Optimisation de la sécurité des Services Web pour les applications Version 9.0
JCE (Java™ Cryptography Extension ) est intégré au kit de développement de logiciels (SDK) version 1.4.x. Ce n'est plus un package facultatif. Toutefois, le fichier de règles de juridiction JCE fourni avec le kit SDK permet d'utiliser la cryptographie pour appliquer ces règles par défaut. En outre, vous pouvez modifier les options de configuration de sécurité des services Web afin d'obtenir les performances optimales pour les applications protégées par la sécurité des services Web.
Pourquoi et quand exécuter cette tâche
Utilisation des fichiers de règles JCE sans restriction
Le fichier de règles de juridiction JCE par défaut livré avec le kit SDK permet d'utiliser une cryptographie de niveau élevée, mais limitée en raison des réglementations d'exportation et d'importation. Pour appliquer ces règles par défaut, WebSphere Application Server utilise un fichier de règles de juridiction JCE qui peut avoir un certain impact sur les performances. Les règles de juridiction JCE par défaut peuvent avoir un impact sur les performances des fonctions cryptographiques prises en charge par la sécurité des Services Web. Si vous utilisez des applications de services Web qui font appel à la sécurité au niveau transport pour le chiffrement XML ou à des signatures numériques, vous risquez de constater une diminution des performances par rapport aux versions précédentes de WebSphere Application Server. Il faut savoir qu'IBM® et Oracle Corporation fournissent des versions de ces fichiers de règles de juridiction qui ne limitent pas les performances cryptographiques. Si les réglementations gouvernementales en matière d'importation et d'exportation vous le permettent, téléchargez l'un de ces fichiers. Le téléchargement de l'un de ces fichiers peut améliorer les performances de la sécurité des Services Web et de JCE.

- Accédez au site Web http://www.ibm.com/developerworks/java/jdk/security/index.html
- Cliquez sur Java SE 6
- Faites défiler la liste et cliquez sur IBM SDK Policy files.
Le site Web des fichiers de règles sans restriction JCE pour SDK s'affiche.
- Cliquez sur Sign in et indiquez votre ID d'intranet IBM et votre mot de passe ou inscrivez-vous auprès d'IBM pour télécharger les fichiers.
- Sélectionnez les fichiers de règles non restreintes approprié puis cliquez sur Continue.
- Lisez le contrat de licence et cliquez sur I Agree.
- Cliquez sur Download Now.
Pour configurer les fichiers de règles de juridiction sans restriction pour IBM i and the IBM Software Development Kit, procédez comme suit :
![[IBM i]](../images/iseries.gif)
Procédure
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Résultats
Utilisation des options de configuration pour ajuster WebSphere Application Server
- Utilisez WS-SecureConversation lorsque cela est approprié pour les applications JAX-WS.
L'utilisation de clés symétriques avec une conversation sécurisée s'exécute généralement mieux qu'avec des clés asymétriques utilisées avec X.509.Remarque : L'utilisation de WS-SecureConversation est prise en charge uniquement pour les applications JAX-WS, et pas pour les applications JAX-RPC.
- Utilisez les types de jeton standard fournis par WebSphere Application Server. L'utilisation de jetons personnalisés est prise en charge, mais des performances supérieures sont obtenues lorsque les types de jeton fournis sont utilisés.
- Pour les signatures, utilisez uniquement l'algorithme de transformation de canonisation exclusive. Pour plus d'informations, consultez la page Web the W3 Recommendation (http://www.w3.org/2001/10/xml-exc-c14n#).
- Autant que possible, évitez l'utilisation de l'expression XPath pour sélectionner les parties de messages SOAP à protéger. Les règles WS-Security fournies avec WebSphere Application Server pour les applications JAX-WS utilisent des expressions XPath pour spécifier la protection de certains éléments dans l'en-tête de sécurité, tels que Timestamp, SignatureConfirmation et UsernameToken. L'utilisation de ces expressions XPath est optimisée, mais les autres utilisations ne le sont pas.
- Bien que certaines extensions WebSphere Application Server vers WS-Security puissent être utilisées pour insérer des éléments Nonce et Timestamp dans des parties de messages SOAP avant la signature ou le chiffrement des parties du message, l'utilisation de ces extensions pour obtenir de meilleures performances est à éviter.
- Il existe une option qui permet d'envoyer la valeur de chiffrement (cipherValue) codée 64 bits des éléments chiffrés WS-Security en tant que pièces jointes MTOM. Pour les petits éléments chiffrés, les meilleures performances sont obtenues en évitant cette option. Pour les éléments chiffrés de plus grande taille, les meilleures performances sont obtenues en utilisant cette option.
- Lors de la signature et du chiffrement des éléments dans le message SOAP, spécifiez l'ordre avec d'abord la signature, puis le chiffrement.
- Lors de l'ajout d'un élément d'horodatage à un message, l'horodatage doit être ajouté dans l'en-tête de sécurité avant l'élément de signature. Ceci peut être réalisé à l'aide de l'option de présentation d'en-tête de sécurité Strict ou LaxTimestampFirst dans la configuration des règles WS-Security.
- Pour les applications JAX-WS, utilisez la configuration basée sur les règles plutôt que celle basée sur des API WSS.
Que faire ensuite
Dans IBM WebSphere Application Server Version 6.1 et les versions suivantes, la sécurité des Services Web prend en charge l'utilisation des périphériques cryptographiques matériels. Les dispositifs de chiffrement avec la sécurité des Services Web peuvent être utilisés de deux manières. Pour plus d'informations, voir Prise en charge des périphériques cryptographiques matériels pour la sécurité des services Web.