在应用程序级别使用 JAX-RPC 配置加密以保护消息机密性

可在应用程序级别为请求生成者(客户端)和响应生成者(服务器端)绑定配置加密信息,以指定生成者(发送方)用于加密出局消息的方式。

开始之前

配置由“加密信息”面板中的密钥信息引用所引用的密钥信息。

关于此任务

本任务提供为请求使用者(服务器端)和响应使用者(客户端)绑定配置应用程序级别的加密信息所需的步骤。此加密信息用于指定生成者(发送方)如何加密出局消息。

完成以下步骤在应用程序级别为绑定文件的请求生成者或响应生成者部分配置加密信息:

过程

  1. 在管理控制台中找到“加密信息配置”面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下,您可以访问请求生成器绑定和响应生成器绑定的密钥信息。
      • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制
      • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击加密信息
    5. 单击新建以创建加密信息配置。 单击删除删除现有配制,或者单击现有加密信息配置的名称以编辑其设置。 如果您正在创建新配置,那么在加密信息名称字段中输入名称。例如,您可以指定 gen_encinfo
  2. 数据加密算法字段中选择数据加密算法。 该选择指定用于加密消息部件的算法。WebSphere® Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java™ 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。
      要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。

    您为使用者端选择的数据加密算法必须匹配为生成者端选择的数据加密方法。

  3. 密钥加密算法字段中选择密钥加密算法。 此选择指定用于加密密钥的算法。WebSphere Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
      当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。通过 SDK V1.5 运行时,受支持密钥传输算法列表将包含此算法。
      限制: 当以联邦信息处理标准 (FIPS) 方式运行 WebSphere Application Server 时,不支持此算法。
      缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
      缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。
      要点: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。

    您为使用者端选择的密钥加密算法必须匹配为生成者端选择的密钥加密方法。

  4. 从“加密密钥信息”菜单中选择加密密钥信息引用。 此选择是对用于加密消息部件的加密密钥的引用。要配置密钥信息,请参阅在应用程序级别使用 JAX-RPC 配置生成器绑定的密钥信息
  5. 部件引用字段中选择部件引用。 此字段为部署描述符中的生成器绑定元素指定部件引用的名称。
  6. 单击确定,然后单击保存保存配置。

结果

在应用程序级别上为生成器绑定配置了加密信息。

下一步做什么

必须对使用者指定类似的加密信息配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogenapp
文件名:twbs_configencryptinfogenapp.html