Ajustando a Segurança de Serviços da Web para AplicativosVersão 9.0
O JCE (Java™ Cryptography Extension) é integrado no SDK (Software Development Kit) Versão 1.4.x e posteriores. Esse não é mais um pacote opcional. Entretanto, o arquivo de políticas de jurisdição JCE padrão enviado com o SDK permite que você utilize criptografia para aplicar essa política padrão. Além disso, é possível modificar as opções de configuração de segurança de serviços da Web para obter o melhor desempenho para os aplicativos protegidos de segurança de serviços da Web.
Sobre Esta Tarefa
Usando os arquivos de políticas JCE irrestritas
Devido a regras de exportação e importação, o arquivo de políticas de jurisdição JCE padrão enviado com o SDK permite que você utilize apenas uma criptografia potente, mas limitada. Para forçar esta política padrão, o WebSphere Application Server utiliza o arquivo de política de jurisdição JCE que pode apresentar um impacto no desempenho. A política de jurisdição JCE padrão pode ter um impacto de desempenho nas funções criptográficas que são suportadas pela Segurança de Serviços da Web. Se você tem aplicativos de serviços da Web que usam segurança de nível de transporte para criptografia XML ou assinaturas digitais, você pode encontrar degradação de desempenho sobre releases anteriores do WebSphere Application Server. No entanto, a IBM® e a Oracle Corporation fornecem versões desses arquivos de política de jurisdição que não possuem restrições sobre as forças criptográficas. Caso você tenha permissão de suas leis locais de importação e exportação, faça o download de um destes arquivos de políticas de jurisdição. Após transferir um desses arquivos por download, o desempenho do JCE e a Segurança de Serviços da Web pode melhorar.

- Acesse o seguinte website: http://www.ibm.com/developerworks/java/jdk/security/index.html
- Clique em Java SE 6
- Role para baixo e clique em Arquivos da Política SDK IBM.
O website dos Arquivos de políticas JCE não restritos para o SDK é exibido.
- Clique em Registrar-se e forneça seu ID e senha de intranet IBM ou registre-se na IBM para fazer download dos arquivos.
- Selecione os arquivos de Políticas JCE Irrestritas apropriados e, em seguida, clique em Continuar.
- Visualize o contrato de licença e, em seguida, clique em Concordo.
- Clique em Fazer Download Agora.
Para configurar os arquivos de políticas de jurisdição não restritos para IBM i e o IBM Software Development Kit, conclua as seguintes etapas:
![[IBM i]](../images/iseries.gif)
Procedimento
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Resultados
Usando Opções de Configuração para Ajustar o WebSphere Application Server
- Utilize o WS-SecureConversation quando apropriado para aplicativos JAX-WS.
O
uso de chaves simétricas com uma Conversação Segura, em geral, é melhor executado
do que as chaves assimétricas utilizadas com o X.509.Nota: O uso de WS-SecureConversation é suportado apenas para aplicativos JAX-WS, não para aplicativos JAX-RPC.
- Use os tipos de token padrão fornecidos pelo WebSphere Application Server. O uso de tokens customizados é suportado, mas um desempenho mais alto é obtido com o uso dos tipos de token fornecidos.
- Para assinaturas, utilize apenas o algoritmo de transformação de canonicalização exclusivo. Consulte a página da WebW3 Recommendation (http://www.w3.org/2001/10/xml-exc-c14n#) para obter informações adicionais.
- Sempre que possível, evite utilizar a expressão XPath para selecionar quais partes da mensagem SOAP proteger. As políticas WS-Security fornecidas com o WebSphere Application Server para aplicativos JAX-WS usam expressões XPath para especificar a proteção de alguns elementos no cabeçalho de segurança, como Timestamp, SignatureConfirmation e UsernameToken. O uso dessas expressões XPath é otimizado, mas outros usos não são.
- Embora haja extensões do Websphere Application Server para o WS-Security que podem ser utilizadas para inserir elementos nonce e de registro de data e hora em partes da mensagem SOAP antes de assinar ou criptografar as partes da mensagem, você deve evitar o uso dessas extensões, para obter melhor desempenho.
- Há uma opção para enviar o CipherValue codificado com base 64 de elementos criptografados do WS-Security, como anexos MTOM. Para pequenos elementos criptografados, o melhor desempenho é obtido evitando-se essa opção. Para elementos criptografados maiores, o melhor desempenho é obtido usando esta opção.
- Ao assinar e criptografar elementos na mensagem SOAP, especifique a ordem como assinar primeiro, criptografar depois.
- Ao incluir um elemento de registro de data e hora em uma mensagem, o registro de data e hora deve ser incluído no cabeçalho de segurança antes do elemento de assinatura. Isso é realizado utilizando-se a opção de layout do cabeçalho de segurança Strict ou LaxTimestampFirst na configuração de política do WS-Security.
- Para aplicativos JAX-WS, utilize a configuração baseada na política, em vez da configuração baseada na WSS API.
O que Fazer Depois
No IBM WebSphere Application Server Versão 6.1 e mais recente, a Segurança de Serviços da Web suporta o uso de dispositivos de hardware criptográficos. Há duas maneiras de usar os dispositivos de criptografia de hardware com o Web Services Security. Consulte Suporte de Dispositivo de Criptografia de Hardware para o Web Services Security para obter informações adicionais.