アプリケーション・レベルでメッセージの機密性を保護するための暗号化の構成
アプリケーション・レベルで、要求コンシューマー・バインディング (サーバー・サイド) および 応答コンシューマー・バインディング (クライアント・サイド) の暗号化情報を構成できます。
始める前に
このタスクについて
以下のステップを実行して、 バインディング・ファイルの要求コンシューマーまたは応答コンシューマー・セクションの暗号化情報をアプリケーション・レベルで構成します。
手順
- 管理コンソールで、「暗号化情報」構成パネルを見つけます。
- 「アプリケーション」 > 「アプリケーション・タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web Services Security プロパティー」では、要求コンシューマー・バインディングおよび応答コンシューマー・バインディングの暗号化情報にアクセスできます。
- 要求コンシューマー (受信側) バインディングについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答コンシューマー (受信側) バインディングについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 「新規」をクリックして暗号化情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、「暗号化情報名」フィールドに 名前を入力します。例えば、cons_encinfo と指定できます。
- 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを
選択します。 データ暗号化アルゴリズムは、SOAP 本体またはユーザー名トークンなどの
SOAP メッセージのパーツの暗号化または暗号化解除に使用されます。
WebSphere® Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。
コンシューマー側のために選択するデータ暗号化アルゴリズムは、 生成プログラム側のために選択するデータ暗号化方式と一致する必要があります。
- 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。 鍵暗号化アルゴリズムは、
SOAP メッセージ内のメッセージ・パーツの暗号化に使用する鍵を暗号化するために使用されます。
メッセージ・パーツの暗号化に使用する鍵であるデータ暗号化鍵が暗号化されていない場合は、
「(なし)」を選択します。
WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 SDK バージョン 1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS) モードで稼働している場合、このアルゴリズムはサポートされません。
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
http://www.w3.org/2001/04/xmlenc#aes256-cbc アルゴリズムを使用するには、 Web サイトhttp://www.ibm.com/developerworks/java/jdk/security/index.htmlから、 非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
http://www.w3.org/2001/04/xmlenc#kw-aes192 アルゴリズムを使用するには、 Web サイトhttp://www.ibm.com/developerworks/java/jdk/security/index.htmlから、 非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
制約事項: 構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、192 ビットの鍵暗号化アルゴリズムを使用しないでください。
コンシューマー側のために選択する鍵暗号化アルゴリズムは、 生成プログラム側のために選択する鍵暗号化方式と一致する必要があります。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
- オプション: 「Part reference」フィールドでパーツ参照を選択します。 パーツ参照では、 デプロイメント記述子で暗号化および定義が行われるメッセージ・パーツの名前を指定します。 例えば、bodycontent メッセージ・パーツをデプロイメント記述子で暗号化することができます。 この必要な機密性パーツの名前は、conf_con です。 このメッセージ・パーツは、 「パーツ参照」フィールドではオプションとして表示されます。
- 「追加プロパティー」の下の「鍵情報参照」をクリックします。
- 「新規」をクリックして鍵情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の鍵情報構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「名前 」フィールドに名前を入力します。例えば、con_ekeyinfo と指定できます。 このエントリーは、バインディング・ファイル内の <encryptionKeyInfo> エレメントの名前です。
- 「鍵情報参照」フィールドから
鍵情報参照を選択します。 この参照は <encryptionKeyInfo> エレメントの KeyinfoRef 属性の値で、この鍵情報参照から参照される <keyInfo> エレメントの名前です。
各鍵情報参照エントリーは、
バインディング構成ファイル内の <encryptionInfo> エレメントの下に
<encryptionKeyInfo> エレメントを生成します。
例えば、「名前」フィールドに con_ekeyinfo を入力し、
「鍵情報参照」フィールドに dec_keyinfo を入力すると、
以下の <encryptionKeyInfo> エレメントがバインディング・ファイル内に生成されます。
<encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843" keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
- 「OK」をクリックしてから「保存」をクリックして、構成を保存します。
タスクの結果
次のタスク


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconsapp
ファイル名:twbs_configencryptinfoconsapp.html