配置应用程序级别的加密以保护消息机密性

可在应用程序级别为请求使用者(服务器端)和响应使用者(客户机端)绑定配置加密信息。

开始之前

配置加密信息面板中所引用的密钥信息。有关更多信息,请参阅在应用程序级别使用 JAX-RPC 为使用者绑定配置密钥信息

关于此任务

本任务提供为请求使用者(服务器端)和响应使用者(客户机端)绑定配置应用程序级别的加密信息所需的步骤。使用者端的加密信息用于对入局 SOAP 消息中的已加密消息部件进行解密。

完成以下步骤在应用程序级别为绑定文件的请求使用者或响应使用者部分配置加密信息:

过程

  1. 在管理控制台中找到加密信息配置面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下面,可以访问请求使用者绑定和响应使用者绑定的加密信息。
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击加密信息
    5. 单击新建创建加密信息配置,单击删除删除现有配置,或者单击现有加密信息配置的名称以编辑其设置。 如果您正在创建新配置,那么在加密信息名称字段中输入名称。例如,您可以指定 cons_encinfo
  2. 数据加密算法字段中选择数据加密算法。 数据加密算法用于加密或解密 SOAP 消息部件(如 SOAP 主体或用户名令牌)。 WebSphere® Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java™ 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。
      要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。

    您为使用者端选择的数据加密算法必须匹配为生成者端选择的数据加密方法。

  3. 密钥加密算法字段中选择密钥加密算法。 密钥加密算法用于加密密钥,该密钥用于加密 SOAP 消息中的消息部件。 如果未加密数据加密密钥(它是用于加密消息部件的密钥),那么选择(无)。WebSphere Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
      当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。通过 SDK V1.5 运行时,受支持密钥传输算法列表将包含此算法。
      限制: 当以联邦信息处理标准 (FIPS) 方式运行 WebSphere Application Server 时,不支持此算法。
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      要使用 http://www.w3.org/2001/04/xmlenc#aes256-cbc 算法,必须从以下 Web 站点下载非受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      要使用 http://www.w3.org/2001/04/xmlenc#kw-aes192 算法,必须从以下 Web 站点下载非受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。

    您为使用者端选择的密钥加密算法必须匹配为生成者端选择的密钥加密方法。

  4. 可选: 部件引用字段中选择部件引用。 该部件引用表明在部署描述符中加密和定义的消息部件的名称。例如,您可以在部署描述符中加密主体内容消息部件。 此所需机密性部件的名称为 conf_con。此消息部件显示为部件引用字段中的选项。
  5. 在“其他属性”下面,单击密钥信息引用
  6. 单击新建创建密钥信息配置,单击删除删除现有配置,或者单击现有密钥信息配置的名称以编辑其设置。 如果您正在创建新配置,请在名称字段中输入名称。例如,您可以指定 con_ekeyinfo。此条目是绑定文件中 <encryptionKeyInfo> 元素的名称。
  7. 密钥信息引用字段中选择密钥信息引用。 此引用既是 <encryptionKeyInfo> 元素的 keyinfoRef 属性值,又是由此密钥信息引用所引用的 <keyInfo> 元素名。每个密钥信息引用条目都会在绑定配置文件的 <encryptionInfo> 元素下生成 <encryptionKeyInfo> 元素。例如,如果在名称字段中输入 con_ekeyinfo 并在密钥信息引用字段中输入 dec_keyinfo,就会在绑定文件中生成以下 <encryptionKeyInfo> 元素:
    <encryptionKeyInfo xmi:id="EncryptionKeyInfo_1085092248843"
    keyinfoRef="dec_keyinfo” name="con_ekeyinfo"/>
  8. 单击确定,然后单击保存保存配置。

结果

您已配置应用程序级别的使用者绑定的加密信息

下一步做什么

您必须为生成者指定类似的加密信息配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconsapp
文件名:twbs_configencryptinfoconsapp.html