バージョン 9.0 アプリケーション用 Web Services Security の調整

Java™ Cryptography Extension (JCE) は Software Development Kit (SDK) バージョン 1.4.x 以降に統合されています。 これは、オプショナル・パッケージではなくなりました。ただし、SDK とともに出荷されるデフォルトの JCE 管轄権ポリシー・ファイルによって、暗号方式を使用し、このデフォルト・ポリシーを適用できます。 さらに、Web Services Security 構成オプションを変更して、Web Services Security で保護されたアプリケーションのパフォーマンスを最適にすることができます。

このタスクについて

無制限 JCE ポリシー・ファイルの使用

エクスポートおよびインポートの規定のために、SDK とともに出荷されるデフォルトの JCE 管轄権ポリシー・ファイルによって、強力だが制限のある暗号方式だけは使用できます。 このデフォルト・ポリシーを実行するために、 WebSphere® Application Server は、パフォーマンスに影響する可能性のある JCE 管轄権ポリシー・ファイルを使用します。 デフォルトの JCE 管轄権ポリシーは、Web Services Security によってサポートされる暗号機能の パフォーマンスに影響を与えることがあります。 XML 暗号化またはデジタル署名についてトランスポート・レベルのセキュリティーを使用する Web サービス・アプリケーションの場合は、WebSphere Application Server の前のリリースよりパフォーマンスが低下する可能性があります。 しかし、IBM® および Oracle Corporation では、暗号の強度に関する制約を受けない、これらの管轄権ポリシー・ファイルのバージョンを提供しています。 管理上のインポートおよびエクスポートの規定によって許可されている場合は、 これらの管轄権ポリシー・ファイルの 1 つをダウンロードします。 これらのファイルの 1 つをダウンロードしたら、 JCE および Web Services Security のパフォーマンスが向上する可能性があります。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 更新を Software Development Kit (SDK) に含めるフィックスパックは、制限のないポリシー・ファイルおよび cacerts ファイルを上書きする可能性があります。 フィックスパックを適用する前に、制限のないポリシー・ファイルおよび cacerts ファイルをバックアップして、これらのファイルをフィックスパックの適用後に再適用します。これらのファイルは、{was_install_directory}¥java¥jre¥lib¥security ディレクトリーにあります。gotcha
重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
WebSphere Application Server プラットフォームで IBM Developer Kit の Java Technology Edition バージョン 6 を使用する場合は、以下のステップを実行することにより、無制限の管轄権ポリシー・ファイルを取得できます。
  1. 次の Web サイトに移動します。http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Java 6」をクリックします。
  3. スクロールダウンして、「IBM SDK Policy files」をクリックします。

    SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。

  4. Sign in」をクリックして、IBM イントラネット ID とパスワードを入力するか、 IBM に登録してファイルをダウンロードします。
  5. 適切な非制限 JCE ポリシー・ファイルを選択し、「継続」をクリックします。
  6. ライセンス契約を読み、「I Agree」をクリックします。
  7. Download Now」をクリックします。

[IBM i]IBM i および IBM Software Development Kit に対して無制限の管轄権ポリシー・ファイルを構成するには、以下のステップを実行してください。

[IBM i]

手順

  1. 次のファイルのバックアップを作成します。
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. 無制限のポリシー・ファイルを http://www.ibm.com/developerworks/java/jdk/security/index.html から /QIBM/ProdData/Java400/jdk6/lib/security ディレクトリーにダウンロードします。
  3. 次の Web サイトに移動します。http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Java 6」をクリックします。
    2. スクロールダウンして、「IBM SDK Policy files」をクリックします。 SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
    3. 「Sign in」をクリックして、IBM イントラネット ID とパスワードを入力します。
    4. 適切な非制限 JCE ポリシー・ファイルを選択し、「継続」をクリックします。
    5. ライセンス契約を読み、「I Agree」をクリックします。
    6. Download Now」をクリックします。
  4. DSPAUT コマンドを使用して、*PUBLIC が *RX データ権限に付与されているが、ディレクトリー /QIBM/ProdData/Java400/jdk6/lib/security にあるファイル local_policy.jar および US_export_policy.jar のいずれにもそのオブジェクト権限が付与されていないことを確認します。 以下に例を示します。
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. 必要であれば、CHGAUT コマンドを使用して権限を変更します。 以下に例を示します。
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

タスクの結果

これらのステップを実行すると、2 つの Java Archive (JAR) ファイルが JVM jre/lib/security/ ディレクトリーに置かれます。

構成オプションを使用した WebSphere Application Server の調整

WebSphere Application Server において WS-Security を使用して SOAP メッセージをメッセージ・レベルで保護する場合は、 選択した構成オプションによってアプリケーションのパフォーマンスが影響を受ける可能性があります。 以下のガイドラインは、WS-Security によって保護されたアプリケーションのパフォーマンスを最適化する場合に役立ちます。
  1. JAX-WS アプリケーションでは、適切な場合、WS-SecureConversation を使用します。 通常、セキュアな会話で対称鍵を使用すると、X.509 で非対称鍵を使用する場合よりもパフォーマンスが向上します。
    注: WS-SecureConversation を使用することは、JAX-WS アプリケーションの場合にのみサポートされ、JAX-RPC アプリケーションにはサポートされません。
  2. WebSphere Application Server で提供されている標準のトークン・タイプを使用します。 カスタム・トークンの使用はサポートされていますが、 付属のトークン・タイプを使用することにより、パフォーマンスを向上させることができます。
  3. 署名に対しては、排他的な正規化変換アルゴリズムのみを使用します。 詳しくは、W3 Recommendation Web ページ (http://www.w3.org/2001/10/xml-exc-c14n#) を参照してください。
  4. 保護する SOAP メッセージ・パーツを選択するために XPath 式を使用することは、できる限り避けてください。 JAX-WS アプリケーション用に WebSphere Application Server に同梱されている WS-Security ポリシーでは、XPath 式を使用して、Timestamp、 SignatureConfirmation、および UsernameToken などのセキュリティー・ヘッダー内の一部のエレメントに対する保護を指定しています。 このように XPath 式の使用法は最適化されますが、他の使用法は最適化されません。
  5. メッセージ部分を署名または暗号化する前に、SOAP メッセージ部分に nonce およびタイム・スタンプを挿入するために使用できる、WS-Security に対する Websphere Application Server 拡張機能がありますが、パフォーマンスの向上のためにこの拡張機能の使用は避けてください。
  6. WS-Security 暗号化エレメントの、Base64 でエンコードされた CipherValue を、MTOM 添付ファイルとして送信するオプションがあります。 暗号化エレメントが小さい場合は、このオプションを使用しないことによって最適なパフォーマンスが実現されます。 暗号化エレメントが大きい場合は、このオプションを使用することによって最適なパフォーマンスが実現されます。
  7. SOAP メッセージ内のエレメントを署名および暗号化する場合は、最初に署名、次に暗号化の順序で指定してください。
  8. メッセージに timestamp エレメントを追加する場合、timestamp は署名エレメントの前にセキュリティー・ヘッダーに追加する必要があります。 これは、WS-Security ポリシー構成において Strict または LaxTimestampFirst のセキュリティー・ヘッダー・レイアウト・オプションを使用することにより実現できます。
  9. JAX-WS アプリケーションの場合は、WSS API ベースの構成ではなく、ポリシー・ベースの構成を使用してください。

次のタスク

IBM WebSphere Application Server バージョン 6.1 以降では、Web Services Security によって暗号ハードウェア・デバイスの使用がサポートされています。Web Services Security を使用してハードウェア暗号デバイスを使用するには、 2 とおりの方法があります。詳しくは、Web Services Security に対するハードウェア暗号デバイスのサポートを参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
ファイル名:twbs_tunev6wss.html