バージョン 9.0 アプリケーション用 Web Services Security の調整
Java™ Cryptography Extension (JCE) は Software Development Kit (SDK) バージョン 1.4.x 以降に統合されています。 これは、オプショナル・パッケージではなくなりました。ただし、SDK とともに出荷されるデフォルトの JCE 管轄権ポリシー・ファイルによって、暗号方式を使用し、このデフォルト・ポリシーを適用できます。 さらに、Web Services Security 構成オプションを変更して、Web Services Security で保護されたアプリケーションのパフォーマンスを最適にすることができます。
このタスクについて
無制限 JCE ポリシー・ファイルの使用
エクスポートおよびインポートの規定のために、SDK とともに出荷されるデフォルトの JCE 管轄権ポリシー・ファイルによって、強力だが制限のある暗号方式だけは使用できます。 このデフォルト・ポリシーを実行するために、 WebSphere® Application Server は、パフォーマンスに影響する可能性のある JCE 管轄権ポリシー・ファイルを使用します。 デフォルトの JCE 管轄権ポリシーは、Web Services Security によってサポートされる暗号機能の パフォーマンスに影響を与えることがあります。 XML 暗号化またはデジタル署名についてトランスポート・レベルのセキュリティーを使用する Web サービス・アプリケーションの場合は、WebSphere Application Server の前のリリースよりパフォーマンスが低下する可能性があります。 しかし、IBM® および Oracle Corporation では、暗号の強度に関する制約を受けない、これらの管轄権ポリシー・ファイルのバージョンを提供しています。 管理上のインポートおよびエクスポートの規定によって許可されている場合は、 これらの管轄権ポリシー・ファイルの 1 つをダウンロードします。 これらのファイルの 1 つをダウンロードしたら、 JCE および Web Services Security のパフォーマンスが向上する可能性があります。

- 次の Web サイトに移動します。http://www.ibm.com/developerworks/java/jdk/security/index.html
- 「Java 6」をクリックします。
- スクロールダウンして、「IBM SDK Policy files」をクリックします。
SDK Web サイト用の非制限 JCE ポリシー・ファイルが表示されます。
- 「Sign in」をクリックして、IBM イントラネット ID とパスワードを入力するか、 IBM に登録してファイルをダウンロードします。
- 適切な非制限 JCE ポリシー・ファイルを選択し、「継続」をクリックします。
- ライセンス契約を読み、「I Agree」をクリックします。
- 「Download Now」をクリックします。
IBM i および IBM Software
Development Kit に対して無制限の管轄権ポリシー・ファイルを構成するには、以下のステップを実行してください。
![[IBM i]](../images/iseries.gif)
手順
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
タスクの結果
構成オプションを使用した WebSphere Application Server の調整
- JAX-WS アプリケーションでは、適切な場合、WS-SecureConversation を使用します。
通常、セキュアな会話で対称鍵を使用すると、X.509 で非対称鍵を使用する場合よりもパフォーマンスが向上します。
注: WS-SecureConversation を使用することは、JAX-WS アプリケーションの場合にのみサポートされ、JAX-RPC アプリケーションにはサポートされません。
- WebSphere Application Server で提供されている標準のトークン・タイプを使用します。 カスタム・トークンの使用はサポートされていますが、 付属のトークン・タイプを使用することにより、パフォーマンスを向上させることができます。
- 署名に対しては、排他的な正規化変換アルゴリズムのみを使用します。 詳しくは、W3 Recommendation Web ページ (http://www.w3.org/2001/10/xml-exc-c14n#) を参照してください。
- 保護する SOAP メッセージ・パーツを選択するために XPath 式を使用することは、できる限り避けてください。 JAX-WS アプリケーション用に WebSphere Application Server に同梱されている WS-Security ポリシーでは、XPath 式を使用して、Timestamp、 SignatureConfirmation、および UsernameToken などのセキュリティー・ヘッダー内の一部のエレメントに対する保護を指定しています。 このように XPath 式の使用法は最適化されますが、他の使用法は最適化されません。
- メッセージ部分を署名または暗号化する前に、SOAP メッセージ部分に nonce およびタイム・スタンプを挿入するために使用できる、WS-Security に対する Websphere Application Server 拡張機能がありますが、パフォーマンスの向上のためにこの拡張機能の使用は避けてください。
- WS-Security 暗号化エレメントの、Base64 でエンコードされた CipherValue を、MTOM 添付ファイルとして送信するオプションがあります。 暗号化エレメントが小さい場合は、このオプションを使用しないことによって最適なパフォーマンスが実現されます。 暗号化エレメントが大きい場合は、このオプションを使用することによって最適なパフォーマンスが実現されます。
- SOAP メッセージ内のエレメントを署名および暗号化する場合は、最初に署名、次に暗号化の順序で指定してください。
- メッセージに timestamp エレメントを追加する場合、timestamp は署名エレメントの前にセキュリティー・ヘッダーに追加する必要があります。 これは、WS-Security ポリシー構成において Strict または LaxTimestampFirst のセキュリティー・ヘッダー・レイアウト・オプションを使用することにより実現できます。
- JAX-WS アプリケーションの場合は、WSS API ベースの構成ではなく、ポリシー・ベースの構成を使用してください。
次のタスク
IBM WebSphere Application Server バージョン 6.1 以降では、Web Services Security によって暗号ハードウェア・デバイスの使用がサポートされています。Web Services Security を使用してハードウェア暗号デバイスを使用するには、 2 とおりの方法があります。詳しくは、Web Services Security に対するハードウェア暗号デバイスのサポートを参照してください。