Paramètres de configuration des informations de chiffrement : Méthodes
Cette page permet de configurer les paramètres de chiffrement et de déchiffrement pour les méthodes de canonisation, de prétraitement et de signature.
Les spécifications indiquées dans cette page pour la méthode de signature, la méthode simplifiée et la méthode de canonisation sont disponibles dans le document W3C (World Wide Web Consortium) intitulé, XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002.
- Cliquez sur
- Cliquez sur Editer. Sous Propriétés de la sécurité des services Web, cliquez sur Informations de chiffrement. . Dans la section Liaison de l'émetteur de demande, cliquez sur
- Sous Modules, cliquez sur Editer. Sous Propriétés de la sécurité des services Web, cliquez sur Informations de chiffrement. . Dans la section Liaison d'émetteur de réponse, cliquez sur
et procédez comme suit : - Sélectionnez Aucune ou Informations de chiffrement dédiées. Le serveur d'applications peut comporter l'une des deux configurations de chiffrement pour les liaisons d'émetteur de demande ou d'émetteur de réponse, ou bien aucune. Si vous n'utilisez pas le chiffrement, sélectionnez Aucune. Pour configurer le chiffrement pour l'une de ces deux liaisons, sélectionnez Informations de chiffrement dédiées et indiquez les paramètres de configuration à l'aide des zones décrites dans cette rubrique.
Nom des informations de chiffrement
Indique le nom des informations de chiffrement.
Référence du localisateur de clé
Indique le nom utilisé pour référencer le localisateur de clé.
Vous pouvez configurer cette option au niveau de la cellule, du serveur et de l'application. Les configurations listées dans la zone sont une combinaison des configurations définies à ces trois niveaux.
- Cliquez sur .
- Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Cliquez sur .
- Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des services Web.mixv
- Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux localisateurs de clé
pour les liaisons suivantes :
- Pour l'émetteur de demande, cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison de l'émetteur de demande, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Pour le récepteur de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Dans la section Liaison de récepteur de demande, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Pour l'émetteur de réponse, cliquez sur Services Web : Liaisons de sécurité du serveur. Dans la section Liaison d'émetteur de réponse, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Pour le récepteur de réponse, cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison de récepteur de réponse, cliquez sur Editer. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
Nom de clé de chiffrement
Indique le nom de la clé de chiffrement qui est converti en clé réelle par le localisateur de clé.
Information | valeur |
---|---|
Type de données | String (chaîne) |
Algorithme de chiffrement des clés
Indique l'URI (uniform resource identifier) de l'algorithme de la méthode de chiffrement de clés.
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Lorsqu'elle s'exécute avec IBM® Software Development Kit (SDK) Version 1.4, la liste des algorithmes de transport de clé prise en charge n'inclut pas cet algorithme. Cet algorithme apparaît dans la liste des algorithmes de transport de clé pris en charge lors de l'exécution avec JDK version 1.5 ou ultérieure.
Par défaut, l'algorithme RSA-OAEP utilise l'algorithme de synthèse de message SHA1 pour calculer une synthèse de message pendant le chiffrement. Vous pouvez éventuellement utiliser l'algorithme de synthèse de message SHA256 ou SHA512 en indiquant une propriété d'algorithme de chiffrement des clés. Le nom de la propriété est : com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. La valeur de la propriété correspond à l'une des URI suivantes de la méthode simplifiée :- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Par défaut, l'algorithme RSA-OAEP utilise une chaîne nulle pour la chaîne d'octets de codage facultative de OAEPParams. Vous pouvez fournir une chaîne d'octets de codage en définissant une propriété d'algorithme de chiffrement des clés. Pour le nom de la propriété, vous pouvez utiliser com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. La valeur de la propriété correspond à la valeur codée en base 64 de la chaîne d'octets.Important : Vous pouvez configurer cette méthode simplifiée et les propriétés OAEPParams côté générateur uniquement. Côté client, ces propriétés sont lues à partir du message SOAP entrant. - http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- http://www.w3.org/2001/04/xmlenc#kw-tripledes.
- http://www.w3.org/2001/04/xmlenc#kw-aes128.
- http://www.w3.org/2001/04/xmlenc#kw-aes192.
Pour utiliser l'algorithme de chiffrement de clé 192 bits, vous devez télécharger le fichier de règles JCE
(Java™ Cryptography Extension), version non limitée.Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
- http://www.w3.org/2001/04/xmlenc#kw-aes256. Pour utiliser l'algorithme de chiffrement de clé 256 bits, vous devez télécharger le fichier de règles JCE sans restriction.
Java Cryptography Extension
Par défaut, l'extension JCE (Java Cryptography Extension) est fournie avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES (Advanced Encryption Standard) 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Plateformes de serveur d'applications et IBM Developer Kit, Java Technology Edition, version 1.4.2
Pour les plateformes de serveur d'applications utilisant IBM Developer Kit, Java Technology Edition, version 1.4.2, y compris les plateformes AIX, Linux et Windows, procédez comme suit pour obtenir des fichiers de règles sans restriction :
- Accédez au site Web suivant : IBM developer kit: Security information
- Cliquez sur Java 1.4.2
- Cliquez sur IBM SDK Policy files.
Les fichiers de règles sans restriction JCE pour SDK 1.4 s'affiche.
- Entrez votre ID utilisateur et votre mot de passe ou enregistrez-vous auprès d'IBM pour télécharger les fichiers de règles. Ces derniers sont téléchargés sur votre machine.
Pour les plateformes de serveur d'applications utilisant le kit JDK Java SE Development Kit 6 (JDK 6) Version 1.4.2 basées sur Sun, y compris les environnements Solaris et la plateforme HP-UX, procédez comme suit pour obtenir des fichiers de règles sans restriction :
- Accédez au site Web suivant : http://java.sun.com/j2se/1.4.2/download.html
- Cliquez sur Archive area.
- Au niveau des informations Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2, cliquez sur Download. Le fichier jce_policy-1_4_1.zip est téléchargé sur votre machine.
![[IBM i]](../images/iseries.gif)
IBM i et IBM SDK 1.4
Pour IBM i et IBM SDK version 1.4, l'optimisation de la sécurité des services Web n'est pas nécessaire. Les fichiers de règles de juridiction sans restriction pour le kit SDK IBM version 1.4 sont automatiquement configurés lors de l'installation des logiciels prérequis.
Pour le système d'exploitation IBM i 5.4 et IBM SDK Version 1.4, les fichiers de règles sans restriction d'IBM Java Developer Kit 1.4 sont automatiquement configurés à l'installation du produit 5722SS1 Option 3, Extended Base Directory Support.
Pour IBM i (anciennement appelé IBM i V5R3) et IBM SDK Version 1.4, les fichiers de règles sans restriction d'IBM SDK Version 1.4 sont automatiquement configurés à l'installation du produit 5722AC3, Crypto Access Provider 128 bits.
![[IBM i]](../images/iseries.gif)
IBM i et IBM SDK 1.5
Pour IBM i 5.4 et IBM i (anciennement appelé IBM i V5R3) et IBM SDK 1.5, les fichiers de règles JCE avec restriction sont configurés par défaut. Vous pouvez télécharger les fichiers de règles JCE sans restriction à partir du site Web suivant : Security information: IBM J2SE 5 SDKs
- Effectuez une sauvegarde de ces fichiers :
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Téléchargez les fichiers de règles sans restriction de
IBM
developer kit: Security information vers le répertoire
/QIBM/ProdData/Java400/jdk15/lib/security.
- Accédez à ce site Web : IBM developer kit: Security information
- Cliquez sur J2SE 5.0.
- Faites défiler la liste et cliquez sur IBM SDK Policy files. Le site Web des fichiers de règles sans restriction JCE pour SDK s'affiche.
- Cliquez sur Sign in et saisissez votre ID et mot de passe Intranet IBM.
- Sélectionnez les fichiers de règles sans restriction appropriés, puis cliquez sur Continuer.
- Lisez le contrat de licence et cliquez sur I Agree.
- Cliquez sur Download Now.
- Avec la commande DSPAUT, vérifiez que *PUBLIC bénéficie des droits sur les données *RX mais vérifiez également qu'aucun droit sur les objets n'a été accordé aux fichiers local_policy.jar et US_export_policy.jar dans le répertoire /QIBM/ProdData/Java400/jdk15/lib/security.
Par exemple :
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- Utilisez la commande CHGAUT pour modifier les droits, au besoin. Par exemple :
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorithme de chiffrement des données
Indiquez les URI (Uniform Resource Identifier) d'algorithme de la méthode de chiffrement de données.
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes192-cbcRestriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Par défaut, l'extension JCE est livrée avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées. Pour plus d'informations, voir la description de la zone Algorithme de chiffrement de clé.