Optimisation de la sécurité des Services Web pour les applications Version 9.0

JCE (Java™ Cryptography Extension ) est intégré au kit de développement de logiciels (SDK) version 1.4.x. Ce n'est plus un package facultatif. Toutefois, le fichier de règles de juridiction JCE fourni avec le kit SDK permet d'utiliser la cryptographie pour appliquer ces règles par défaut. En outre, vous pouvez modifier les options de configuration de sécurité des services Web afin d'obtenir les performances optimales pour les applications protégées par la sécurité des services Web.

Pourquoi et quand exécuter cette tâche

Utilisation des fichiers de règles JCE sans restriction

Le fichier de règles de juridiction JCE par défaut livré avec le kit SDK permet d'utiliser une cryptographie de niveau élevée, mais limitée en raison des réglementations d'exportation et d'importation. Pour appliquer ces règles par défaut, WebSphere Application Server utilise un fichier de règles de juridiction JCE qui peut avoir un certain impact sur les performances. Les règles de juridiction JCE par défaut peuvent avoir un impact sur les performances des fonctions cryptographiques prises en charge par la sécurité des Services Web. Si vous utilisez des applications de services Web qui font appel à la sécurité au niveau transport pour le chiffrement XML ou à des signatures numériques, vous risquez de constater une diminution des performances par rapport aux versions précédentes de WebSphere Application Server. Il faut savoir qu'IBM® et Oracle Corporation fournissent des versions de ces fichiers de règles de juridiction qui ne limitent pas les performances cryptographiques. Si les réglementations gouvernementales en matière d'importation et d'exportation vous le permettent, téléchargez l'un de ces fichiers. Le téléchargement de l'un de ces fichiers peut améliorer les performances de la sécurité des Services Web et de JCE.

Eviter les incidents Eviter les incidents: Des groupes de correctifs comprenant des mises à jour du kit de développement de logiciels (SDK) peuvent écraser des fichiers de règles non restreintes ainsi que le fichier cacerts. Sauvegardez ces derniers avant d'appliquer un groupe de correctifs, puis appliquez-les à nouveau. Ils se trouvent dans le répertoire {rép_install_was}\java\jre\lib\security.gotcha
Important : Votre pays d'origine peut imposer des restrictions pour l'importation, l'utilisation ou la réexportation d'un logiciel de chiffrement vers un autre pays. Avant de télécharger ou d'utiliser des fichiers de règles non restreintes, vous devez vérifier les lois en vigueur dans votre pays, sa réglementation et ses règles concernant l'importation, la possession, l'utilisation et la réexportation du logiciel de chiffrement afin de déterminer si cela est autorisé.
Pour les plateformes WebSphere Application Server utilisant IBM Developer Kit, Java Technology Edition, version 6, vous pouvez obtenir des fichiers de règles de juridiction sans restriction en procédant comme suit :
  1. Accédez au site Web http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Cliquez sur Java SE 6
  3. Faites défiler la liste et cliquez sur IBM SDK Policy files.

    Le site Web des fichiers de règles sans restriction JCE pour SDK s'affiche.

  4. Cliquez sur Sign in et indiquez votre ID d'intranet IBM et votre mot de passe ou inscrivez-vous auprès d'IBM pour télécharger les fichiers.
  5. Sélectionnez les fichiers de règles non restreintes approprié puis cliquez sur Continue.
  6. Lisez le contrat de licence et cliquez sur I Agree.
  7. Cliquez sur Download Now.

[IBM i]Pour configurer les fichiers de règles de juridiction sans restriction pour IBM i and the IBM Software Development Kit, procédez comme suit :

[IBM i]

Procédure

  1. Effectuez une copie des fichiers suivants :
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. Téléchargez les fichiers de règles sans restriction à partir de http://www.ibm.com/developerworks/java/jdk/security/index.html vers /QIBM/ProdData/Java400/jdk6/lib/security.
  3. Accédez au site Web http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Cliquez sur Java SE 6
    2. Faites défiler la liste et cliquez sur IBM SDK Policy files. Le site Web des fichiers de règles sans restriction JCE pour SDK s'affiche.
    3. Cliquez sur Sign in et saisissez votre ID et mot de passe Intranet IBM.
    4. Sélectionnez les fichiers de règles non restreintes approprié puis cliquez sur Continue.
    5. Lisez le contrat de licence et cliquez sur I Agree.
    6. Cliquez sur Download Now.
  4. Utilisez la commande DSPAUT pour vous assurer que les droits sur les données *RX soient accordés à *PUBLIC mais que cette autorisation d'usage d'objet n'est pas accordée aux fichiers local_policy.jar et US_export_policy.jar qui se trouvent dans le répertoire /QIBM/ProdData/Java400/jdk6/lib/security. Exemple :
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. Au besoin, utilisez la commande CHGAUT pour modifier les autorisations. Exemple :
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

Résultats

Une fois cette opération effectuée, deux fichiers JAR (Java Archive) figurent dans le répertoire jre/lib/security/ de la JVM.

Utilisation des options de configuration pour ajuster WebSphere Application Server

Lors de l'utilisation de WS-Security pour la protection au niveau message des messages SOAP dans WebSphere Application Server, le choix des options de configuration peut avoir un impact sur les performances de l'application. Les instructions suivantes vous permettront d'obtenir les performances optimales pour vos applications protégées par WS-Security.
  1. Utilisez WS-SecureConversation lorsque cela est approprié pour les applications JAX-WS. L'utilisation de clés symétriques avec une conversation sécurisée s'exécute généralement mieux qu'avec des clés asymétriques utilisées avec X.509.
    Remarque : L'utilisation de WS-SecureConversation est prise en charge uniquement pour les applications JAX-WS, et pas pour les applications JAX-RPC.
  2. Utilisez les types de jeton standard fournis par WebSphere Application Server. L'utilisation de jetons personnalisés est prise en charge, mais des performances supérieures sont obtenues lorsque les types de jeton fournis sont utilisés.
  3. Pour les signatures, utilisez uniquement l'algorithme de transformation de canonisation exclusive. Pour plus d'informations, consultez la page Web the W3 Recommendation (http://www.w3.org/2001/10/xml-exc-c14n#).
  4. Autant que possible, évitez l'utilisation de l'expression XPath pour sélectionner les parties de messages SOAP à protéger. Les règles WS-Security fournies avec WebSphere Application Server pour les applications JAX-WS utilisent des expressions XPath pour spécifier la protection de certains éléments dans l'en-tête de sécurité, tels que Timestamp, SignatureConfirmation et UsernameToken. L'utilisation de ces expressions XPath est optimisée, mais les autres utilisations ne le sont pas.
  5. Bien que certaines extensions WebSphere Application Server vers WS-Security puissent être utilisées pour insérer des éléments Nonce et Timestamp dans des parties de messages SOAP avant la signature ou le chiffrement des parties du message, l'utilisation de ces extensions pour obtenir de meilleures performances est à éviter.
  6. Il existe une option qui permet d'envoyer la valeur de chiffrement (cipherValue) codée 64 bits des éléments chiffrés WS-Security en tant que pièces jointes MTOM. Pour les petits éléments chiffrés, les meilleures performances sont obtenues en évitant cette option. Pour les éléments chiffrés de plus grande taille, les meilleures performances sont obtenues en utilisant cette option.
  7. Lors de la signature et du chiffrement des éléments dans le message SOAP, spécifiez l'ordre avec d'abord la signature, puis le chiffrement.
  8. Lors de l'ajout d'un élément d'horodatage à un message, l'horodatage doit être ajouté dans l'en-tête de sécurité avant l'élément de signature. Ceci peut être réalisé à l'aide de l'option de présentation d'en-tête de sécurité Strict ou LaxTimestampFirst dans la configuration des règles WS-Security.
  9. Pour les applications JAX-WS, utilisez la configuration basée sur les règles plutôt que celle basée sur des API WSS.

Que faire ensuite

Dans IBM WebSphere Application Server Version 6.1 et les versions suivantes, la sécurité des Services Web prend en charge l'utilisation des périphériques cryptographiques matériels. Les dispositifs de chiffrement avec la sécurité des Services Web peuvent être utilisés de deux manières. Pour plus d'informations, voir Prise en charge des périphériques cryptographiques matériels pour la sécurité des services Web.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
Nom du fichier : twbs_tunev6wss.html