Ajuste de la seguridad de servicios web para aplicaciones Versión 9.0
JCP (Java™ Cryptography Extension) está integrada en SDK (Software Development Kit) Versión 1.4.x y posteriores. Ya no es un paquete opcional. Sin embargo, el archivo de políticas de jurisdicción de JCE predeterminado facilitado con SDK le permite utilizar la criptografía para imponer esta política predeterminada. Además, puede modificar las opciones de configuración de la seguridad de servicios web para conseguir el mejor rendimiento para las aplicaciones protegidas de seguridad de servicios web.
Acerca de esta tarea
Utilización de los archivos de políticas JCE sin restricciones
Debido a las regulaciones de importación y exportación, el archivo de políticas de jurisdicción de JCE predeterminado facilitado con SDK le permite utilizar una criptografía sólida, pero limitada. Para garantizar esta política predeterminada, WebSphere Application Server utiliza un archivo de políticas de jurisdicción de JCE que puede afectar el rendimiento. La política de jurisdicción de JCE predeterminada afecta al rendimiento de las funciones criptográficas soportadas por la seguridad de servicios web. Si tiene aplicaciones de servicios web que utilizan la seguridad a nivel de transporte para el cifrado XML o las firmas digitales, es posible que se produzca una degradación del rendimiento en comparación con releases anteriores de WebSphere Application Server. Sin embargo, IBM® y Oracle Corporation proporcionan versiones de estos archivos de política de jurisdicción que no tienen restricciones en cuanto al nivel criptográfico. Si las regulaciones de importación y exportación de su país lo permiten, baje uno de estos archivos de política de jurisdicción. Después de bajar uno de estos archivos, es posible que el rendimiento de JCE y de la seguridad de servicios web mejore.

- Vaya al sitio web siguiente: http://www.ibm.com/developerworks/java/jdk/security/index.html
- Pulse Java SE 6.
- Desplácese hacia abajo y pulse Archivos de políticas SDK de IBM.
Se muestra el sitio web de archivos de políticas JCE sin restricciones para SDK.
- Pulse Inicio de sesión y proporcione el ID y la contraseña de la intranet de IBM o regístrese en IBM para bajar los archivos.
- Seleccione los archivos correctos de políticas JCE sin limitaciones y, a continuación, pulse Continuar.
- Lea el acuerdo de licencia y, a continuación, pulse Acepto.
- Pulse Download Now (Descargar ahora).
Para configurar los archivos de políticas de jurisdicción sin restricciones para IBM i y el kit de desarrollo de software de IBM, complete los pasos siguientes:
![[IBM i]](../images/iseries.gif)
Procedimiento
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Resultados
Utilización de las opciones de configuración para ajustar WebSphere Application Server
- Utilice WS-SecureConversation cuando sea necesario para las aplicaciones JAX-WS.
Habitualmente, el rendimiento del uso de claves simétricas con un Secure Conversation es mejor que el de las claves asimétricas que se utilizan con X.509.Nota: Se da soporte al uso de WS-SecureConversation sólo en aplicaciones JAX-WS, no en aplicaciones JAX-RPC.
- Utilice los tipos de señal estándar que proporciona WebSphere Application Server. Se da soporte al uso de señales personalizadas, pero se consigue un mayor rendimiento con el uso de los tipos de señales proporcionados.
- Para las firmas, utilice sólo el algoritmo de transformación de canonicalización exclusivo. Consulte la Página web de recomendaciones W3 (http://www.w3.org/2001/10/xml-exc-c14n#) para obtener más información.
- Siempre que sea posible, evite utilizar la expresión XPath para seleccionar las partes del mensaje SOAP que desea proteger. Las políticas WS-Security que se proporcionan con WebSphere Application Server para las aplicaciones JAX-WS utilizan expresiones XPath para especificar la protección de determinados elementos en la cabecera de seguridad, como Timestamp, SignatureConfirmation y UsernameToken. El uso de estas expresiones XPath se optimiza, perro otros usos no.
- Aunque hay ampliaciones de Websphere Application Server para WS-Security que se pueden utilizar para insertar los elementos nonce y timestamp en las partes del mensaje SOAP antes de firmar o cifrar las partes del mensaje, debe evitar el uso de dichas ampliaciones para obtener un mejor rendimiento.
- Hay una opción para enviar el valor CipherValue codificado en base 64 de los elementos cifrados de WS-Security en forma de MTOM. En el caso de los elementos cifrados pequeños, el mejor rendimiento se consigue evitando esta opción. Por lo que se refiere a elementos cifrados mayores, el mejor rendimiento se consigue utilizando esta opción.
- Al firmar y cifrar elementos en el mensaje SOAP, especifique el orden firmar primero, cifrar después.
- Al añadir un elemento de indicación de fecha y hora al mensaje, dicha indicación se debe añadir a la cabecera de seguridad antes del elemento de firma. Esto se consigue utilizando la opción del diseño de la cabecera de seguridad Strict o LaxTimestampFirst en la configuración de política WS-Security.
- Para aplicaciones JAX-WS, utilice la configuración basada en políticas, en lugar de la configuración basada en la API de WSS.
Qué hacer a continuación
En IBM WebSphere Application Server Versión 6.1 o posteriores, la seguridad de servicios web da soporte a la utilización de dispositivos de hardware criptográfico. Existen dos maneras de utilizar los dispositivos criptográficos de hardware con la seguridad de servicios web. Para obtener más información, consulte el apartado Soporte de dispositivos criptográficos de hardware para la seguridad de servicios web.