Sie können die Verschlüsselungsdaten für die Anforderungskonsumenten- (Serverseite) und
die Antwortkonsumentenbindungen (Clientseite) auf Anwendungsebene angeben.
Informationen zu diesem Vorgang
Diese Task beschreibt, wie Sie die Verschlüsselungsdaten für die Bindungen für den Anforderungskonsumenten
(Serverseite) und den Antwortkonsumenten (Clientseite)
auf Anwendungsebene konfigurieren. Die Verschlüsselungsdaten auf der Konsumentenseite werden zum Entschlüsseln
der verschlüsselten Nachrichtenabschnitte in eingehenden SOAP-Nachrichten verwendet.
Führen Sie die folgenden Schritte aus, um die Verschlüsselungsdaten für den Anforderungskonsumenten oder
den Antwortkonsumenten in der Bindungsdatei auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Konfigurationsanzeige "Verschlüsselungsdaten" auf.
- Klicken Sie auf .
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Verschlüsselungsdaten für die Bindungen für den Anforderungskonsumenten
und den Antwortkonsumenten zugreifen.
- Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)"
auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services:
Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste
Bindungen bearbeiten.
- Klicken
Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine Konfiguration für Verschlüsselungsdaten zu erstellen,
klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer
vorhandenen Konfiguration für Verschlüsselungsdaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen möchten, geben Sie im Feld Name der Verschlüsselungsdaten
einen Namen ein. Sie können beispielsweise cons_encinfo eingeben.
- Wählen Sie im Feld Algorithmus für Datenverschlüsselung einen
Algorithmus für die Datenverschlüsselung aus. Der Datenverschlüsselungsalgorithmus wird für die Ver- und Entschlüsselung
von Teilen einer SOAP-Nachricht, wie z. B. den SOAP-Body oder das UsernameToken, verwendet.
WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Der Datenverschlüsselungsalgorithmus, den Sie für die Konsumentenseite auswählen, muss mit der
Datenverschlüsselungsmethode übereinstimmen, die Sie für die Generatorseite auswählen.
- Wählen Sie im Feld Algorithmus für Schlüsselchiffrierung einen Algorithmus für die Schlüsselchiffrierung aus. Der Algorithmus für Schlüsselchiffrierung wird für die Ver- und Entschlüsselung des Schlüssels verwendet,
mit dem die Nachrichtenabschnitte in der SOAP-Nachricht verschlüsselt werden.
Wählen Sie (Ohne) aus, wenn der Datenchiffrierschlüssel, d. h. der Schlüssel für die Verschlüsselung der Nachrichtenabschnitte, nicht verschlüsselt ist.
WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Wenn Sie mit
Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der
unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der
unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK
1.5 arbeiten.
Einschränkung: Dieser Algorithmus wird nicht unterstützt, wenn WebSphere
Application Server im FIPS-Modus (Federal Information Processing Standard) ausgeführt wird.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Zur Verwendung des Algorithmus "http://www.w3.org/2001/04/xmlenc#aes256-cbc"
müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Zur Verwendung des Algorithmus "http://www.w3.org/2001/04/xmlenc#kw-aes192"
müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Der Algorithmus für Schlüsselchiffrierung, den Sie für die Konsumentenseite auswählen, muss mit
der Schlüsselchiffriermethode übereinstimmen, den Sie für die Generatorseite auswählen.
- Optional: Wählen Sie im Feld Referenz auf Nachrichtenabschnitt
eine Referenz aus. Die Referenz gibt den Namen des verschlüsselten und im
Implementierungsdeskriptor definierten Nachrichtenabschnitts an. Sie können beispielsweise
den Nachrichtenabschnitt bodycontent im Implementierungsdeskriptor verschlüsseln.
Der Name des Abschnitts für erforderliche Vertraulichkeit ist conf_con. Der Nachrichtenabschnitt
wird als Option im Feld Abschnittsreferenz angezeigt.
- Klicken Sie unter "Weitere Eigenschaften" auf Referenzen auf Schlüsseldaten.
- Klicken Sie auf Neu, um eine Schlüsseldatenkonfiguration zu erstellen,
klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer
vorhandenen Schlüsseldatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name einen Namen ein. Beispielsweise
können Sie den Namen con_ekeyinfo angeben. Dieser Eintrag gibt den Namen des Elements <encryptionKeyInfo> in der Bindungsdatei an.
- Wählen Sie im Feld Referenz auf Schlüsseldaten eine Referenz aus. Diese Referenz ist der Wert des Attributs "keyinfoRef"
des Elements <encryptionKeyInfo> und der Name des Elements <keyInfo>,
auf das von dieser Schlüsseldatenreferenz verwiesen wird. Jeder Schlüsseldatenreferenzeintrag generiert
ein Element <encryptionKeyInfo> unter dem Element <encryptionInfo>
in der Bindungskonfigurationsdatei. Wenn Sie z. B. im Feld Name den Wert con_ekeyinfo und
im Feld Referenz auf Schlüsseldaten den Wert dec_keyinfo eingeben, wird das folgende
Element vom Typ <encryptionKeyInfo> in der Bindungsdatei generiert:
<encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843"
keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Sie haben die Verschlüsselungsdaten für die Konsumentenbindung auf Anwendungsebene konfiguriert.
Nächste Schritte
Sie müssen analog eine Konfiguration für Verschlüsselungsdaten für den Generator erstellen.