHA1, um einen Message-Digest im Rahmen der Verschlüsselungsoperation zu berechnen. Optional können Sie den Message-Digest-Algorithmus SHA256 oder SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Der Eigenschaftsname ist com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
      Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Als Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben. Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
      Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben. Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht (Simple Object Access Protocol) gelesen.
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.

      Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    Wenn Sie Ohne auswählen, wird der Schlüssel nicht chiffriert.

    Der Algorithmus für Schlüsselchiffrierung, den Sie für die Generatorseite auswählen, muss mit dem Schlüsselchiffrieralgorithmus übereinstimmen, den Sie für die Konsumentenseite auswählen.

  7. Wählen Sie im Feld "Informationen zum Chiffrierschlüssel" einen Chiffrierschlüssel aus. Gibt den Namen des Schlüssels an, der für die Verschlüsselung der Nachricht verwendet wird. Informationen zum Konfigurieren der Schlüsseldaten finden Sie im Artikel Schlüsseldaten für die Generatorbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren.
  8. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben die Verschlüsselungsdaten für die Generatorbindung auf Server- und Zellenebene konfiguriert.

Nächste Schritte

Sie müssen analog Verschlüsselungsdaten für den Konsumenten konfigurieren.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogensvrcell
Dateiname:twbs_configencryptinfogensvrcell.html