Paramètres de configuration des informations de chiffrement : Parties de message
Cette page permet de configurer les paramètres de chiffrement et de déchiffrement. Ces paramètres permettent de chiffrer et de déchiffrer diverses parties du messages, y compris le corps et le jeton.
- Cliquez sur .
- Dans la section Liaisons de générateur par défaut JAX-RPC ou Liaisons de destinataire par défaut JAX-RPC, cliquez sur Informations de chiffrement.
- Cliquez sur Nouveau pour créer une nouvelle configuration de chiffrement ou cliquez sur le nom d'une configuration existante.
- Cliquez sur .
- Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
- Dans la section Liaisons de générateur par défaut JAX-RPC ou Liaisons de destinataire par défaut JAX-RPC, cliquez sur Informations de chiffrement.
- Cliquez sur Nouveau pour créer une nouvelle configuration de chiffrement ou cliquez sur le nom d'une configuration existante.
- Cliquez sur .
- Sous Modules, cliquez sur .
- Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations de chiffrement
pour les liaisons suivantes :
- Pour le générateur de demande, cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés requises, cliquez sur Informations de chiffrement.
- Pour le consommateur de demande, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés requises, cliquez sur Informations de chiffrement.
- Pour le générateur de réponse, cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés requises, cliquez sur Informations de chiffrement.
- Pour le consommateur de réponse, cliquez sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur), cliquez sur Editer les valeurs personnalisées. Dans la section Propriétés requises, cliquez sur Informations de chiffrement.
- Cliquez sur Nouveau pour créer une nouvelle configuration de chiffrement, ou bien cliquez sur le nom d'une configuration existante pour la modifier.
Nom des informations de chiffrement
Indique le nom des informations de chiffrement.
Informations | Value |
---|---|
Type de données | String (chaîne) |
Algorithme de chiffrement des données
Indique l'URI (Uniform Resource Identifier) de l'algorithme de la méthode de chiffrement des données.
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc. Pour utiliser cet algorithme, vous devez télécharger le fichier de règles non limité JCE (Java™ Cryptography Extension) à partir du site Web http://www.ibm.com/developerworks/java/jdk/security/index.html. Pour plus d'informations, voir Paramètres de configuration des informations de chiffrement : Méthodes.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc.
Pour utiliser cet algorithme, vous devez télécharger le fichier de règles JCE (Java Cryptography Extension), version non limitée (unrestricted), à partir du site web suivant : http://www.ibm.com/developerworks/java/jdk/security/index.html.
Pour plus d'informations, voir la rubrique d'aide intitulée Paramètres de configuration des informations de chiffrement : Méthodes.Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
Par défaut, l'extension JCE (Java Cryptography Extension) est livrée avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES (Advanced Encryption Standard) 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées. Pour plus d'informations, voir la description de la zone Algorithme de chiffrement de clé.
Référence du localisateur de clé
Spécifie le nom de la configuration du localisateur de clé chargé de récupérer la clé utilisée pour la signature numérique XML et le chiffrement XML.
La zone Référence du localisateur de clé est affichée pour les liaisons du récepteur de demande et du récepteur de réponse.
Vous pouvez configurer cette option au niveau du serveur, de la cellule et de l'application. Les configurations listées dans la zone sont une combinaison des configurations définies à ces trois niveaux.
Nom de la liaison | Niveau serveur, niveau cellule ou niveau application | Chemin |
---|---|---|
Liaison de générateur par défaut | Niveau de la cellule |
|
Liaisons de destinataire par défaut | Niveau de la cellule |
|
Liaison de générateur par défaut | Niveau du serveur |
|
Liaison de destinataire par défaut | Niveau du serveur |
|
Emetteur de demande | Niveau de l'application |
|
Destinataire de demande | Niveau de l'application |
|
Expéditeur de la réponse | Niveau de l'application |
|
Destinataire de la réponse | Niveau de l'application |
|
Algorithme de chiffrement de clé
Indique l'URI (Uniform Resource Identifier) de l'algorithme de la méthode de chiffrement de clés.
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Lorsqu'elle s'exécute avec Software Development Kit (SDK) Version 1.4, la liste des algorithmes de transport de clé prise en charge n'inclut pas cet algorithme. Cet algorithme apparaît dans la liste des algorithmes de transport de clé pris en charge lors de l'exécution avec le kit de développement de logiciels (SDK) version 1.5 ou ultérieure.
Par défaut, l'algorithme RSA-OAEP utilise l'algorithme de synthèse de message SHA1 pour calculer une synthèse de message pendant le chiffrement. Vous pouvez éventuellement utiliser l'algorithme de synthèse de message SHA256 ou SHA512 en indiquant une propriété d'algorithme de chiffrement des clés. Le nom de la propriété est : com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod. La valeur de la propriété correspond à l'une des URI suivantes de la méthode simplifiée :- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Par défaut, l'algorithme RSA-OAEP utilise une chaîne nulle pour la chaîne d'octets de codage facultative de OAEPParams. Vous pouvez fournir une chaîne d'octets de codage en définissant une propriété d'algorithme de chiffrement des clés. Pour le nom de la propriété, vous pouvez utiliser com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams. La valeur de la propriété correspond à la valeur codée en base 64 de la chaîne d'octets.Important : Vous pouvez configurer cette méthode simplifiée et les propriétés OAEPParams côté générateur uniquement. Côté client, ces propriétés sont lues à partir du message SOAP entrant. - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
- http://www.w3.org/2001/04/xmlenc#kw-aes256
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Plateformes de serveur d'applications et IBM Developer Kit, Java Technology Edition, version 1.4.2
Par défaut, l'extension JCE (Java Cryptography Extension) est livrée avec des codes de chiffrement de puissance limitée. Pour utiliser les algorithmes de chiffrement AES (Advanced Encryption Standard) 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction illimitées.
Avant de télécharger ces fichiers de règles, sauvegardez les fichiers de règles existants
(local_policy.jar et US_export_policy.jar dans
le répertoire WAS_HOME/java/jre/lib/security/) pour le cas où vous auriez à les
restaurer ultérieurement.
Avant de télécharger ces fichiers de règles,
sauvegardez les fichiers de règles existants
(local_policy.jar et US_export_policy.jar dans
le répertoire WAS_HOME/java/lib/security/) pour le cas où vous
auriez à les restaurer ultérieurement.

Pour les plateformes de serveur d'applications utilisant IBM® Developer Kit, Java Technology Edition, version 1.4.2, y compris les plateformes AIX, Linux et Windows, procédez comme suit pour obtenir des fichiers de règles sans restriction :
- Accédez au site Web suivant : IBM developer works: Security Information
- Cliquez sur Java 1.4.2
- Cliquez sur IBM SDK Policy files.
Les fichiers de règles sans restriction JCE pour SDK 1.4 s'affiche.
- Entrez votre ID utilisateur et votre mot de passe ou enregistrez-vous auprès d'IBM pour télécharger les fichiers de règles. Ces derniers sont téléchargés sur votre machine.
Pour les plateformes de serveur d'applications utilisant le kit JDK Java SE Development Kit 6 (JDK 6) Version 1.4.2 basées sur Sun, y compris les environnements Solaris et la plateforme HP-UX, procédez comme suit pour obtenir des fichiers de règles sans restriction :
- Accédez au site Web suivant : Download, v 1.4.2 (Java EE)
- Cliquez sur Archive area.
- Au niveau des informations Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2, cliquez sur Download. Le fichier de règles est téléchargé sur votre machine.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Plateforme de serveur d'applications et IBM Developer Kit, Java Technology Edition, version 5
Par défaut, l'extension JCE (Java Cryptography Extension) est livrée avec des codes de chiffrement de puissance limitée.
Pour utiliser les algorithmes de chiffrement
AES (Advanced Encryption
Standard) 192 bits et 256 bits, vous devez appliquer des fichiers de règles de juridiction
illimitées. Avant de télécharger ces fichiers de règles, sauvegardez les fichiers de règles
existants (local_policy.jar et US_export_policy.jar dans le
répertoire WAS_HOME/java/jre/lib/security/
WAS_HOME/java/lib/security/)
afin de pouvoir en disposer si vous souhaitez les restaurer ultérieurement.
- Pour les plateformes du serveur d'applications utilisant IBM Developer
Kit, Java Technology Edition, version 5, vous pouvez obtenir des fichiers de règles de juridiction illimitées en procédant comme suit :
- Accédez au site Web suivant : IBM developer works: Security Information
- Cliquez sur Java 5
- Cliquez sur IBM SDK Policy files.
Le site Web des fichiers de règles sans restriction JCE pour SDK 5 s'affiche.
- Entrez votre ID utilisateur et votre mot de passe ou enregistrez-vous auprès d'IBM pour télécharger les fichiers de règles. Ces derniers sont téléchargés sur votre machine.
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit Version 1.4 :
- Pour IBM i (anciennement appelé IBM i V5R3) et IBM SDK Version 1.4, installez le produit 5722AC3, Crypto Access Provider 128 bits.
- Pour IBM i 5.4 et IBM SDK Version 1.4, installez le produit 5722SS1 Option 3, Extended Base Directory Support.
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit Version 1.5 :
Pour IBM i 5.4 et IBM i (anciennement appelé IBM i V5R3) et IBM SDK 1.5, les fichiers de règles JCE avec restriction sont configurés par défaut. Vous pouvez télécharger les fichiers de règles de juridiction JCE sans restriction à partir du site Web suivant : IBM developer works: Security Information, Version 5
- Effectuez une sauvegarde de ces fichiers :
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- Téléchargez les fichiers de règles sans restriction de
IBM
developer works: Security Information vers le répertoire
/QIBM/ProdData/Java400/jdk15/lib/security.
- Accédez à ce site web : http://www.ibm.com/developerworks/java/jdk/security/index.html
- Cliquez sur J2SE 5.0.
- Faites défiler la liste et cliquez sur IBM SDK Policy files. Le site Web des fichiers de règles sans restriction JCE pour SDK s'affiche.
- Cliquez sur Sign in et saisissez votre ID et mot de passe Intranet IBM.
- Sélectionnez les fichiers de règles sans restriction appropriés, puis cliquez sur Continuer.
- Lisez le contrat de licence et cliquez sur I Agree.
- Cliquez sur Download Now.
- Avec la commande DSPAUT, vérifiez que *PUBLIC bénéficie des droits sur les données *RX mais vérifiez également qu'aucun droit sur les objets n'a été accordé aux fichiers local_policy.jar et US_export_policy.jar dans le répertoire /QIBM/ProdData/Java400/jdk15/lib/security.
Par exemple :
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- Utilisez la commande CHGAUT pour modifier les droits, au besoin. Par exemple :
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
Algorithmes personnalisés au niveau des cellules
- Cliquez sur .
- Dans la section Propriétés supplémentaires, cliquez sur Mappages d'algorithmes.
- Cliquez sur Nouveau pour spécifier un nouveau mappage d'algorithme ou cliquez sur une configuration existante pour modifier ses paramètres.
- Dans la section Propriétés supplémentaires, cliquez sur URI d'algorithme.
- Cliquez sur Nouveau pour créer un nouvel URI d'algorithme. Vous devez spécifier Chiffrement des clés dans la zone Type d'algorithme pour que la configuration s'affiche dans la zone Algorithme de chiffrement de clé, sur la page de configuration des informations de chiffrement.
Algorithmes personnalisés au niveau des serveurs
- Cliquez sur .
- Sous Sécurité, cliquez sur Exécution de la sécurité JAX-WS et JAX-RPC.
Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
- Dans la section Propriétés supplémentaires, cliquez sur Mappages d'algorithmes.
- Cliquez sur Nouveau pour spécifier un nouveau mappage d'algorithme ou cliquez sur une configuration existante pour modifier ses paramètres.
- Dans la section Propriétés supplémentaires, cliquez sur URI d'algorithme.
- Cliquez sur Nouveau pour créer un nouvel URI d'algorithme. Vous devez spécifier Chiffrement des clés dans la zone Type d'algorithme pour que la configuration s'affiche dans la zone Algorithme de chiffrement de clé, sur la page de configuration des informations de chiffrement.
Informations de clé de chiffrement
Spécifie le nom de la référence des informations de clé utilisées pour le chiffrement. La résolution de cette référence par le localisateur de clé spécifié fournit la clé proprement dite, qui est définie dans les informations de clé.
Pour les liaisons du générateur de demande et du générateur de réponse, vous devez spécifier soit une seule configuration de clé de chiffrement, soit aucune.
Pour les liaisons du destinataire de réponse et du destinataire de demande, vous pouvez configurer plusieurs références de clé de chiffrement. Pour créer une nouvelle référence de clé de chiffrement, cliquez sur Références des informations de clé dans la section Propriétés supplémentaires.
Nom de la liaison | Niveau serveur, niveau cellule ou niveau application | Chemin |
---|---|---|
Liaison de générateur par défaut | Niveau de la cellule |
|
Liaison de destinataire par défaut | Niveau de la cellule |
|
Liaison de générateur par défaut | Niveau du serveur |
|
Liaison de destinataire par défaut | Niveau du serveur |
|
Liaison du générateur de demande (émetteur) | Niveau de l'application |
|
Liaison du générateur de réponse (émetteur) | Niveau de l'application |
|
Référence de partie
Indique le nom de l'élément <confidentiality> pour la liaison de générateur ou l'élément <requiredConfidentiality> pour l'élément de liaison du destinataire dans le descripteur du déploiement.
Cette zone est disponible au niveau application uniquement.