Soporte de dispositivos criptográficos de hardware para la seguridad de servicios web
En IBM® WebSphere Application Server Versión 6.1 o posteriores, la seguridad de servicios web da soporte a la utilización de dispositivos de hardware criptográfico. Existen dos maneras de utilizar los dispositivos criptográficos de hardware con la seguridad de servicios web.
Habilitación de operaciones criptográficas en dispositivos de hardware
Puede habilitar las operaciones criptográficas en dispositivos de hardware. Las claves utilizadas pueden almacenarse en un archivo de almacén de claves Java™. No es necesario almacenarlas en el dispositivo de hardware. La decisión de habilitar operaciones criptográficas en los dispositivos de hardware sólo se realiza a nivel de servidor, no a nivel de aplicación.
Si se habilitan las operaciones criptográficas en el dispositivo criptográfico, el tiempo de ejecución de la seguridad de servicios web primero intenta utilizar el dispositivo de hardware para las operaciones criptográficas. Si el intento para utilizar el dispositivo de hardware no es satisfactorio o si el dispositivo de hardware no da soporte al algoritmo, el tiempo de ejecución utiliza un proveedor de software de la lista de proveedores de seguridad.
Si habilita esta característica puede mejorar el rendimiento, dependiendo del dispositivo de hardware. Para obtener más información sobre cómo habilitar las operaciones criptográficas en los dispositivos de hardware, consulte Configuración de dispositivos criptográficos de hardware para la seguridad de servicios web.
Claves protegidas
Las claves criptográficas pueden almacenarse en el dispositivo criptográfico de hardware sin abandonar nunca el dispositivo. Estas claves protegidas se confinan al dispositivo criptográfico de hardware por motivos de seguridad y no por razones de rendimiento. La posibilidad de optar si se van a utilizar claves almacenadas en un dispositivo criptográfico de hardware o en un archivo de almacén de claves Java puede realizarse a nivel de aplicación.
Si la referencia de almacén de claves se ha especificado para que sea una configuración de dispositivo de hardware, el tiempo de ejecución de la seguridad de servicios web primero intenta obtener el algoritmo criptográfico del dispositivo de hardware. Si el algoritmo no está soportado o genera un error, el tiempo de ejecución utiliza un proveedor de software de la lista de proveedores de seguridad.
Para obtener más información sobre cómo habilitar claves seguras, consulte Habilitación de claves criptográficas almacenadas en dispositivos de hardware de la seguridad de servicios web.
Limitaciones
- No hay soporte para un cliente de servicios web que se ejecute como Java Platform, Enterprise Edition (Java EE) Application Client.
- No hay soporte para los dispositivos criptográficos de hardware en iSeries.
- Sólo la versión 6.1 y posteriores de las aplicaciones de seguridad de
servicios web pueden beneficiarse del soporte criptográfico de hardware.Nota: Las aplicaciones de seguridad de servicios web de las versiones 5.x y 6.0.x pueden ejecutarse en WebSphere Application Server Versión 6.1, pero no pueden beneficiarse del soporte criptográfico de hardware.
Utilización a largo plazo de las claves de sesión
Puede configurar WebSphere Application Server para que utilice el almacén de claves de hardware o puede configurar la tarjeta de aceleración de hardware para permitir el uso a largo plazo de las claves de sesión. Es posible que las claves de sesión no sean seguras.
Si le preocupa que las claves de sesión no sean seguras, configure WebSphere Application Server de modo que utilice el almacén de claves de hardware. Consulte la información acerca de cómo habilitar las claves criptográficas que se almacenan en dispositivos de hardware en la seguridad de servicios web.
- Para que nCipher aplique 1600 server Versión 2.23.6, siga las instrucciones de la documentación de cifrado.
- Puede establecer el parámetro CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm en el archivo de configuración cknfastrc. Este cambio de configuración elimina el límite de tiempo asociado a las claves de sesión.
- Siga la documentación de cifrado para reiniciar el servidor nCipher.
- Reinicie WebSphere Application Server.