サーバー・レベルまたはセル・レベルでメッセージの機密性を保護するための、 JAX-RPC による暗号化の構成

サーバー・レベルまたはセル・レベルで生成プログラム・バインディングの暗号化情報を構成できます。

このタスクについて

デフォルトのジェネレーターの暗号化情報は、 これらのバインディングがアプリケーション・レベルで定義されていない場合に、どのように送信側で情報を暗号化するかを指定します。 WebSphere® Application Server は、バインディングのデフォルト値を提供します。しかし、管理者は実稼働環境に合わせて デフォルトを変更する必要があります。

サーバー・レベルおよびセル・レベルで生成プログラム・バインディングの暗号化情報を構成できます。 以下のステップでは、最初のステップでサーバー・レベルの暗号化情報を構成し、第 2 ステップでセル・レベルの暗号化情報を構成します。

手順

  1. サーバー・レベルのデフォルト・バインディングにアクセスします。
    1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」 > server_nameとクリックします。
    2. 「セキュリティー」の下の「JAX-WS および JAX-RPC セキュリティー・ランタイム」をクリックします。
      混合バージョン環境 (Mixed-version environment) 混合バージョン環境 (Mixed-version environment): Websphere Application Server バージョン 6.1 以前を使用するサーバーがある混合ノード・セルでは、「Web サービス: Web Services Security のデフォルト・バインディング」をクリックします。mixv
  2. 「セキュリティー」 > 「Web サービス」とクリックして、 セル・レベルでデフォルト・バインディングにアクセスします。
  3. 「デフォルト生成バインディング」の下の「暗号化情報」をクリックします。
  4. 新規」をクリックして暗号化情報構成を作成するか、 「削除」をクリックして既存の構成を削除するか、 あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。 新規構成を作成する場合は、 「Encryption information name」フィールドに暗号化構成の固有の名前を入力します。 例えば、gen_encinfo と指定します。
    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 複数の暗号化情報構成を作成した場合、WS-Security ランタイム環境はバインディング・ファイルに最初にリストされている構成のみに従います。gotcha
  5. 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを選択します。 このアルゴリズムはデータの暗号化に使用されます。WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java™ Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。

      制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットの鍵暗号化アルゴリズムを使用しないでください。
    重要: お客様の国において、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出が規制されている可能性があります。 無制限ポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律、規制、暗号ソフトウェアの輸入、所持、使用、または他国への再輸出に関する方針を確認し、許可されているかどうかを判別してください。

    生成プログラム側に対して選択するデータ暗号化アルゴリズムは、 コンシューマー側に対して選択するデータ暗号化アルゴリズムと一致している必要があります。

  6. 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。 このアルゴリズムは鍵の暗号化に使用されます。WebSphere Application Server は 次の事前構成済みアルゴリズムをサポートしています。
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
      JDK 1.4 で実行する場合は、 サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。 JDK 1.5 で実行する場合は、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
      制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS) モードで稼働している場合、このアルゴリズムはサポートされません。
      デフォルトでは、RSA-OAEP アルゴリズムは、SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部としてメッセージ・ダイジェストを計算します。 オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。プロパティー名は com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod です。 プロパティー値は、以下のダイジェスト方式の URI のいずれかです。
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
      デフォルトで RSA-OAEP アルゴリズムは、OAEPParams 用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。 鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。 プロパティー名として、com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定できます。プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。
      重要: これらのダイジェスト方式および OAEPParams プロパティーは、 ジェネレーター側でのみ設定することができます。コンシューマー側では、着信 SOAP メッセージからこれらのプロパティーが読み取られます。
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      このアルゴリズムを使用するには、Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から、非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。

      制約事項: ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、 192 ビットの鍵暗号化アルゴリズムを使用しないでください。

    なし」を選択すると、鍵は暗号化されません。

    生成プログラム側に対して選択する鍵暗号化アルゴリズムは、 コンシューマー側に対して選択する鍵暗号化アルゴリズムと一致している必要があります。

  7. 「Encryption key information」フィールドから暗号鍵構成を選択します。 この属性は、メッセージを暗号化するために使用する鍵の名前を指定します。 鍵情報を構成するには、サーバーまたはセル・レベルでの JAX-RPC を使用したジェネレーター・バインディングの鍵情報の構成を参照してください。
  8. OK」をクリックしてから「保存」をクリックして、構成を保存します。

タスクの結果

サーバー・レベルまたはセル・レベルでジェネレーター・バインディングの暗号化情報が構成されました。

次のタスク

コンシューマー用に同様の暗号化情報構成を指定する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogensvrcell
ファイル名:twbs_configencryptinfogensvrcell.html