暗号化情報構成の設定: メッセージ・パーツ
このページを使用して、暗号化パラメーターおよび暗号化解除パラメーターを構成します。 これらのパラメーターを使用すると、本文およびトークンを含むメッセージのさまざまなパーツを暗号化および暗号化解除することができます。
- をクリックします。
- 「JAX-RPC デフォルト生成バインディング (JAX-RPC Default Generator Bindings)」または「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」のいずれかの下にある「暗号化情報」をクリックします。
- 「新規」をクリックして新規暗号化構成を作成するか、 既存の暗号化構成の名前をクリックします。
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「JAX-RPC デフォルト生成バインディング (JAX-RPC Default Generator Bindings)」または「JAX-RPC デフォルト・コンシューマー・バインディング (JAX-RPC Default Consumer Bindings)」のいずれかの下にある「暗号化情報」をクリックします。
- 「新規」をクリックして新規暗号化構成を作成するか、 既存の暗号化構成の名前をクリックします。
- とクリックします。
- 「モジュール」において、 とクリックします。
- 「Web Services Security プロパティー」の下で、
以下のバインディングの暗号化情報にアクセスすることができます。
- 要求生成プログラムについては、「Web サービス: クライアント・セキュリティーのバインディング」をクリックします。 「要求生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 要求コンシューマーについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「要求コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 応答生成プログラムについては、「Web サービス: サーバー・セキュリティーのバインディング」をクリックします。 「応答生成プログラム (送信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 応答コンシューマーについては、「Web サービス: クライアント・セキュリティー・バインディング」をクリックします。 「応答コンシューマー (受信側) バインディング」の下の「カスタムの編集」をクリックします。 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 「新規」をクリックして新規暗号化構成を作成するか、既存の暗号化構成の名前をクリックします。
暗号化情報名
暗号化情報の名前を指定します。
通知 | 値 |
---|---|
データ型 | ストリング |
データ暗号化アルゴリズム
データ暗号化方式のアルゴリズム Uniform Resource Identifier (URI) を指定します。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc。このアルゴリズムを使用するには、 Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。 詳しくは、暗号化情報構成の設定: メソッドを参照してください。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc。このアルゴリズムを使用するには、
Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 JCE ポリシー・ファイルをダウンロードする必要があります。詳しくは、ヘルプ・トピックの「暗号化情報構成の設定: メソッド」を参照してください。制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。
デフォルトでは、Java Cryptography Extension (JCE) は、効果が制限または限定された暗号に付属しています。 192 ビットおよび 256 ビットの Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用するには、 無制限の管轄権ポリシー・ファイルを適用する必要があります。 詳しくは、鍵暗号化アルゴリズムのフィールドの 説明を参照してください。
鍵ロケーター参照
XML デジタル署名および XML 暗号化の鍵を検索する鍵ロケーター構成の名前を指定します。
「鍵ロケーター参照 (Key locator reference)」フィールドは、要求受信側および応答受信側バインディング用に表示されます。
これらの鍵ロケーター参照オプションは、サーバー・レベル、セル・レベル、および アプリケーション・レベルで構成することができます。 このフィールドにリストされる構成は、これらの 3 つのレベルにおける構成の組み合わせです。
バインディング名 | サーバー・レベル、 セル・レベル、またはアプリケーション・レベル | パス |
---|---|---|
デフォルト生成バインディング | セル・レベル |
|
デフォルトのコンシューマー・バインディング | セル・レベル |
|
デフォルト生成バインディング | サーバー・レベル |
|
デフォルトのコンシューマー・バインディング | サーバー・レベル |
|
要求送信側 | アプリケーション・レベル |
|
要求受信側 | アプリケーション・レベル |
|
応答送信側 | アプリケーション・レベル |
|
応答受信側 | アプリケーション・レベル |
|
鍵暗号化アルゴリズム
鍵暗号化方式のアルゴリズム URI (Uniform Resource Identifier) を指定します。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
Software Development Kit (SDK) バージョン 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 Software Development Kit (SDK) バージョン 1.5 以降で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。プロパティー名は com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。 プロパティー値は、以下のダイジェスト方式の URI のいずれかです。- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定できます。プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。重要: これらのダイジェスト方式および OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。 - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットのデータ暗号化アルゴリズムを使用しないでください。
- http://www.w3.org/2001/04/xmlenc#kw-aes256
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
アプリケーション・サーバー・プラットフォームおよび IBM Developer Kit, Java Technology Edition バージョン 1.4.2
デフォルトでは、Java Cryptography Extension (JCE) は、効果が制限または限定された暗号に付属しています。 192 ビットおよび 256 ビットの Advanced Encryption Standard (AES) 暗号化アルゴリズムを使用するには、 無制限の管轄権ポリシー・ファイルを適用する必要があります。
これらのポリシー・ファイルをダウンロードする前に、あらかじめ既存のポリシー・ファイル (WAS_HOME/java/jre/lib/security/ ディレクトリーの local_policy.jar および US_export_policy.jar) をバックアップしてから上書きするようにし、後でオリジナル・ファイルを復元できるようにしてください。
これらのポリシー・ファイルをダウンロードする前に、
あらかじめ既存のポリシー・ファイル (WAS_HOME/java/lib/security/ ディレクトリーの
local_policy.jar および US_export_policy.jar)
をバックアップしてから上書きするようにし、後でオリジナル・ファイルを復元できるようにしてください。

IBM® Developer Kit, Java Technology Edition バージョン 1.4.2 を使用するアプリケーション・サーバー・プラットフォーム (AIX®、Linux、および Windows の各プラットフォームを含む) の場合、以下のステップを実行して無制限の管轄権ポリシー・ファイルを入手します。
- 次の Web サイトに移動します。IBM developer works: Security Information
- 「Java 1.4.2」をクリックします。
- 「IBM SDK Policy files」をクリックします。
SDK 1.4 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- ユーザー ID とパスワードを入力するか、IBM に登録して、ポリシー・ファイルをダウンロードします。 ポリシー・ファイルがご使用のマシンにダウンロードされます。
アプリケーション・サーバー・プラットフォームで Sun ベースの Java SE Development Kit 6 (JDK 6) バージョン 1.4.2 を使用する場合 (Solaris 環境および HP-UX プラットフォームを含む)、 次のステップを実行して、無制限の管轄権ポリシー・ファイルを入手します。
- 次の Web サイトに移動します。Download, v 1.4.2 (Java EE)
- 「Archive area」をクリックします。
- Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2 情報を見つけ、「Download」をクリックします。ポリシー・ファイルがご使用のマシンにダウンロードされます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
アプリケーション・サーバー・プラットフォームおよび IBM Developer Kit, Java Technology Edition バージョン 5
デフォルトでは、Java Cryptography Extension (JCE) は、効果が制限または限定された暗号に付属しています。
192 ビットおよび 256 ビットの Advanced Encryption Standard
(AES) 暗号化アルゴリズムを使用するには、
無制限の管轄権ポリシー・ファイルを適用する必要があります。 これらのポリシー・ファイルをダウンロードして上書きする前に、あらかじめ既存のポリシー・ファイル (WAS_HOME/java/jre/lib/security/
WAS_HOME/java/lib/security/ ディレクトリーの local_policy.jar および US_export_policy.jar) をバックアップして、後で元のファイルを復元できるようにしてください。
- アプリケーション・サーバー・プラットフォームで IBM Developer Kit, Java Technology
Edition バージョン 5 を使用している場合、次のステップに従って、無制限の管轄権ポリシー・ファイルを入手できます。
- 次の Web サイトに移動します。IBM developer works: Security Information
- 「Java 5」をクリックします。
- 「IBM SDK Policy files」をクリックします。
SDK 5 Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- ユーザー ID とパスワードを入力するか、IBM に登録して、ポリシー・ファイルをダウンロードします。 ポリシー・ファイルがご使用のマシンにダウンロードされます。
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit バージョン 1.4:
- IBM i (以前は IBM i V5R3 という名前で知られていた) および IBM Software Development Kit バージョン 1.4 では、 製品 5722AC3、Crypto Access Provider 128-bit をインストールします。
- IBM i 5.4 および IBM Software Development Kit バージョン 1.4 では、製品 5722SS1 オプション 3、Extended Base Directory Support をインストールします。
![[IBM i]](../images/iseries.gif)
IBM Software Development Kit バージョン 1.5:
IBM i 5.4 と IBM i (以前は IBM i V5R3 という名前で知られていた) および IBM Software Development Kit 1.5 では、制限付き JCE 管轄権ポリシー・ファイルがデフォルトで構成されます。 無制限の JCE 管轄権ポリシー・ファイルは、 Web サイト IBM developer works: Security Information, Version 5 からダウンロードできます。
- 次のファイルのバックアップを作成します。
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- 無制限のポリシー・ファイルを IBM developer works: Security Information から /QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにダウンロードします。
- 次の Web サイトに移動します。http://www.ibm.com/developerworks/java/jdk/security/index.html
- 「J2SE 5.0」をクリックします。
- スクロールダウンして、「IBM SDK Policy files」をクリックします。 SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- 「Sign in」をクリックして、IBM イントラネット ID とパスワードを入力します。
- 適切な無制限のポリシー・ファイルを選択し、「Continue」をクリックします。
- ご使用条件が表示されたら、「I agree」をクリックします。
- 「Download Now」をクリックします。
- DSPAUT コマンドを使用して、*PUBLIC が *RX データ権限に
付与されていることと、local_policy.jar ファイルと
US_export_policy.jar ファイル
(/QIBM/ProdData/Java400/jdk15/lib/security ディレクトリーにあります) の
いずれにも、オブジェクト権限が提供されていないことを確認します。以下に例を示します。
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- 必要であれば、CHGAUT コマンドを使用して権限を変更します。以下に例を示します。
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
セル・レベルのカスタム・アルゴリズム
- をクリックします。
- 「追加プロパティー (Additional properties)」の下の「アルゴリズム・マッピング (Algorithm mappings)」をクリックします。
- 「新規」をクリックして新規アルゴリズム・マッピングを指定するか、既存の構成の名前をクリックして、その設定を変更します。
- 「追加プロパティー (Additional properties)」の下の「アルゴリズム URI (Algorithm URI)」をクリックします。
- 「新規 (New)」をクリックして、新しいアルゴリズム URI を作成します。 この構成を、暗号化情報の構成設定パネル上の「Key encryption algorithm」フィールドに表示するには、 「Algorithm type」フィールドで「Key encryption」を指定する必要があります。
サーバー・レベルのカスタム・アルゴリズム
- とクリックします。
- 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
- 「追加プロパティー (Additional properties)」の下の「アルゴリズム・マッピング (Algorithm mappings)」をクリックします。
- 「新規」をクリックして新規アルゴリズム・マッピングを指定するか、既存の構成の名前をクリックして、その設定を変更します。
- 「追加プロパティー (Additional properties)」の下の「アルゴリズム URI (Algorithm URI)」をクリックします。
- 「新規 (New)」をクリックして、新しいアルゴリズム URI を作成します。 この構成を、暗号化情報の構成設定パネル上の「Key encryption algorithm」フィールドに表示するには、 「Algorithm type」フィールドで「Key encryption」を指定する必要があります。
暗号鍵情報
暗号化に使用する鍵情報参照の名前を指定します。 この参照は、指定された鍵ロケーターによって実際の鍵に解決され、鍵情報に定義されます。
要求生成プログラムおよび応答生成プログラムのバインディングに対して、1 つの暗号鍵構成を指定するか、1 つも指定しないようにする必要があります。
応答コンシューマーおよび要求コンシューマー・バインディングについては、複数の暗号鍵参照を構成することができます。 新規暗号鍵参照を作成するには、「追加プロパティー」の下の「Key information references」をクリックします。
バインディング名 | サーバー・レベル、 セル・レベル、またはアプリケーション・レベル | パス |
---|---|---|
デフォルト生成バインディング | セル・レベル |
|
デフォルトのコンシューマー・バインディング | セル・レベル |
|
デフォルト生成バインディング | サーバー・レベル |
|
デフォルトのコンシューマー・バインディング | サーバー・レベル |
|
要求生成プログラム (送信側) バインディング | アプリケーション・レベル |
|
応答生成プログラム (送信側) バインディング | アプリケーション・レベル |
|
パーツ参照
デプロイメント記述子において、 ジェネレーター・バインディングの <confidentiality> エレメント、 またはコンシューマー・バインディングの <requiredConfidentiality> エレメントの 名前を指定します。
このフィールドは、アプリケーション・レベルでのみ使用可能です。