Ajustando a Segurança de Serviços da Web para AplicativosVersão 9.0

O JCE (Java™ Cryptography Extension) é integrado no SDK (Software Development Kit) Versão 1.4.x e posteriores. Esse não é mais um pacote opcional. Entretanto, o arquivo de políticas de jurisdição JCE padrão enviado com o SDK permite que você utilize criptografia para aplicar essa política padrão. Além disso, é possível modificar as opções de configuração de segurança de serviços da Web para obter o melhor desempenho para os aplicativos protegidos de segurança de serviços da Web.

Sobre Esta Tarefa

Usando os arquivos de políticas JCE irrestritas

Devido a regras de exportação e importação, o arquivo de políticas de jurisdição JCE padrão enviado com o SDK permite que você utilize apenas uma criptografia potente, mas limitada. Para forçar esta política padrão, o WebSphere Application Server utiliza o arquivo de política de jurisdição JCE que pode apresentar um impacto no desempenho. A política de jurisdição JCE padrão pode ter um impacto de desempenho nas funções criptográficas que são suportadas pela Segurança de Serviços da Web. Se você tem aplicativos de serviços da Web que usam segurança de nível de transporte para criptografia XML ou assinaturas digitais, você pode encontrar degradação de desempenho sobre releases anteriores do WebSphere Application Server. No entanto, a IBM® e a Oracle Corporation fornecem versões desses arquivos de política de jurisdição que não possuem restrições sobre as forças criptográficas. Caso você tenha permissão de suas leis locais de importação e exportação, faça o download de um destes arquivos de políticas de jurisdição. Após transferir um desses arquivos por download, o desempenho do JCE e a Segurança de Serviços da Web pode melhorar.

Evitar Problemas Evitar Problemas: Fix packs que incluem atualizações para o Software Development Kit (SDK) podem sobrescrever arquivos de políticas irrestritas e o arquivo cacerts. Faça backup dos arquivos de políticas irrestritos e do arquivo cacerts antes de aplicar um fix pack e reaplique esses arquivos após o fix pack ser aplicado. Esses arquivos estão localizados no diretório {was_install_directory}\java\jre\lib\security.gotcha
Importante: O país de origem pode restringir a importação, posse, uso ou a reexportação para outro país de software de criptografia. Antes de fazer o download ou de usar os arquivos de políticas não-restritas, você deverá consultar as leis do seu país, as regulamentações e as políticas referentes à importação, posse, uso e reexportação do software criptografado para determinar se ele é permitido.
Para plataformas WebSphere Application Server que utilizam o IBM Developer Kit, Java Technology Edition Versão 6, é possível obter arquivos de políticas de jurisdição ilimitados, concluindo-se as seguintes etapas:
  1. Acesse o seguinte website: http://www.ibm.com/developerworks/java/jdk/security/index.html
  2. Clique em Java SE 6
  3. Role para baixo e clique em Arquivos da Política SDK IBM.

    O website dos Arquivos de políticas JCE não restritos para o SDK é exibido.

  4. Clique em Registrar-se e forneça seu ID e senha de intranet IBM ou registre-se na IBM para fazer download dos arquivos.
  5. Selecione os arquivos de Políticas JCE Irrestritas apropriados e, em seguida, clique em Continuar.
  6. Visualize o contrato de licença e, em seguida, clique em Concordo.
  7. Clique em Fazer Download Agora.

[IBM i]Para configurar os arquivos de políticas de jurisdição não restritos para IBM i e o IBM Software Development Kit, conclua as seguintes etapas:

[IBM i]

Procedimento

  1. Faça cópias de backup destes arquivos:
    /QIBM/ProdData/Java400/jdk6/lib/security/local_policy.jar
    /QIBM/ProdData/Java400/jdk6/lib/security/US_export_policy.jar
  2. Faça download dos arquivos de políticas irrestritas de http://www.ibm.com/developerworks/java/jdk/security/index.html para o diretório /QIBM/ProdData/Java400/jdk6/lib/security.
  3. Acesse o seguinte website: http://www.ibm.com/developerworks/java/jdk/security/index.html
    1. Clique em Java SE 6
    2. Role para baixo e clique em Arquivos da Política SDK IBM. O Web site dos arquivos de políticas JCE não restritos para o SDK é exibido.
    3. Clique em Registrar-se e forneça seu ID de intranet e sua senha IBM.
    4. Selecione os arquivos de Políticas JCE Irrestritas apropriados e, em seguida, clique em Continuar.
    5. Visualize o contrato de licença e, em seguida, clique em Concordo.
    6. Clique em Fazer Download Agora.
  4. Utilize o comando DSPAUT para assegurar que *PUBLIC receba a autoridade de dados *RX, mas que a autoridade de objeto não seja fornecida para os arquivos local_policy.jar e US_export_policy.jar, localizados no diretório /QIBM/ProdData/Java400/jdk6/lib/security. Por Exemplo:
    DSPAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar')
  5. Utilize o comando CHGAUT para alterar a autorização, se necessário. Por Exemplo:
    CHGAUT OBJ('/qibm/proddata/java400/jdk6/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
[AIX Solaris HP-UX Linux Windows]

Resultados

Depois de seguir estas etapas, dois arquivos JAR (Java Archive) são colocados no diretório JVM jre/lib/security/.

Usando Opções de Configuração para Ajustar o WebSphere Application Server

Ao usar o WS-Security para proteção em nível de mensagem de mensagem SOAP no WebSphere Application Server, a escolha de opções configuração pode afetar o desempenho do aplicativo. As diretrizes a seguir ajudarão a alcançar o melhor desempenho para seus aplicativos protegidos pelo WS-Security.
  1. Utilize o WS-SecureConversation quando apropriado para aplicativos JAX-WS. O uso de chaves simétricas com uma Conversação Segura, em geral, é melhor executado do que as chaves assimétricas utilizadas com o X.509.
    Nota: O uso de WS-SecureConversation é suportado apenas para aplicativos JAX-WS, não para aplicativos JAX-RPC.
  2. Use os tipos de token padrão fornecidos pelo WebSphere Application Server. O uso de tokens customizados é suportado, mas um desempenho mais alto é obtido com o uso dos tipos de token fornecidos.
  3. Para assinaturas, utilize apenas o algoritmo de transformação de canonicalização exclusivo. Consulte a página da WebW3 Recommendation (http://www.w3.org/2001/10/xml-exc-c14n#) para obter informações adicionais.
  4. Sempre que possível, evite utilizar a expressão XPath para selecionar quais partes da mensagem SOAP proteger. As políticas WS-Security fornecidas com o WebSphere Application Server para aplicativos JAX-WS usam expressões XPath para especificar a proteção de alguns elementos no cabeçalho de segurança, como Timestamp, SignatureConfirmation e UsernameToken. O uso dessas expressões XPath é otimizado, mas outros usos não são.
  5. Embora haja extensões do Websphere Application Server para o WS-Security que podem ser utilizadas para inserir elementos nonce e de registro de data e hora em partes da mensagem SOAP antes de assinar ou criptografar as partes da mensagem, você deve evitar o uso dessas extensões, para obter melhor desempenho.
  6. Há uma opção para enviar o CipherValue codificado com base 64 de elementos criptografados do WS-Security, como anexos MTOM. Para pequenos elementos criptografados, o melhor desempenho é obtido evitando-se essa opção. Para elementos criptografados maiores, o melhor desempenho é obtido usando esta opção.
  7. Ao assinar e criptografar elementos na mensagem SOAP, especifique a ordem como assinar primeiro, criptografar depois.
  8. Ao incluir um elemento de registro de data e hora em uma mensagem, o registro de data e hora deve ser incluído no cabeçalho de segurança antes do elemento de assinatura. Isso é realizado utilizando-se a opção de layout do cabeçalho de segurança Strict ou LaxTimestampFirst na configuração de política do WS-Security.
  9. Para aplicativos JAX-WS, utilize a configuração baseada na política, em vez da configuração baseada na WSS API.

O que Fazer Depois

No IBM WebSphere Application Server Versão 6.1 e mais recente, a Segurança de Serviços da Web suporta o uso de dispositivos de hardware criptográficos. Há duas maneiras de usar os dispositivos de criptografia de hardware com o Web Services Security. Consulte Suporte de Dispositivo de Criptografia de Hardware para o Web Services Security para obter informações adicionais.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_tunev6wss
Nome do arquivo: twbs_tunev6wss.html