硬件加密设备必须先配置并启用,然后才能使用。必须首先通过在管理控制台中使用安全套接字层 (SSL) 证书和密钥管理面板来配置硬件加密设备。加密操作的密钥可以存储在普通的 Java™ 密钥库文件中,而不需要存储在硬件设备上。
完成对 java.security 文件的变更之后,将在以下过程中启用加密操作,并且 Java 虚拟机 (JVM) 将能够选择硬件加密设备提供程序。
开始之前
必须首先通过在管理控制台中使用安全套接字层 (SSL) 证书和密钥管理面板来配置硬件加密设备。
注: 包括软件开发包 (SDK) 更新的修订包可能会覆盖不受限制的策略文件。在应用修订包之前先备份不受限制的策略文件,然后在应用修订包之后再次应用这些文件。
对于转换用户: 使用硬件加密设备时,不需要未受限 Java 策略文件。在较低版本的产品中,这些策略文件是必需的。
trns
过程
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
在管理控制台中,单击,然后选择服务器名称。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
在安全性下面,选择 JAX-WS 和 JAX-RPC 安全性运行时。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
在“加密硬件”下,选择在硬件设备上启用加密操作,然后指定硬件加密设备配置名称的名称。 有关更多信息,请阅读有关配置硬件加密密钥库的信息。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
单击确定。
停止应用程序服务器。
变更 java.security 文件。
java.security 文件位于
profile_root/properties 目录中。
java.security 文件位于 app_server_root/java/jre/lib/security 目录中。
java.security 文件位于
app_server_root/properties 目录中。
需要对此文件进行以下更改:
- 取消对以下文件行的注释:
#security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
- 对提供程序和首选项的列表进行重新排序,如下所示:
security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.10=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.11=org.apache.harmony.security.provider.PolicyProvider
文件结构和内容可供使用。
启动应用程序服务器。 将为在此应用程序服务器上运行的所有 Web Service 安全性应用程序启用加密设备。
结果
此过程为在此应用程序服务器上运行的所有 Web Service 安全性应用程序配置
并启用硬件加密设备。