アプリケーション・レベルでメッセージの機密性を保護するための、 JAX-RPC による暗号化の構成
アプリケーション・レベルで要求ジェネレーター (クライアント・サイド) および応答ジェネレーター (サーバー・サイド) バインディングの暗号化情報 (ジェネレーター (送信側) による発信メッセージの暗号化方法を指定する) を構成できます。
始める前に
このタスクについて
このタスクでは、暗号化情報を、 要求ジェネレーター (クライアント・サイド) と応答ジェネレーター (サーバー・サイド) のバインディングのためにアプリケーション・レベルで構成するのに必要なステップについて説明します。 この暗号化情報は、 ジェネレーター (送信側) による発信メッセージの暗号化方法を指定するために使用されます。
以下のステップを実行して、 バインディング・ファイルの要求ジェネレーターまたは応答ジェネレーター・セクションの暗号化情報をアプリケーション・レベルで構成します。
手順
- 管理コンソールで「暗号化情報」構成パネルを見つけます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの鍵情報にアクセスできます。
- 要求生成プログラム (送信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答生成プログラム (送信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 暗号化情報構成を作成する場合は、「新規」をクリックします。 「削除」をクリックして既存の構成を削除するか、 あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、「暗号化情報名」フィールドに 名前を入力します。例えば、gen_encinfo と指定します。
- 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを
選択します。 この選択により、メッセージのパーツを暗号化するために使用するアルゴリズムが指定されます。
WebSphere® Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
ジェネレーター側のために選択するデータ暗号化アルゴリズムは、 コンシューマー側のために選択するデータ暗号化方式と一致する必要があります。
- 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。 この選択により、鍵の暗号化に使用するアルゴリズムが指定されます。
WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 SDK バージョン 1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS) モードで稼働している場合、このアルゴリズムはサポートされません。デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。プロパティー名には、com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod を指定します。 プロパティー値は、以下のダイジェスト方式の URI のいずれかです。
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定できます。プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。重要: これらのダイジェスト方式および OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。 - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。
ジェネレーター側のために選択する鍵暗号化アルゴリズムは、 コンシューマー側のために選択する鍵暗号化方式と一致する必要があります。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
- 「Encryption key information」メニューから暗号化鍵情報参照を選択します。 この選択は、メッセージのパーツを暗号化するために使用する暗号化鍵への参照です。 鍵情報を構成するには、 アプリケーション・レベルでのジェネレーター・バインディングのための、 JAX-RPC による鍵情報の構成を参照してください。
- 「パーツ参照」フィールドからパーツ参照を選択します。 このフィールドでは、 ジェネレーター・バインディング・エレメントのパーツ参照の名前をデプロイメント記述子で指定します。
- 「OK」をクリックしてから「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク
サブトピック
暗号化情報コレクション
このページを使用して、暗号化パラメーターおよび暗号化解除パラメーターの構成を指定します。 この構成は、本文とユーザー名トークンを含むメッセージの各部を暗号化および暗号化解除するために使用します。暗号化情報構成の設定: メッセージ・パーツ
このページを使用して、暗号化パラメーターおよび暗号化解除パラメーターを構成します。 これらのパラメーターを使用すると、本文およびトークンを含むメッセージのさまざまなパーツを暗号化および暗号化解除することができます。暗号化情報構成の設定: メソッド
このページを使用して、シグニチャー・メソッド、ダイジェスト方式、 および正規化メソッドの暗号化パラメーターおよび暗号化解除パラメーターを構成します。暗号化情報コレクション
このページを使用して、暗号化パラメーターおよび暗号化解除パラメーターの構成を指定します。 この構成は、本文とユーザー名トークンを含むメッセージの各部を暗号化および暗号化解除するために使用します。暗号化情報構成の設定: メッセージ・パーツ
このページを使用して、暗号化パラメーターおよび暗号化解除パラメーターを構成します。 これらのパラメーターを使用すると、本文およびトークンを含むメッセージのさまざまなパーツを暗号化および暗号化解除することができます。暗号化情報構成の設定: メソッド
このページを使用して、シグニチャー・メソッド、ダイジェスト方式、 および正規化メソッドの暗号化パラメーターおよび暗号化解除パラメーターを構成します。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogenapp
ファイル名:twbs_configencryptinfogenapp.html