Sie können die Verschlüsselungsdaten für die Generatorbindung auf der Server- oder Zellenebene konfigurieren.
Informationen zu diesem Vorgang
Die Verschlüsselungsdaten für den Standardgenerator geben an, wie die Daten auf der Senderseite verschlüsselt werden sollen, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application
Server stellt Standardwerte für diese Bindungen bereit. Diese Standardwerte müssen jedoch
vom Systemadministrator für die Produktionsumgebung geändert werden.
Sie können
die Verschlüsselungsdaten für die Generatorbindung auf der Server- und Zellenebene konfigurieren. In den nachfolgenden Schritten erstellen Sie
zunächst die Konfiguration für die Verschlüsselungsdaten auf der Serverebene. Anschließend erstellen Sie in einem weiteren Schritt die Konfiguration für die Verschlüsselungsdaten auf der Zellenebene:
- Greifen Sie auf die Standardbindungen für die Serverebene zu.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der
WebSphere Application Server Version 6.1 oder früher auf
Web-Services:
Standardbindungen für Web Services Security.
mixv
- Klicken Sie auf , um auf die Standardbindungen auf Zellenebene
zuzugreifen.
- Klicken Sie unter "Standardgeneratorbindungen" auf Verschlüsselungsdaten.
- Klicken Sie auf Neu, um eine Konfiguration für Schlüsseldaten zu erstellen,
klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer
vorhandenen Konfiguration für Schlüsseldaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name für Verschlüsselungsdaten" einen eindeutigen Namen ein. Beispielsweise können Sie den Namen gen_encinfo angeben.
Fehler vermeiden: Wenn Sie mehrere
Konfigurationen für Schlüsseldaten erstellen,
berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.
gotcha
- Wählen im Feld "Algorithmus für Datenverschlüsselung" einen Algorithmus aus. Dieser Algorithmus wird für die Verschlüsselung von Daten verwendet. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java™ Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Der Datenverschlüsselungsalgorithmus, den Sie für die Generatorseite auswählen, muss mit dem
Datenverschlüsselungsalgorithmus übereinstimmen, die Sie für die Konsumentenseite auswählen.
- Wählen Sie im Feld "Algorithmus für Schlüsselchiffrierung" einen Verschlüsselungsalgorithmus aus. Dieser Algorithmus wird für die Verschlüsselung des Schlüssels verwendet. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Wenn Sie mit
JDK 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der
unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der
unterstützten Schlüsseltransportalgorithmen, wenn Sie mit JDK
1.5 arbeiten.
Einschränkung: Dieser Algorithmus wird nicht unterstützt, wenn WebSphere
Application Server im FIPS-Modus (Federal Information Processing Standard) ausgeführt wird.
Standardmäßig verwendet der Algorithmus RSA-OAEP
den Message-Digest-Algorithmus SHA1, um einen Message-Digest im Rahmen der Verschlüsselungsoperation zu berechnen.
Optional können Sie den Message-Digest-Algorithmus SHA256 oder
SHA512 verwenden, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Der Eigenschaftsname ist
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod.
Als Eigenschaftswert können Sie einen der folgenden URIs der Digest-Methode angeben:
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Standardmäßig verwendet der Algorithmus RSA-OAEP eine Nullzeichenfolge für die
optionale Verschlüsselungsoktettzeichenfolge für die OAEPParams. Sie können eine
explizite Verschlüsselungsoktettzeichenfolge angeben, indem Sie eine Eigenschaft für den Verschlüsselungsalgorithmus für Schlüssel angeben.
Als Eigenschaftsnamen können Sie
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams angeben.
Der Eigenschaftswert ist der Base-64-verschlüsselte Wert der Oktettzeichenfolge.
Wichtig: Sie können diese Digest-Methode und die OAEPParams-Eigenschaften nur auf Generatorseite angeben.
Auf der Konsumentenseite werden diese Eigenschaften aus der eingehenden SOAP-Nachricht
(Simple Object Access Protocol) gelesen.
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Zur Verwendung dieses Algorithmus müssen Sie die
nicht eingeschränkte JCE-Richtliniendatei (Java Cryptography Extension) von der folgenden Website herunterladen:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Einschränkung: Verwenden Sie den Algorithmus für 192-Bit-Schlüsselverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
Wenn Sie Ohne auswählen, wird der Schlüssel nicht chiffriert.
Der Algorithmus für Schlüsselchiffrierung, den Sie für die Generatorseite auswählen, muss mit
dem Schlüsselchiffrieralgorithmus übereinstimmen, den Sie für die Konsumentenseite auswählen.
- Wählen Sie im Feld "Informationen zum Chiffrierschlüssel" einen Chiffrierschlüssel aus. Gibt den Namen des Schlüssels an, der für die Verschlüsselung der Nachricht verwendet wird. Informationen zum Konfigurieren
der Schlüsseldaten finden Sie im Artikel Schlüsseldaten für die Generatorbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Nächste Schritte
Sie müssen analog Verschlüsselungsdaten für den Konsumenten konfigurieren.