Puede configurar la información de cifrado para los enlaces de consumidor de solicitudes (en el servidor) y de consumidor de respuestas (en el cliente) a nivel de aplicación.
Acerca de esta tarea
En esta tarea se proporcionan los pasos necesarios para la configuración de la
información de cifrado para los enlaces del consumidor de solicitudes (en el servidor) y
del consumidor de respuestas (en el cliente) en el nivel de aplicación.
La información de cifrado
del consumidor se utiliza para descifrar las partes cifradas del mensaje del mensaje SOAP entrante.
Efectúe los pasos siguientes para
configurar la información de cifrado del consumidor de solicitudes o la sección del
consumidor de respuestas del archivo de enlaces en el nivel de aplicación:
Procedimiento
- Localice el panel de configuración de la información de cifrado en la consola
administrativa.
- Pulse .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de seguridad de servicios web, puede acceder a la información
de cifrado para los enlaces del consumidor de solicitudes y del consumidor de respuestas.
- Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web:
enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de solicitudes, pulse
Editar personalizado.
- Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web:
enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse
Editar personalizado.
- En Propiedades necesarias, pulse Información de cifrado.
- Pulse Nuevo para crear una configuración de información de cifrado,
pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de
una configuración de información de cifrado existente para editar sus valores. Si está creando una nueva configuración, escriba un nombre en el campo Nombre de la información de cifrado. Por ejemplo, puede especificar cons_encinfo.
- Seleccione un algoritmo de cifrado de datos del campo Algoritmo de cifrado de datos. El algoritmo de cifrado de datos se utiliza para cifrar o descifrar las partes de un mensaje SOAP como, por ejemplo, el texto SOAP o la señal de nombre de usuario.
WebSphere Application Server admite los algoritmos preconfigurados
siguientes:
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Para utilizar este algoritmo, debe
descargar el archivo de políticas JCE (Java™ Cryptography Extension) sin limitaciones del
sitio web:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
Para utilizar este algoritmo, debe
descargar el archivo de políticas JCE (Java Cryptography Extension) sin limitaciones del
sitio web:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Restricción: No utilice el algoritmo de cifrado de datos de 192 bits si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).
Importante: Es posible que su país de origen tenga
restricciones sobre la importación, posesión, utilización o reexportación a otro país de
software de cifrado. Antes de descargar o bien utilizar los archivos de políticas sin
restricciones, debe consultar las leyes de su país, sus regulaciones y las políticas
relativas a la importación, posesión, uso y reexportación de software cifrado, para
determinar si está permitido.
El algoritmo de cifrado de datos que seleccione para el consumidor debe coincidir
con el método de cifrado de datos que seleccione para el generador.
- Seleccione un algoritmo de cifrado de claves del campo Algoritmo de cifrado de claves. El algoritmo de cifrado de claves se utiliza para el cifrado de la clave que
se utiliza para cifrar las partes del mensaje contenidas en el mensaje SOAP. Seleccione (ninguno) si la clave de cifrado de datos, que es la clave utilizada
para cifrar las partes del mensaje, no está cifrada. WebSphere Application Server admite los algoritmos preconfigurados
siguientes:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Cuando ejecuta SDK
(Software Development Kit) Versión 1.4, la lista de algoritmos de transporte clave soportada no incluye este algoritmo. Este algoritmo aparece en la lista de algoritmos de transporte clave soportados cuando se ejecuta SDK versión 1.5.
Restricción: Este algoritmo no se admite cuando WebSphere
Application Server esté en ejecución en la modalidad FIPS (Federal Information Processing Standard).
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Para utilizar el algoritmo
http://www.w3.org/2001/04/xmlenc#aes256-cbc, debe descargar el archivo de políticas JCE
(Java Cryptography Extension) sin limitaciones del sitio web:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Para utilizar el algoritmo
http://www.w3.org/2001/04/xmlenc#kw-aes192, debe descargar el archivo de políticas JCE
(Java Cryptography Extension) sin limitaciones del sitio web:
http://www.ibm.com/developerworks/java/jdk/security/index.html.
Restricción: No utilice el algoritmo de cifrado de datos de 192 bits si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).
El algoritmo de cifrado de claves que seleccione para el consumidor debe
coincidir con el método de cifrado de claves que seleccione para el generador.
- Opcional: Seleccione una referencia de parte en el campo Referencia de parte. La referencia de partes especifica el nombre de la parte del mensaje que está
cifrada y definida en el descriptor de despliegue. Por ejemplo, puede cifrar la parte del
mensaje de bodycontent en el descriptor de despliegue. El nombre de esta parte de confidencialidad obligatoria es conf_con. Esta parte del mensaje se muestra como una opción del campo Referencia de partes.
- En Propiedades adicionales, pulse
Referencias de información de claves.
- Pulse Nuevo para crear una configuración de información de claves,
pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de
una configuración de información de claves existente para editar sus
valores. Si está creando una nueva configuración, escriba un nombre en el campo Nombre. Por ejemplo, puede especificar con_ekeyinfo. Esta entrada es el nombre del elemento <encryptionKeyInfo> en el archivo de enlaces.
- Seleccione una referencia de información de claves desde el campo Referencia de información de claves. Esta referencia es el valor del atributo keyinfoRef del elemento <encryptionKeyInfo> y
es el nombre del elemento <keyInfo> al que hace referencia esta referencia de información de claves. Cada entrada
de referencia de información de claves genera un elemento <encryptionKeyInfo> bajo el elemento <encryptionInfo>
en el archivo de configuración de claves.
Por ejemplo, si escribe con_ekeyinfo en el campo
Nombre y dec_keyinfo en el campo Referencia de información de claves,
se genera el siguiente elemento <encryptionKeyInfo> en el archivo de enlaces:
<encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843"
keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
- Pulse Aceptar y, a continuación, pulse Guardar
para guardar la configuración.
Resultados
Ha configurado la información de cifrado para el enlace de consumidor en el
nivel de aplicación
Qué hacer a continuación
Debe especificar una configuración de información de cifrado similar para el
generador.