Ajuste de la seguridad de servicios web para aplicaciones Versión 9.0

JCP (Java™ Cryptography Extension) está integrada en SDK (Software Development Kit) Versión 1.4.x y posteriores. Ya no es un paquete opcional. Sin embargo, el archivo de políticas de jurisdicción de JCE predeterminado facilitado con SDK le permite utilizar la criptografía para imponer esta política predeterminada. Además, puede modificar las opciones de configuración de la seguridad de servicios web para conseguir el mejor rendimiento para las aplicaciones protegidas de seguridad de servicios web.

Acerca de esta tarea

Utilización de los archivos de políticas JCE sin restricciones

Debido a las regulaciones de importación y exportación, el archivo de políticas de jurisdicción de JCE predeterminado facilitado con SDK le permite utilizar una criptografía sólida, pero limitada. Para garantizar esta política predeterminada, WebSphere Application Server utiliza un archivo de políticas de jurisdicción de JCE que puede afectar el rendimiento. La política de jurisdicción de JCE predeterminada afecta al rendimiento de las funciones criptográficas soportadas por la seguridad de servicios web. Si tiene aplicaciones de servicios web que utilizan la seguridad a nivel de transporte para el cifrado XML o las firmas digitales, es posible que se produzca una degradación del rendimiento en comparación con releases anteriores de WebSphere Application Server. Sin embargo, IBM® y Oracle Corporation proporcionan versiones de estos archivos de política de jurisdicción que no tienen restricciones en cuanto al nivel criptográfico. Si las regulaciones de importación y exportación de su país lo permiten, baje uno de estos archivos de política de jurisdicción. Después de bajar uno de estos archivos, es posible que el rendimiento de JCE y de la seguridad de servicios web mejore.

Avoid trouble Avoid trouble: Los fixpacks que contienen actualizaciones de Software Development Kit (SDK) podrían sobrescribir archivos de políticas sin restricciones y el archivo cacerts. Realice una copia de seguridad de los archivos de políticas sin restricciones y del archivo cacerts antes de aplicar un fixpack y vuelva a aplicar dichos archivos una vez aplicado el fixpack. Estos archivos se encuentran en el directorio {directorio_instalación_was}\java\jre\lib\security.gotcha
Importante: Es posible que su país de origen tenga restricciones sobre la importación, posesión, utilización o reexportación a otro país de software de cifrado. Antes de descargar o bien utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país, sus regulaciones y las políticas relativas a la importación, posesión, uso y reexportación de software cifrado, para determinar si está permitido.
Para las plataformas WebSphere Application Server que utilizan IBM Developer Kit, Java Technology Edition, Versión 6, puede obtener archivos de políticas de jurisdicción ilimitada completando los pasos siguientes:
  1. Vaya al sitio web siguiente: http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Pulse Java SE 6.
  3. Desplácese hacia abajo y pulse Archivos de políticas SDK de IBM.

    Se muestra el sitio web de archivos de políticas JCE sin restricciones para SDK.

  4. Pulse Inicio de sesión y proporcione el ID y la contraseña de la intranet de IBM o regístrese en IBM para bajar los archivos.
  5. Seleccione los archivos correctos de políticas JCE sin limitaciones y, a continuación, pulse Continuar.
  6. Lea el acuerdo de licencia y, a continuación, pulse Acepto.
  7. Pulse Download Now (Descargar ahora).

[IBM i]Para configurar los archivos de políticas de jurisdicción sin restricciones para IBM i y el kit de desarrollo de software de IBM, complete los pasos siguientes:

[IBM i]

Procedimiento

  1. Haga copias de seguridad de estos archivos:
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. Descargue los archivos de políticas sin limitaciones del directorio http://www.ibm.com/developerworks/java/jdk/security/index.html en el directorio /QIBM/ProdData/Java400/jdk6/lib/security.
  3. Vaya al sitio web siguiente: http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Pulse Java SE 6.
    2. Desplácese hacia abajo y pulse Archivos de políticas SDK de IBM. Se mostrarán los archivos de políticas JCE sin restricciones del sitio web del SDK.
    3. Pulse Inicio de sesión y proporcione su ID y contraseña de la intranet de IBM.
    4. Seleccione los archivos correctos de políticas JCE sin limitaciones y, a continuación, pulse Continuar.
    5. Lea el acuerdo de licencia y, a continuación, pulse Acepto.
    6. Pulse Download Now (Descargar ahora).
  4. Utilice el mandato DSPAUT para garantizar que a *PUBLIC se le otorga la autoridad de datos *RX pero esa autoridad sobre objeto no se proporciona ni al archivo local_policy.jar ni al archivo US_export_policy.jar, que están situados en el directorio /QIBM/ProdData/Java400/jdk6/lib/security. Por ejemplo:
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. Utilice el mandato CHGAUT para cambiar la autorización, si es necesario. Por ejemplo:
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

Resultados

Después de seguir estos pasos, se colocan dos archivos JAR (Java Archive) en el directorio de la JVM jre/lib/security/.

Utilización de las opciones de configuración para ajustar WebSphere Application Server

Cuando se utiliza WS-Security para la protección a nivel de mensajes del mensaje SOAP en WebSphere Application Server, la selección de las opciones de configuración puede afectar al rendimiento de la aplicación. Las directrices siguientes le ayudarán a conseguir el mejor rendimiento para las aplicaciones protegidas de WS-Security.
  1. Utilice WS-SecureConversation cuando sea necesario para las aplicaciones JAX-WS. Habitualmente, el rendimiento del uso de claves simétricas con un Secure Conversation es mejor que el de las claves asimétricas que se utilizan con X.509.
    Nota: Se da soporte al uso de WS-SecureConversation sólo en aplicaciones JAX-WS, no en aplicaciones JAX-RPC.
  2. Utilice los tipos de señal estándar que proporciona WebSphere Application Server. Se da soporte al uso de señales personalizadas, pero se consigue un mayor rendimiento con el uso de los tipos de señales proporcionados.
  3. Para las firmas, utilice sólo el algoritmo de transformación de canonicalización exclusivo. Consulte la Página web de recomendaciones W3 (http://www.w3.org/2001/10/xml-exc-c14n#) para obtener más información.
  4. Siempre que sea posible, evite utilizar la expresión XPath para seleccionar las partes del mensaje SOAP que desea proteger. Las políticas WS-Security que se proporcionan con WebSphere Application Server para las aplicaciones JAX-WS utilizan expresiones XPath para especificar la protección de determinados elementos en la cabecera de seguridad, como Timestamp, SignatureConfirmation y UsernameToken. El uso de estas expresiones XPath se optimiza, perro otros usos no.
  5. Aunque hay ampliaciones de Websphere Application Server para WS-Security que se pueden utilizar para insertar los elementos nonce y timestamp en las partes del mensaje SOAP antes de firmar o cifrar las partes del mensaje, debe evitar el uso de dichas ampliaciones para obtener un mejor rendimiento.
  6. Hay una opción para enviar el valor CipherValue codificado en base 64 de los elementos cifrados de WS-Security en forma de MTOM. En el caso de los elementos cifrados pequeños, el mejor rendimiento se consigue evitando esta opción. Por lo que se refiere a elementos cifrados mayores, el mejor rendimiento se consigue utilizando esta opción.
  7. Al firmar y cifrar elementos en el mensaje SOAP, especifique el orden firmar primero, cifrar después.
  8. Al añadir un elemento de indicación de fecha y hora al mensaje, dicha indicación se debe añadir a la cabecera de seguridad antes del elemento de firma. Esto se consigue utilizando la opción del diseño de la cabecera de seguridad Strict o LaxTimestampFirst en la configuración de política WS-Security.
  9. Para aplicaciones JAX-WS, utilice la configuración basada en políticas, en lugar de la configuración basada en la API de WSS.

Qué hacer a continuación

En IBM WebSphere Application Server Versión 6.1 o posteriores, la seguridad de servicios web da soporte a la utilización de dispositivos de hardware criptográfico. Existen dos maneras de utilizar los dispositivos criptográficos de hardware con la seguridad de servicios web. Para obtener más información, consulte el apartado Soporte de dispositivos criptográficos de hardware para la seguridad de servicios web.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
File name: twbs_tunev6wss.html