サーバーまたはセル・レベルでメッセージの機密性を保護するための暗号化の構成
デフォルト・コンシューマーの暗号化情報では、 暗号化情報のバインディングがアプリケーション・レベルで定義されていない場合に、 暗号化情報を受信側で処理する方法を指定します。 WebSphere® Application Server は、バインディングのデフォルト値を提供します。しかし、管理者は実稼働環境に合わせて デフォルトを変更する必要があります。
このタスクについて
コンシューマー・バインディングの暗号化情報をサーバー・レベルおよびセル・レベルで構成できます。 以下のステップでは、最初のステップでサーバー・レベルのデフォルト・バインディングにアクセスし、 第 2 ステップでセル・レベルのバインディングにアクセスします。
手順
- サーバー・レベルのデフォルト・バインディングにアクセスします。
- 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > 「server_name」とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「セキュリティー」 > 「Web サービス」とクリックして、 セル・レベルでデフォルト・バインディングにアクセスします。
- 「デフォルト・コンシューマー・バインディング」の下の「暗号化情報」をクリックします。
- 「新規」をクリックして暗号化情報構成を作成するか、
「削除」をクリックして既存の構成を削除するか、
あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、
「Encryption information name」フィールドに暗号化構成の固有の名前を入力します。
例えば、con_encinfo と指定できます。
トラブルの回避 (Avoid trouble): 複数の暗号化情報構成を作成した場合、WS-Security ランタイム環境はバインディング・ファイルに最初にリストされている構成のみに従います。gotcha
- 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを選択します。 このアルゴリズムはデータの暗号化に使用されます。WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
コンシューマー側のために選択するデータ暗号化アルゴリズムは、 生成プログラム側のために選択するデータ暗号化アルゴリズムと一致する必要があります。
- 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。 このアルゴリズムは鍵の暗号化に使用されます。WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 SDK バージョン 1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS) モードで稼働している場合、このアルゴリズムはサポートされません。
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。
「なし」を選択すると、鍵は暗号化されません。
コンシューマー側のために選択する鍵暗号化アルゴリズムは、 ジェネレーター側のために選択する鍵暗号化アルゴリズムと一致する必要があります。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
- 「追加プロパティー」の下の「鍵情報参照」をクリックします。
- 「新規」をクリックして鍵情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、既存の鍵情報構成名をクリックして、その設定を編集します。 新規構成を作成する場合は、 「名前」フィールドに鍵情報構成の固有の名前を入力します。 例えば、con_enckeyinfo と指定できます。
- 「鍵情報参照」フィールドから鍵情報参照を選択します。 この選択により、暗号化に使用する鍵情報の名前が参照されます。 詳しくは、サーバーまたはセル・レベルでの JAX-RPC を使用したコンシューマー・バインディングの鍵情報の構成を参照してください。
- 「OK」をクリックしてから「保存」をクリックし、構成を保存します。
タスクの結果
次のタスク


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconssvrcell
ファイル名:twbs_configencryptinfoconssvrcell.html