Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte
Verwenden Sie diese Seite, um die Ver- und Entschlüsselungsparameter zu konfigurieren. Mit diesen Parametern können Sie verschiedene Abschnitte der Nachricht, einschließlich des Hauptteils und des Tokens, ver- und entschlüsseln.
- Klicken Sie auf .
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" oder "JAX-RPC-Standardkonsumentenbindungen" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine neue Verschlüsselungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Verschlüsselungskonfiguration.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "JAX-RPC-Standardgeneratorbindungen" oder "JAX-RPC-Standardkonsumentenbindungen" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine neue Verschlüsselungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Verschlüsselungskonfiguration.
- Klicken Sie auf .
- Klicken Sie unter "Module" auf .
- Unter "Web-Services-Security-Eigenschaften" können Sie auf die Verschlüsselungsdaten für die folgenden Bindungen zugreifen:
- Klicken Sie für den Anforderungsgenerator auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie für den Anforderungskonsumenten auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie für den Antwortgenerator auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie für den Antwortkonsumenten auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten. Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine neue Verschlüsselungskonfiguration zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Verschlüsselungskonfiguration.
Name der Verschlüsselungsdaten
Der Name der Verschlüsselungsdaten.
Information | Wert |
---|---|
Datentyp | String |
Algorithmus für Datenverschlüsselung
Der Algorithmus-URI (Uniform Resource Identifier) der Datenverschlüsselungsmethode.
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc. Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html. Weitere Informationen finden Sie im Artikel Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc. Wenn Sie diesen Algorithmus verwenden möchten, müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website
herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.
Weitere Informationen finden Sie im Artikel "Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden" in der
Onlinehilfe.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie uneingeschränkte Standortrichtliniendateien anwenden. Nähere Informationen finden Sie in der Beschreibung des Feldes Algorithmus für Schlüsselverschlüsselung.
Referenz auf Key-Locator
Gibt den Namen der Key-Locator-Konfiguration an, die den Schlüssel für die digitale XML-Signatur und XML-Verschlüsselung abruft.
Das Feld "Key-Locator-Referenz" wird für Anforderungsempfänger- und Antwortempfängerbindungen angezeigt.
Sie können die Optionen für die Referenz auf den Key-Locator auf Serverebene, Zellenebene und Anwendungsebene konfigurieren. Die in dem Feld aufgelisteten Konfigurationen sind eine Kombination aus den Konfigurationen dieser drei Ebenen.
Name der Bindung | Serverebene, Zellenebene oder Anwendungsebene | Pfad |
---|---|---|
Standardgeneratorbindungen | Zellenebene |
|
Standardkonsumentenbindungen | Zellenebene |
|
Standardgeneratorbindungen | Serverebene |
|
Standardkonsumentenbindung | Serverebene |
|
Anforderungssender | Anwendungsebene |
|
Anforderungsempfänger | Anwendungsebene |
|
Antwortsender | Anwendungsebene |
|
Antwortempfänger | Anwendungsebene |
|
Algorithmus für Schlüsselverschlüsselung
Gibt den Algorithmus-URI (Uniform Resource Identifier) der Verschlüsselungsmethode für den Schlüssel an.
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit Software Development Kit (SDK) Version 1.5 oder höher arbeiten.
Standardmäßig verwendet der Algorithmus RSA-OAEP den Message-Digest-Algorithmus SHA1, um einen Message-Digest im Rahmen der Verschlüsselungsoperation zu berechnen. Optional können Sie den Message-Digest-Algorithmus SHA256 oder SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Der Eigenschaftsname ist com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Als Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben. Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht (Simple Object Access Protocol) gelesen. - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
- http://www.w3.org/2001/04/xmlenc#kw-aes256
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Anwendungsserverplattformen und IBM Developer Kit, Java Technology Edition Version 1.4.2
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption Standard) verwenden möchten, müssen Sie uneingeschränkte Standortrichtliniendateien anwenden.
Bevor Sie diese
Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien (local_policy.jar und US_export_policy.jar im
Verzeichnis WAS_HOME/java/jre/lib/security/) sichern, da diese Dateien überschrieben werden und
sonst für den Fall, dass die Originaldateien wiedergeherstellt werden müssten, sonst nicht mehr zur Verfügung stünden.
Bevor Sie diese
Richtliniendateien herunterladen, müssen Sie die vorhandenen Richtliniendateien
(local_policy.jar und
US_export_policy.jar im Verzeichnis
WAS_HOME/java/lib/security/)
sichern, da diese Dateien überschrieben werden und
sonst für den Fall, dass die Originaldateien wiedergeherstellt werden müssten, sonst nicht mehr zur Verfügung stünden.

Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Anwendungsserverplattformen, die IBM Developer Kit, Java Technology Edition Version 1.4.2 verwenden (dazu gehören AIX, Linux und Windows), können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: IBM® developer works: Security Information
- Klicken Sie auf Java 1.4.2.
- Klicken Sie auf IBM SDK Policy files.
Daraufhin wird die Website "Unrestricted JCE Policy files for the SDK" angezeigt.
- Geben Sie Ihre Benutzer-ID und das Kennwort ein oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
Die uneingeschränkten Standortrichtliniendateien für Anwendungsserverplattformen, die das Sun-basierte Java SE Development Kit 6 (JDK 6) Version 1.4.2 verwenden (dazu gehören die Solaris-Umgebungen und HP-UX), können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: Download, v 1.4.2 (Java EE).
- Klicken Sie auf Archive area.
- Suchen Sie die Information "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2" und klicken Sie auf Download. Die Richtliniendatei wird auf Ihre Maschine heruntergeladen.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Anwendungsserverplattform und IBM Developer Kit, Java Technology Edition Version 5
Standardmäßig wird JCE (Java Cryptography Extension) mit eingeschränkten
Chiffriergraden oder beschränkten Schlüssellängen geliefert. Wenn Sie die 192-Bit- und 256-Bit-AES-Verschlüsselungsalgorithmen (Advanced Encryption
Standard) verwenden möchten, müssen Sie uneingeschränkte Standortrichtliniendateien anwenden. Sichern Sie vor dem
Download dieser Richtliniendateien die vorhandenen Richtliniendateien
(local_policy.jar und US_export_policy.jar im Verzeichnis
WAS_HOME/java/jre/lib/security/
WAS_HOME/java/lib/security/) für denn Fall, dass Sie die
beim Download überschriebenen ursprünglichen Dateien zu einem späteren Zeitpunkt wiederherstellen möchten.
- Die
Standortrichtliniendateien mit den nicht eingeschränkten
Verschlüsselungsklassen für Anwendungsserverplattformen, die
IBM Developer
Kit, Java Technology Edition Version 5,
verwenden, können Sie wie folgt herunterladen:
- Rufen Sie die folgende Website auf: IBM developer works: Security Information
- Klicken Sie auf Java 5.
- Klicken Sie auf IBM SDK Policy files.
Die Website mit den nicht eingeschränkten JCE-Richtliniendateien für SDK 5 erscheint.
- Geben Sie Ihre Benutzer-ID und das Kennwort ein oder registrieren Sie sich bei IBM, um die Richtliniendateien herunterzuladen. Die Richtliniendateien werden auf Ihre Maschine heruntergeladen.
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit Version 1.4:
- Für das Betriebssystem IBM i (früher IBM i V5R3) und IBM Software Development Kit Version 1.4 werden die nicht eingeschränkten Standortrichtliniendateien für IBM Software Development Kit Version 1.4 automatisch durch Installation des Produkts "5722AC3, Crypto Access Provider 128-bit" konfiguriert.
- Installieren Sie für IBM i 5.4 und IBM Software Development Kit Version 1.4 das Produkt "5722SS1 Option 3, Extended Base Directory Support".
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit Version 1.5:
Für IBM i 5.4 und IBM i (früher IBM i V5R3) und IBM Software Development Kit 1.5 werden standardmäßig die eingeschränkten JCE-Standortrichtliniendateien konfiguriert. Sie können die nicht eingeschränkten JCE-Richtliniendateien von der folgenden Website herunterladen: IBM developer works: Security Information, Version 5.
- Erstellen Sie Sicherungskopien der folgenden Dateien:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Laden Sie die nicht eingeschränkten Richtliniendateien von der Website
IBM developerworks: Security Information in das Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security herunter.
- Rufen Sie die folgende Website auf: http://www.ibm.com/developerworks/java/jdk/security/index.html.
- Klicken Sie auf J2SE 5.0.
- Blättern Sie nach unten und klicken Sie auf IBM SDK Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
- Klicken Sie auf Sign in und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein.
- Wählen Sie die richtigen nicht eingeschränkten JCE-Richtliniendateien aus und klicken Sie anschließend auf Continue.
- Sehen Sie sich die Lizenzvereinbarung an und klicken Sie anschließend auf I Agree.
- Klicken Sie auf Download Now.
- Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird
und dass die Dateien local_policy.jar und
US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk15/lib/security keine Objektberechtigungen erhalten.
Beispiel:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Angepasste Algorithmen auf Zellenebene
- Klicken Sie auf .
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmuszuordnungen.
- Klicken Sie auf Neu, um eine neue Algorithmuszuordnung anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmus-URI.
- Klicken Sie auf Neu, um einen neuen Algorithmus-URI zu erstellen. Sie müssen im Feld Algorithmustyp die Einstellung Schlüsselchiffrierung eingeben, damit die Konfiguration im Feld Algorithmus für Schlüsselchiffrierung der Anzeige mit den Konfigurationseinstellungen für Verschlüsselungsdaten angezeigt wird.
Angepasste Algorithmen auf Serverebene
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmuszuordnungen.
- Klicken Sie auf Neu, um eine neue Algorithmuszuordnung anzugeben, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um deren Einstellungen zu modifizieren.
- Klicken Sie unter "Weitere Eigenschaften" auf Algorithmus-URI.
- Klicken Sie auf Neu, um einen neuen Algorithmus-URI zu erstellen. Sie müssen im Feld Algorithmustyp die Einstellung Schlüsselchiffrierung eingeben, damit die Konfiguration im Feld Algorithmus für Schlüsselchiffrierung der Anzeige mit den Konfigurationseinstellungen für Verschlüsselungsdaten angezeigt wird.
Informationen zum Chiffrierschlüssel
Gibt den Namen der für die Verschlüsselung verwendete Referenz auf die Schlüsseldaten an. Diese Referenz wird vom angegebenen Key-Locator in den eigentlichen Schlüssel aufgelöst und in den Schlüsseldaten definiert.
Sie müssen eine oder keine Chiffrierschlüsselkonfiguration für die Anforderungsgenerator- und die Antwortgeneratorbindungen angeben.
Für die Antwortkonsumenten- und Anforderungskonsumentenbindungen können Sie mehrere Referenzen auf Chiffrierschlüssel konfigurieren. Klicken Sie zum Erstellen einer neuen Referenz auf Chiffrierschlüssel unter "Weitere Eigenschaften" auf Referenz auf Schlüsseldaten.
Name der Bindung | Serverebene, Zellenebene oder Anwendungsebene | Pfad |
---|---|---|
Standardgeneratorbindungen | Zellenebene |
|
Standardkonsumentenbindung | Zellenebene |
|
Standardgeneratorbindungen | Serverebene |
|
Standardkonsumentenbindung | Serverebene |
|
Anforderungsgeneratorbindung (Sender) | Anwendungsebene |
|
Antwortgeneratorbindung (Sender) | Anwendungsebene |
|
Referenzen auf Nachrichtenabschnitte
Gibt den Namen des Elements <confidentiality> für die Generatorbindung bzw. des Elements <requiredConfidentiality> für die Konsumentenbindungen im Implementierungsdeskriptor an.
Dieses Feld ist nur auf Anwendungsebene verfügbar.