Verschlüsselung zum Schutz der Nachrichtenvertraulichkeit auf Anwendungsebene mit JAX-RPC konfigurieren
Sie können für die Anforderungsgeneratorbindungen (Clientseite) und die Antwortgeneratorbindungen (Serverseite) Verschlüsselungsdaten konfigurieren, die festlegen, wie die Generatoren (Sender) abgehende Nachrichten verschlüsseln.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Diese Task beschreibt, wie Sie die Verschlüsselungsdaten für die Bindungen für den Anforderungsgenerator (Clientseite) und den Antwortgenerator (Serverseite) auf Anwendungsebene konfigurieren. Diese Verschlüsselungsdaten werden verwendet, um anzugeben, wie Generatoren (Sender) abgehende Nachrichten verschlüsseln.
Führen Sie die folgenden Schritte aus, um die Verschlüsselungsdaten für den Anforderungsgenerator bzw. den Antwortgenerator in der Bindungsdatei auf Anwendungsebene konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Konfigurationsanzeige für Verschlüsselungsdaten auf.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine Konfiguration für Verschlüsselungsdaten zu erstellen. Klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für Verschlüsselungsdaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name der Verschlüsselungsdaten einen Namen ein. Beispielsweise können Sie den Namen gen_encinfo angeben.
- Wählen Sie im Feld Algorithmus für Datenverschlüsselung einen
Algorithmus für die Datenverschlüsselung aus. Gibt den Algorithmus für die Verschlüsselung von Nachrichtenabschnitten an. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Der Datenverschlüsselungsalgorithmus, den Sie für die Generatorseite auswählen, muss mit der Datenverschlüsselungsmethode übereinstimmen, die Sie für die Konsumentenseite auswählen.
- Wählen Sie im Feld Algorithmus für Schlüsselchiffrierung einen Algorithmus für die Schlüsselchiffrierung aus. Gibt den Verschlüsselungsalgorithmus für Schlüssel an. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.Einschränkung: Dieser Algorithmus wird nicht unterstützt, wenn WebSphere Application Server im FIPS-Modus (Federal Information Processing Standard) ausgeführt wird.Standardmäßig verwendet der Algorithmus RSA-OAEP den Message-Digest-Algorithmus SHA1, um einen Message-Digest im Rahmen der Verschlüsselungsoperation zu berechnen. Optional können Sie den Message-Digest-Algorithmus SHA256 oder SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Als Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod angeben. Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben. Als Eigenschaftsnamen können Sie com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben. Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben. Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht (Simple Object Access Protocol) gelesen. - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Zur Verwendung dieses Algorithmus müssen Sie die nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen: http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Der Verschlüsselungsalgorithmus für Schlüssel, den Sie für die Generatorseite auswählen, muss mit der Verschlüsselungsmethode für Schlüssel übereinstimmen, die Sie für die Konsumentenseite auswählen.
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
- Wählen Sie im Menü "Informationen zum Chiffrierschlüssel" eine Referenz auf die Informationen zum Chiffrierschlüssel aus. Gibt eine Referenz auf den Chiffrierschlüssel an, der für die Verschlüsselung von Nachrichtenabschnitten verwendet wird. Informationen zum Konfigurieren der Schlüsseldaten finden Sie im Artikel Mit JAX-RPC Schlüsseldaten für die Generatorbindung auf Anwendungsebene konfigurieren.
- Wählen Sie im Feld Referenz auf Nachrichtenabschnitt eine Referenz aus. Dieses Feld gibt den Namen der Referenz auf Nachrichtenabschnitte für das Generatorbindungselement im Implementierungsdeskriptor an.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Verschlüsselungsdaten
Verwenden Sie diese Seite, um die Konfiguration für die Verschlüsselung und Entschlüsselung von Parametern festzulegen. Die Konfiguration wird verwendet, um Teile der Nachrichten einschließlich des Hauptteils und des Benutzernamenstoken zu verschlüsseln und zu entschlüsseln.Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte
Verwenden Sie diese Seite, um die Ver- und Entschlüsselungsparameter zu konfigurieren. Mit diesen Parametern können Sie verschiedene Abschnitte der Nachricht, einschließlich des Hauptteils und des Tokens, ver- und entschlüsseln.Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden
Verwenden Sie diese Seite, um die Verschlüsselungs- und Entschlüsselungsparameter für die Signaturmethode, die Digest-Methode und die Kanonisierungsmethode zu konfigurieren.Verschlüsselungsdaten
Verwenden Sie diese Seite, um die Konfiguration für die Verschlüsselung und Entschlüsselung von Parametern festzulegen. Die Konfiguration wird verwendet, um Teile der Nachrichten einschließlich des Hauptteils und des Benutzernamenstoken zu verschlüsseln und zu entschlüsseln.Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte
Verwenden Sie diese Seite, um die Ver- und Entschlüsselungsparameter zu konfigurieren. Mit diesen Parametern können Sie verschiedene Abschnitte der Nachricht, einschließlich des Hauptteils und des Tokens, ver- und entschlüsseln.Konfigurationseinstellungen für Verschlüsselungsdaten: Methoden
Verwenden Sie diese Seite, um die Verschlüsselungs- und Entschlüsselungsparameter für die Signaturmethode, die Digest-Methode und die Kanonisierungsmethode zu konfigurieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogenapp
Dateiname:twbs_configencryptinfogenapp.html