Web Services Security für Anwendungen von Version 9.0 optimieren

Java™ Cryptography Extension (JCE) ist in Software Development Kit (SDK) Version 1.4.x und höher integriert. JCE wird nicht mehr als optionales Paket bereitgestellt. Die mit SDK gelieferte JCE-Standardstandortrichtliniendatei ermöglicht Ihnen jedoch, diese Standardrichtlinie durch Verschlüsselung zu erzwingen. Darüber hinaus können Sie die Konfigurationsoptionen für Web Services Security ändern, um die bestmögliche Leistung für Anwendungen zu erzielen, die von WS-Security geschützt werden.

Informationen zu diesem Vorgang

Nicht eingeschränkte JCE-Richtliniendateien verwenden

Aufgrund der Export- und Importbestimmungen unterstützt die JCE-Standardstandortrichtliniendatei, die mit dem SDK bereitgestellt wird, nur eine starke, aber eingeschränkte Verschlüsselung. Zur Umsetzung dieser Standardrichtlinie verwendet WebSphere Application Server eine JCE-Standortrichtliniendatei, die erhebliche Auswirkungen auf die Leistung hat. Die JCE-Standardstandortrichtlinie kann sich erheblich auf die Leistung der Verschlüsselungsfunktionen auswirken, die von Web Services Security unterstützt werden. Wenn Sie mit Web-Service-Anwendungen arbeiten, die Sicherheit auf Transportschicht für XML-Verschlüsselung oder digitale Signaturen verwenden, ist in den früheren Releases von WebSphere Application Server unter Umständen eine Leistungsverschlechterung zu beobachten. IBM und Oracle Corporation stellen jedoch Versionen dieser Standortrichtliniendateien zur Verfügung, die keine Einschränkungen bezüglich des Verschlüsselungsgrads haben. Falls die gesetzlichen Import- und Exportbestimmungen Ihres Landes diese Versionen zulassen, laden Sie die Standortrichtliniendateien herunter. Nach dem Download dieser Dateien kann sich die Leistung von JCE und Web Services Security verbessern.

Fehler vermeiden Fehler vermeiden: Fixpacks, die Aktualisierungen für Software Development Kit (SDK) enthalten, können uneingeschränkte Richtliniendateien und die Datei cacerts überschreiben. Sichern Sie die uneingeschränkten Richtliniendateien und die Datei cacerts, bevor Sie ein Fixpack anwenden und diese Dateien nach der Anwendung des Fixpacks erneut anwenden. Diese Dateien befinden sich im Verzeichnis {WAS-Installationsverzeichnis}\java\jre\lib\security.gotcha
Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Die Richtliniendateien mit den uneingeschränkten Verschlüsselungsklassen für Plattformen von WebSphere Application Server, die IBM Developer Kit, Java Technology Edition Version 6 verwenden, können Sie wie folgt herunterladen:
  1. Rufen Sie die folgende Website auf: http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Klicken Sie auf Java SE 6.
  3. Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files.

    Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.

  4. Klicken Sie auf Sign in, und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein, oder registrieren Sie sich bei IBM, um die Dateien herunterzuladen.
  5. Wählen Sie die gewünschten nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie dann auf Continue.
  6. Lesen Sie die Lizenzvereinbarung, und klicken Sie anschließend auf I Agree.
  7. Klicken Sie auf Download Now.

[IBM i]Zum Konfigurieren der nicht eingeschränkten Standortrichtliniendateien für IBM® und IBM i und das IBM Software Development Kit führen Sie die folgenden Schritte aus:

[IBM i]

Vorgehensweise

  1. Erstellen Sie Sicherungskopien der folgenden Dateien:
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. Laden Sie die nicht eingeschränkten Richtliniendateien von der Webseite http://www.ibm.com/developerworks/java/jdk/security/index.html in das Verzeichnis /QIBM/ProdData/Java400/jdk6/lib/security herunter.
  3. Rufen Sie die folgende Website auf: http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Klicken Sie auf Java SE 6.
    2. Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files. Die nicht eingeschränkten JCE-Richtliniendateien für die SDK-Website werden angezeigt.
    3. Klicken Sie auf Sign in, und geben Sie Ihre IBM Intranet-ID und Ihr Kennwort ein.
    4. Wählen Sie die gewünschten nicht eingeschränkten JCE-Richtliniendateien aus, und klicken Sie dann auf Continue.
    5. Lesen Sie die Lizenzvereinbarung, und klicken Sie anschließend auf I Agree.
    6. Klicken Sie auf Download Now.
  4. Verwenden Sie den Befehl DSPAUT, um sicherzustellen, dass *PUBLIC die Datenberechtigung *RX erteilt wird, aber dass die Dateien local_policy.jar und US_export_policy.jar im Verzeichnis /QIBM/ProdData/Java400/jdk6/lib/security keine Objektberechtigung erhalten. Beispiel:
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. Verwenden Sie den Befehl CHGAUT, wenn Sie Berechtigungen ändern müssen. Beispiel:
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

Ergebnisse

Nachdem Sie diese Schritte ausgeführt haben, befinden sich zwei JAR-Dateien (Java Archive im JVM-Verzeichnis jre/lib/security/.

Konfigurationsoptionen für die Optimierung von WebSphere Application Server verwenden

Wenn Sie WS-Security für den Schutz von SOAP-Nachrichten auf Nachrichtenebene in WebSphere Application Server verwenden, kann sich die Auswahl der Konfigurationsoptionen auf die Leistung der Anwendung auswirken. Die folgenden Richtlinien helfen Ihnen, die beste Leistung für Ihre mit WS-Security geschützten Anwendungen zu erzielen.
  1. Verwenden Sie WS-SecureConversation, sofern dies für JAX-WS-Anwendungen angemessen ist. Durch die Verwendung symmetrischer Schlüssel mit Secure Conversation wird in der Regel eine bessere Leistung als bei der Verwendung asymmetrischer Schlüssel mit X.509 erzielt.
    Anmerkung: Die Verwendung von WS-SecureConversation wird nur für JAX-WS-Anwendungen unterstützt, nicht für JAX-RPC-Anwendungen.
  2. Verwenden Sie die mit WebSphere Application Server bereitgestellten Standardtokentypen. Die Verwendung angepasster Token wird zwar unterstützt, aber es wird eine höhere Leistung erzielt, wenn die bereitgestellten Tokentypen verwendet werden.
  3. Verwenden Sie für Signaturen nur den Umsetzungsalgorithmus für exklusive Kanonisierung. Weitere Informationen finden Sie auf der Webseite mit den W3-Empfehlungen (http://www.w3.org/2001/10/xml-exc-c14n#).
  4. Vermeiden Sie, sofern möglich, die Verwendung des XPath-Ausdrucks für die Auswahl der zu schützenden SOAP-Nachrichtenabschnitte. Die mit WebSphere Application Server für JAX-WS-Anwendungen bereitgestellten WS-Security-Richtlinien verwenden XPath-Ausdrücke, um den Schutz einiger Elemente im Sicherheitsheader, z. B. der Element "Timestamp", "SignatureConfirmation" und "UsernameToken", festzulegen. Die Verwendung dieser XPath-Ausdrücke ist hier optimiert, aber an anderen Stellen nicht.
  5. Obwohl es WS-Security-Erweiterungen in WebSphere Application Server gibt, die verwendet werden können, um nonce- und timestamp-Elemente in SOAP-Nachrichtenabschnitte vor dem Signieren oder Verschlüsseln der Nachrichtenabschnitte einzufügen, sollten Sie die Verwendung dieser Erweiterungen im Hinblick auf die Leistung vermeiden.
  6. Es gibt eine Option, um den Base-64-codierten Chiffrierwert von verschlüsselten WS-Security-Elementen als MTOM-Anhänge zu versenden. Für kleine verschlüsselte Elemente wird die beste Leistung erzielt, wenn die Verwendung dieser Option vermieden wird. Für größere verschlüsselte Elemente wird die beste Leistung erzielt, wenn diese Option verwendet wird.
  7. Legen Sie beim Signieren und Verschlüsseln von Elementen in der SOAP-Nachricht die Reihenfolge fest: erst signieren, dann verschlüsseln.
  8. Wenn Sie einer Nachricht ein Element "timestamp" hinzufügen, muss dieses im Sicherheitsheader vor dem Element "signature" hinzugefügt werden. Dazu wird in der WS-Security-Richtlinienkonfiguration die Layoutoption Strict oder LaxTimestampFirst des Sicherheitsheaders verwendet.
  9. Verwenden Sie für JAX-WS-Anwendungen die richtlinienbasierte Konfiguration anstelle der WSS-API-basierten Konfiguration.

Nächste Schritte

In IBM WebSphere Application Server Version 6.1 und höher unterstützt Web Services Security die Verwendung von Hardwareverschlüsselungseinheiten. Sie haben zwei Möglichkeiten, Hardwareverschlüsselungseinheiten mit Web Services Security zu verwenden. Weitere Informationen finden Sie im Artikel Unterstützung von Hardwareverschlüsselungseinheiten für Web Services Security.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
Dateiname:twbs_tunev6wss.html