Web Services Security für Anwendungen von Version 9.0 optimieren
Java™ Cryptography Extension (JCE) ist in Software Development Kit (SDK) Version 1.4.x und höher integriert. JCE wird nicht mehr als optionales Paket bereitgestellt. Die mit SDK gelieferte JCE-Standardstandortrichtliniendatei ermöglicht Ihnen jedoch, diese Standardrichtlinie durch Verschlüsselung zu erzwingen. Darüber hinaus können Sie die Konfigurationsoptionen für Web Services Security ändern, um die bestmögliche Leistung für Anwendungen zu erzielen, die von WS-Security geschützt werden.
Informationen zu diesem Vorgang
Nicht eingeschränkte JCE-Richtliniendateien verwenden
Aufgrund der Export- und Importbestimmungen unterstützt die JCE-Standardstandortrichtliniendatei, die mit dem SDK bereitgestellt wird, nur eine starke, aber eingeschränkte Verschlüsselung. Zur Umsetzung dieser Standardrichtlinie verwendet WebSphere Application Server eine JCE-Standortrichtliniendatei, die erhebliche Auswirkungen auf die Leistung hat. Die JCE-Standardstandortrichtlinie kann sich erheblich auf die Leistung der Verschlüsselungsfunktionen auswirken, die von Web Services Security unterstützt werden. Wenn Sie mit Web-Service-Anwendungen arbeiten, die Sicherheit auf Transportschicht für XML-Verschlüsselung oder digitale Signaturen verwenden, ist in den früheren Releases von WebSphere Application Server unter Umständen eine Leistungsverschlechterung zu beobachten. IBM und Oracle Corporation stellen jedoch Versionen dieser Standortrichtliniendateien zur Verfügung, die keine Einschränkungen bezüglich des Verschlüsselungsgrads haben. Falls die gesetzlichen Import- und Exportbestimmungen Ihres Landes diese Versionen zulassen, laden Sie die Standortrichtliniendateien herunter. Nach dem Download dieser Dateien kann sich die Leistung von JCE und Web Services Security verbessern.

- Rufen Sie die folgende Website auf: http://www.ibm.com/developerworks/java/jdk/security/index.html
- Klicken Sie auf Java SE 6.
- Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files.
Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
- Klicken Sie auf Sign in, und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein, oder registrieren Sie sich bei IBM, um die Dateien herunterzuladen.
- Wählen Sie die gewünschten nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie dann auf Continue.
- Lesen Sie die Lizenzvereinbarung, und klicken Sie anschließend auf I Agree.
- Klicken Sie auf Download Now.
Zum Konfigurieren der nicht eingeschränkten Standortrichtliniendateien
für IBM® und IBM
i und das IBM Software
Development Kit führen Sie die folgenden Schritte aus:
![[IBM i]](../images/iseries.gif)
Vorgehensweise
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Ergebnisse
Konfigurationsoptionen für die Optimierung von WebSphere Application Server verwenden
- Verwenden Sie WS-SecureConversation, sofern dies für JAX-WS-Anwendungen angemessen ist.
Durch die Verwendung symmetrischer Schlüssel mit Secure Conversation wird in der Regel eine bessere Leistung als bei der Verwendung
asymmetrischer Schlüssel mit X.509 erzielt.Anmerkung: Die Verwendung von WS-SecureConversation wird nur für JAX-WS-Anwendungen unterstützt, nicht für JAX-RPC-Anwendungen.
- Verwenden Sie die mit WebSphere Application Server bereitgestellten Standardtokentypen. Die Verwendung angepasster Token wird zwar unterstützt, aber es wird eine höhere Leistung erzielt, wenn die bereitgestellten Tokentypen verwendet werden.
- Verwenden Sie für Signaturen nur den Umsetzungsalgorithmus für exklusive Kanonisierung. Weitere Informationen finden Sie auf der Webseite mit den W3-Empfehlungen (http://www.w3.org/2001/10/xml-exc-c14n#).
- Vermeiden Sie, sofern möglich, die Verwendung des XPath-Ausdrucks für die Auswahl der zu schützenden SOAP-Nachrichtenabschnitte. Die mit WebSphere Application Server für JAX-WS-Anwendungen bereitgestellten WS-Security-Richtlinien verwenden XPath-Ausdrücke, um den Schutz einiger Elemente im Sicherheitsheader, z. B. der Element "Timestamp", "SignatureConfirmation" und "UsernameToken", festzulegen. Die Verwendung dieser XPath-Ausdrücke ist hier optimiert, aber an anderen Stellen nicht.
- Obwohl es WS-Security-Erweiterungen in WebSphere Application Server gibt, die verwendet werden können, um nonce- und timestamp-Elemente in SOAP-Nachrichtenabschnitte vor dem Signieren oder Verschlüsseln der Nachrichtenabschnitte einzufügen, sollten Sie die Verwendung dieser Erweiterungen im Hinblick auf die Leistung vermeiden.
- Es gibt eine Option, um den Base-64-codierten Chiffrierwert von verschlüsselten WS-Security-Elementen als MTOM-Anhänge zu versenden. Für kleine verschlüsselte Elemente wird die beste Leistung erzielt, wenn die Verwendung dieser Option vermieden wird. Für größere verschlüsselte Elemente wird die beste Leistung erzielt, wenn diese Option verwendet wird.
- Legen Sie beim Signieren und Verschlüsseln von Elementen in der SOAP-Nachricht die Reihenfolge fest: erst signieren, dann verschlüsseln.
- Wenn Sie einer Nachricht ein Element "timestamp" hinzufügen, muss dieses im Sicherheitsheader vor dem Element "signature" hinzugefügt werden. Dazu wird in der WS-Security-Richtlinienkonfiguration die Layoutoption Strict oder LaxTimestampFirst des Sicherheitsheaders verwendet.
- Verwenden Sie für JAX-WS-Anwendungen die richtlinienbasierte Konfiguration anstelle der WSS-API-basierten Konfiguration.
Nächste Schritte
In IBM WebSphere Application Server Version 6.1 und höher unterstützt Web Services Security die Verwendung von Hardwareverschlüsselungseinheiten. Sie haben zwei Möglichkeiten, Hardwareverschlüsselungseinheiten mit Web Services Security zu verwenden. Weitere Informationen finden Sie im Artikel Unterstützung von Hardwareverschlüsselungseinheiten für Web Services Security.