加密信息配置设置:消息部件
使用此页面来配置加密和解密参数。可以使用这些参数来加密和解密消息的各部件(包括主体和令牌)。
- 单击 。
- 在“JAX-RPC 缺省生成器绑定”或“JAX-RPC 缺省使用者绑定”下面,单击加密信息。
- 单击新建以创建新的加密配置,或者单击现有加密配置的名称。
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“JAX-RPC 缺省生成器绑定”或“JAX-RPC 缺省使用者绑定”下面,单击加密信息。
- 单击新建以创建新的加密配置,或者单击现有加密配置的名称。
- 单击 。
- 在“模块”下,单击 。
- 在“Web Service 安全性属性”下面,可以访问以下绑定的加密信息:
- 对于“请求生成者”,单击 Web Service:客户机安全性绑定。在“请求生成者(发送方)绑定”下,单击编辑定制。在“必需属性”下面,单击加密信息。
- 对于“请求使用者”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制。在“必需属性”下面,单击加密信息。
- 对于“响应生成者”,单击 Web Service:服务器安全性绑定。在“响应生成者(发送方)绑定”下,单击编辑定制。在“必需属性”下面,单击加密信息。
- 对于“响应使用者”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。在“必需属性”下面,单击加密信息。
- 单击新建以创建新的加密配置或单击现有加密配置的名称。
加密信息名称
指定加密信息的名称。
信息 | 值 |
---|---|
数据类型 | String |
数据加密算法
指定数据加密方法的算法统一资源标识 (URI)。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc。要使用此算法,必须从以下 Web 站点下载不受限的 Java™ 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。有关更多信息,请参阅加密信息配置设置:方法。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc。要使用此算法,必须从以下
Web 站点下载不受限的 JCE 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。有关更多信息,请参阅帮助主题“加密信息配置设置:方法”。限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。
缺省情况下,Java 密码术扩展 (JCE) 与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准 (AES) 加密算法,必须应用无限制的管辖策略文件。有关更多信息,请参阅密钥加密算法字段描述。
密钥定位器引用
指定密钥定位器配置名称,以用它检索 XML 数字签名和 XML 加密的密钥。
对请求接收方和响应接收方绑定显示了“密钥定位器引用”字段。
可以在服务器级别、单元级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这三个级别上的配置的组合。
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省使用者绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
缺省使用者绑定 | 服务器级别 |
|
请求发送方 | 应用程序级别 |
|
请求接收方 | 应用程序级别 |
|
响应发送方 | 应用程序级别 |
|
响应接收方 | 应用程序级别 |
|
密钥加密算法
指定密钥加密方法的算法统一资源标识 (URI)。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。当通过软件开发包 (SDK)V1.5 或更高版本运行时,受支持密钥传输算法列表将包含此算法。
缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。要点: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。 - http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes192限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。
- http://www.w3.org/2001/04/xmlenc#kw-aes256
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V1.4.2
缺省情况下,Java 密码术扩展 (JCE) 与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准 (AES) 加密算法,必须应用无限制的管辖策略文件。
下载这些策略文件和覆盖现有策略文件(WAS_HOME/java/jre/lib/security/ 目录中的 local_policy.jar 和 US_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。
下载这些策略文件和覆盖现有策略文件(WAS_HOME/java/lib/security/ 目录中的 local_policy.jar 和 US_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。

对于使用 IBM® Developer Kit, Java Technology Edition V1.4.2 的应用程序服务器平台(包括 AIX®、Linux 和 Windows 平台),请完成以下步骤来获取无限制的权限策略文件:
- 访问以下 Web 站点:IBM developer works:安全性信息
- 单击 Java 1.4.2
- 单击 IBM SDK 策略文件。
这将显示 SDK 1.4 Web 站点的无限制 JCE 策略文件。
- 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
对于使用基于 Sun 的 Java Development Kit 6 (JDK 6) V1.4.2 的应用程序服务器平台(包括 Solaris 环境和 HP-UX 平台),请完成以下步骤来获取无限制的权限策略文件:
- 访问以下 Web 站点:下载 V1.4.2 (Java EE)
- 单击归档区。
- 找到 Java 密码术扩展 (JCE) 无限制强度权限策略文件 1.4.2 信息,并单击下载。策略文件下载到您的机器上。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V5
缺省情况下,Java 密码术扩展 (JCE) 与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准 (AES) 加密算法,必须应用无限制的管辖策略文件。下载这些策略文件和覆盖现有策略文件(WAS_HOME/java/jre/lib/security/
WAS_HOME/java/lib/security/ 目录中的 local_policy.jar 和 US_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。
- 对于使用 IBM Developer Kit, Java Technology Edition V5 的应用程序服务器平台来说,可通过完成以下步骤获取无限制的权限策略文件:
- 访问以下 Web 站点:IBM developer works:安全性信息
- 单击 Java 5
- 单击 IBM SDK 策略文件。
这将显示 SDK 5 Web 站点的无限制 JCE 策略文件。
- 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
![[IBM i]](../images/iseries.gif)
IBM 软件开发包 V1.4:
- 对于 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 V1.4,请安装产品 5722AC3 Crypto Access Provider 128 位。
- 对于 IBM i 5.4 和 IBM 软件开发包 V1.4,请安装产品 5722SS1 的选件 3,即“扩展基本目录支持”。
![[IBM i]](../images/iseries.gif)
IBM 软件开发包 V1.5:
对于 IBM i 5.4 和 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 1.5,缺省情况下已经配置了受限 JCE 管辖区域策略文件。可从以下 Web 站点下载无限制 JCE 管辖区域策略文件:IBM developer works:安全性信息 V5
- 备份以下文件:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- 将 IBM developer works:安全性信息中的非受限策略文件下载到 /QIBM/ProdData/Java400/jdk15/lib/security 目录。
- 访问以下 Web 站点:http://www.ibm.com/developerworks/java/jdk/security/index.html
- 单击 J2SE 5.0。
- 向下滚动并单击 IBM SDK 策略文件。这将显示 SDK Web 站点的无限制的 JCE 策略文件。
- 单击登录并提供 IBM 内部网标识和密码。
- 选择相应的非受限 JCE 策略文件,然后单击继续。
- 查看许可协议,然后单击我同意。
- 单击立即下载。
- 使用 DSPAUT 命令以确保对 *PUBLIC 授予 *RX 数据权限,同时确保未对 /QIBM/ProdData/Java400/jdk15/lib/security 目录中的 local_policy.jar 和 US_export_policy.jar 文件提供任何对象权限。例如:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- 必要时使用 CHGAUT 命令更改权限。例如:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
单元级别上的定制算法
- 单击 。
- 在“其他属性”下,单击算法映射。
- 单击新建以指定新的算法映射,或者单击现有配置的名称以修改其设置。
- 在“其他属性”下,单击算法 URI。
- 单击新建以创建新的算法 URI。必须在算法类型字段中指定密钥加密以使配置显示在“加密信息配置设置”面板上的密钥加密算法字段中。
服务器级别上的定制算法
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“其他属性”下,单击算法映射。
- 单击新建以指定新的算法映射,或者单击现有配置的名称以修改其设置。
- 在“其他属性”下,单击算法 URI。
- 单击新建以创建新的算法 URI。必须在算法类型字段中指定密钥加密以使配置显示在“加密信息配置设置”面板上的密钥加密算法字段中。
加密密钥信息
指定用于加密的密钥信息引用的名称。此引用由指定的密钥定位器解析到实际密钥,并定义在密钥信息中。
您必须为请求生成者和响应生成者绑定指定一个加密密钥配置或不指定加密密钥配置。
对于响应使用者和请求使用者绑定,您可以配置多个加密密钥引用。要创建新的加密密钥引用,在“其他属性”下单击密钥信息引用。
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省使用者绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
缺省使用者绑定 | 服务器级别 |
|
请求生成者(发送方)绑定 | 应用程序级别 |
|
响应生成者(发送方)绑定 | 应用程序级别 |
|
部件引用
为部署描述符中的生成器绑定指定 <confidentiality> 元素的名称,或者为使用者绑定元素指定 <requiredConfidentiality> 元素的名称。
此字段仅在应用程序级别上可用。