暗号化情報構成の設定: メソッド
このページを使用して、シグニチャー・メソッド、ダイジェスト方式、 および正規化メソッドの暗号化パラメーターおよび暗号化解除パラメーターを構成します。
このページにリストされているシグニチャー方式、ダイジェスト方式、および正規化方式の仕様は、World Wide Web Consortium (W3C) の文書「XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 」に記述されています。
- 編集」をクリックします。 「Web Services Security プロパティー」の下の「暗号化情報」をクリックします。 とクリックします。「要求送信側バインディング」の下の「
- 「モジュール」で、編集」をクリックします。「Web Services Security プロパティー」の下の「暗号化情報」をクリックします。 とクリックします。「応答送信側のバインディング」の下の「
とクリックして、以下のステップのいずれかを実行します。
- 「なし」または「Dedicated encryption information」を選択します。 アプリケーション・サーバーは、要求送信側および応答送信側バインディングに対して 1 つの暗号化構成を持つか、 1 つも暗号化構成持たないようにすることができます。 暗号化を使用していない場合は、「なし」を選択します。 これらの 2 つのバインディングのいずれかの暗号化を構成するには、 「Dedicated encryption information」を選択し、 このトピックで説明するフィールドを使用して構成設定を指定します。
暗号化情報名
暗号化情報の名前を指定します。
鍵ロケーター参照
鍵ロケーターの参照に使用する名前を指定します。
これらの鍵ロケーター参照オプションは、セル・レベル、サーバー・レベル、およびアプリケーション・レベルで構成することができます。 このフィールドにリストされる構成は、これらの 3 つのレベルにおける構成の組み合わせです。
- をクリックします。
- 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- とクリックします。
- 「モジュール」で、 をクリックします。
- 「Web Services Security プロパティー」の下で、
以下のバインディングの鍵ロケーターにアクセスすることができます。
- 要求送信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「要求送信側バインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- 要求受信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- 応答送信側については、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答送信側のバインディング」の下の「編集」をクリックします。「追加プロパティー」の下の「鍵ロケーター」をクリックします。
- 応答受信側については、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「応答受信側のバインディング」の下の「編集」をクリックします。 「追加プロパティー」の下の「鍵ロケーター」をクリックします。
暗号鍵名
暗号鍵の名前を指定します。この暗号鍵は、指定された鍵ロケーターによって実際の鍵に解決されます。
通知 | 値 |
---|---|
データ型 | ストリング |
鍵暗号化アルゴリズム
鍵暗号化方式のアルゴリズム URI (Uniform Resource Identifier) を指定します。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
IBM® Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、 このアルゴリズムは含まれていません。 JDK 1.5 以降で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。プロパティー名は com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。 プロパティー値は、以下のダイジェスト方式の URI のいずれかです。- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定できます。プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。重要: これらのダイジェスト方式および OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。 - http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- http://www.w3.org/2001/04/xmlenc#kw-tripledes。
- http://www.w3.org/2001/04/xmlenc#kw-aes128。
- http://www.w3.org/2001/04/xmlenc#kw-aes192。192 ビットの鍵暗号化アルゴリズムを使用するには、無制限 Java™
Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットの鍵暗号化アルゴリズムを使用しないでください。
- http://www.w3.org/2001/04/xmlenc#kw-aes256。 256 の鍵暗号化アルゴリズムを使用するには、無制限の JCE ポリシー・ファイルを ダウンロードする必要があります。
Java Cryptography Extension
デフォルトでは、Java Cryptography Extension (JCE) は、効果が制限または限定された暗号に付属しています。 192 ビットおよび 256 ビットの Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用するには、 無制限の管轄権ポリシー・ファイルを適用する必要があります。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
アプリケーション・サーバー・プラットフォームおよび IBM Developer Kit, Java Technology Edition バージョン 1.4.2
IBM Developer Kit, Java Technology Edition バージョン 1.4.2 を使用するアプリケーション・サーバー・プラットフォーム (AIX®、Linux、および Windows の各プラットフォームを含む) の場合、以下のステップを実行して無制限の管轄権ポリシー・ファイルを入手します。
- 次の Web サイトに移動します。IBM developer kit: Security information
- 「Java 1.4.2」をクリックします。
- 「IBM SDK Policy files」をクリックします。
SDK 1.4 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- ユーザー ID とパスワードを入力するか、IBM に登録して、ポリシー・ファイルをダウンロードします。 ポリシー・ファイルがご使用のマシンにダウンロードされます。
アプリケーション・サーバー・プラットフォームで Sun ベースの Java SE Development Kit 6 (JDK 6) バージョン 1.4.2 を使用する場合 (Solaris 環境および HP-UX プラットフォームを含む)、 次のステップを実行して、無制限の管轄権ポリシー・ファイルを入手します。
- 次の Web サイトに移動します。http://java.sun.com/j2se/1.4.2/download.html
- 「Archive area」をクリックします。
- Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 情報を見つけ、「Download」をクリックします。jce_policy-1_4_1.zip ファイルがマシンに ダウンロードされます。
![[IBM i]](../images/iseries.gif)
IBM i および IBM Software Development Kit 1.4
IBM i および IBM Software Development Kit バージョン 1.4 の場合、Web Services Security を調整する必要はありません。IBM Software Development Kit バージョン 1.4 の制限のない管轄権ポリシー・ファイルは、前提条件のソフトウェアがインストールされている場合に自動的に構成されます。
IBM i 5.4 オペレーティング・システムおよび IBM Software Development Kit バージョン 1.4 の場合は、製品 5722SS1 オプション 3、Extended Base Directory Support をインストールすることにより、IBM Java Developer Kit 1.4 の無制限の管轄権ポリシー・ファイルが自動的に構成されます。
IBM i (以前は IBM i V5R3 という名前で知られていた) および IBM Software Development Kit バージョン 1.4 の場合、製品 5722AC3、Crypto Access Provider 128-bit を インストールすることにより、IBM Software Development Kit バージョン 1.4 の 無制限の管轄権ポリシー・ファイルが自動的に構成されます。
![[IBM i]](../images/iseries.gif)
IBM i および IBM Software Development Kit 1.5
IBM i 5.4 と IBM i (以前は IBM i V5R3 という名前で知られていた) および IBM Software Development Kit 1.5 では、制限付き JCE 管轄権ポリシー・ファイルがデフォルトで構成されます。無制限の JCE 管轄権ポリシー・ファイルは、 次の Web サイトからダウンロードできます。 Security information: IBM J2SE 5 SDKs
- 次のファイルのバックアップを作成します。
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- 無制限のポリシー・ファイルを IBM developer kit: Security information から /QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにダウンロードします。
- 次の Web サイトに移動します。IBM developer kit: Security information
- 「J2SE 5.0」をクリックします。
- スクロールダウンして、「IBM SDK Policy files」をクリックします。 SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- 「Sign in」をクリックして、IBM イントラネット ID とパスワードを入力します。
- 適切な無制限のポリシー・ファイルを選択し、「Continue」をクリックします。
- ご使用条件が表示されたら、「I agree」をクリックします。
- 「Download Now」をクリックします。
- DSPAUT コマンドを使用して、*PUBLIC が *RX データ権限に
付与されていることと、local_policy.jar ファイルと
US_export_policy.jar ファイル
(/QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにあります) の
いずれにも、オブジェクト権限が提供されていないことを確認します。以下に例を示します。
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- 必要であれば、CHGAUT コマンドを使用して権限を変更します。以下に例を示します。
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
データ暗号化アルゴリズム
データ暗号化方式のアルゴリズム Uniform Resource Identifier (URI) を指定します。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes192-cbc制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
デフォルトでは、JCE は、効果が制限または限定された暗号に付属しています。 192 ビットおよび 256 ビット AES 暗号化アルゴリズムを使用するには、無制限の管轄権ポリシー・ファイルを適用する必要があります。 詳しくは、 鍵暗号化アルゴリズムのフィールドの説明を参照してください。