Vous pouvez configurer les informations de chiffrement pour les liaisons de destinataire de demande (côté serveur) et de destinataire de réponse (côté client) au niveau de l'application.
Pourquoi et quand exécuter cette tâche
Cette tâche fournit les étapes à suivre pour configurer les informations de chiffrement pour les liaisons de destinataire de demande (côté serveur) et de destinataire de réponse (côté client) au niveau de l'application.
Les informations de chiffrement côté destinataire permettent de déchiffrer les parties
chiffrées du message SOAP entrant.
Effectuez les étapes ci-dessous pour configurer les informations de chiffrement dans la section du destinataire de demande ou du destinataire de réponse du fichier de liaisons au niveau de l'application.
Procédure
- Recherchez le panneau de configuration des informations de chiffrement dans la console d'administration.
- Cliquez sur .
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous
pouvez accéder aux informations des clés relatives aux liaisons de destinataire de
demande et de réponse.
- Pour la liaison de destinataire (récepteur) de demande, cliquez
sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du destinataire de la demande (récepteur),
cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire de réponse (récepteur), cliquez
sur Services Web : Liaisons de sécurité du client. Sous Liaison du destinataire de la réponse (récepteur),
cliquez sur Editer les valeurs personnalisées.
- Dans la section
Propriétés requises, cliquez sur Informations de chiffrement.
- Cliquez sur Nouveau pour créer une configuration d'informations de chiffrement, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de chiffrement pour modifier ses paramètres. Si vous créez une configuration, entrez un nom dans la zone Nom des
informations de chiffrement. Par exemple, vous pouvez spécifier cons_encinfo.
- Sélectionnez un algorithme de chiffrement de données dans la zone Algorithme
de chiffrement de données. L'algorithme de chiffrement des données permet de chiffrer et de déchiffrer les parties d'un message SOAP, telles que le corps SOAP ou le jeton du nom d'utilisateur. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
Pour utiliser
cet algorithme, vous devez télécharger le fichier de règles
JCE (Java™ Cryptography
Extension) libre, à partir du site Web suivant : http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
Pour utiliser
cet algorithme, vous devez télécharger le fichier de règles
JCE (Java Cryptography
Extension) libre, à partir du site Web suivant : http://www.ibm.com/developerworks/java/jdk/security/index.html.
Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
Important : Votre pays d'origine peut imposer des restrictions pour l'importation, l'utilisation ou la réexportation d'un logiciel de chiffrement vers un autre pays. Avant de télécharger ou d'utiliser des fichiers de règles non restreintes, vous devez vérifier les lois en vigueur dans votre pays, sa réglementation et ses règles concernant l'importation, la possession, l'utilisation et la réexportation du logiciel de chiffrement afin de déterminer si cela est autorisé.
L'algorithme de chiffrement de données sélectionné côté destinataire doit correspondre à la méthode de chiffrement des données sélectionnée côté générateur.
- Sélectionnez un algorithme de chiffrement de clés dans la zone Algorithme
de chiffrement des clés. L'algorithme de chiffrement de clé est utilisé pour le chiffrement
de portions d'un message SOAP. Sélectionnez (aucun) si la clé de chiffrement de données, utilisée pour chiffrer les parties de message, n'est pas chiffrée. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Lorsqu'elle s'exécute avec Software Development Kit (SDK) Version 1.4, la liste des algorithmes de transport de clé prise en charge n'inclut pas cet algorithme. L'algorithme
apparaît dans la liste des algorithmes de transport de clé pris en charge avec SDK Version
1.5.
Restriction : Il n'est pas pris en charge lorsque WebSphere
Application Server s'exécute en mode FIPS (Federal Information Processing Standard).
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
Pour utiliser l'algorithme http://www.w3.org/2001/04/xmlenc#aes256-cbc,
vous devez télécharger le fichier de règles JCE (Java Cryptography Extension)
depuis le site web http://www.ibm.com/developerworks/java/jdk/security/index.html.
- http://www.w3.org/2001/04/xmlenc#kw-aes192
Pour utiliser l'algorithme http://www.w3.org/2001/04/xmlenc#kw-aes192,
vous devez télécharger le fichier de règles JCE (Java Cryptography Extension)
depuis le site web http://www.ibm.com/developerworks/java/jdk/security/index.html.
Restriction : N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
L'algorithme de chiffrement de clé sélectionné côté destinataire doit correspondre à la méthode de chiffrement des clés sélectionnée côté générateur.
- Facultatif : Sélectionnez une référence de section dans la zone
Référence de section. La référence de partie indique le nom de la partie de message chiffrée et définie dans le descripteur de déploiement. Par exemple, vous pouvez chiffrer la partie de message bodycontent du descripteur de déploiement. Cette partie Confidentialité requise a pour nom conf_con. Cette
partie du message est affichée comme une option dans la zone Référence de
partie.
- Dans la section Propriétés supplémentaires, cliquez sur Références des informations de clé.
- Cliquez sur Nouveau pour créer une configuration d'informations de clé, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de clé pour modifier les paramètres. Si vous créez une configuration, entrez un nom dans la zone Nom. Par exemple, entrez con_ekeyinfo. Cette entrée correspond au nom de l'élément <encryptionKeyInfo> dans le fichier de liaisons.
- Sélectionnez une référence des informations de clé dans la zone Référence
des informations de clé. Cette référence est la valeur de l'attribut keyinfoRef de l'élément <encryptionKeyInfo> et elle correspond au nom de l'élément <keyInfo> référencé par cette référence d'informations de clé. Chaque entrée de référence d'informations de clé génère un élément
<encryptionKeyInfo> sous l'élément <encryptionInfo> dans le fichier de
configuration de liaisons.
Par exemple, si vous entrez con_ekeyinfo dans la
zone Nom et dec_keyinfo dans la zone Référence des informations
de clé, l'élément <encryptionKeyInfo> suivant est généré dans le
fichier de liaison :
<encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843"
keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
Résultats
Vous avez configuré les informations de chiffrement pour la liaison de destinataire au niveau de l'application.
Que faire ensuite
Vous devez spécifier une configuration d'informations de chiffrement similaire pour le générateur.