在服务器或单元级别配置加密以保护消息机密性
缺省使用者的加密信息指定未定义应用程序级别的这些绑定时,如何处理接收方端上的加密信息。WebSphere® Application Server 提供绑定的缺省值。但是,管理员必须修改生产环境的缺省值。
关于此任务
可以在服务器级别和单元级别上配置使用者绑定的加密信息。在以下步骤中,使用第一步访问服务器级别的缺省绑定,使用第二步访问单元级别绑定。
过程
- 访问服务器级别的缺省绑定。
- 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定。mixv
- 单击安全性 > Web Service 以访问单元级别的缺省绑定。
- 在“缺省使用者绑定”下,单击加密信息。
- 单击新建创建加密信息配置,单击删除删除现有配置,或者单击现有加密信息配置的名称以编辑该设置。 如果您正在创建新配置,那么在“加密信息名称”字段中输入加密配置的唯一名称。例如,您可以指定 con_encinfo。
避免故障: 如果创建多个加密信息配置,那么 WS-Security 运行时环境只使用绑定文件中所列的第一个配置。gotcha
- 从“数据加密算法”字段中选择数据加密算法。 此算法用于加密数据。WebSphere Application Server 支持以下预先配置的算法:
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
要使用此算法,必须从以下 Web 站点下载不受限的 Java™ 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。
- http://www.w3.org/2001/04/xmlenc#aes192-cbc
要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。
限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
您为使用者端选择的数据加密算法必须匹配为生成者端选择的数据加密方法。
- 从“密钥加密算法”字段中选择密钥加密算法。 此算法用于加密密钥。WebSphere Application Server 支持以下预先配置的算法:
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。通过 SDK V1.5 运行时,受支持密钥传输算法列表将包含此算法。限制: 当以联邦信息处理标准 (FIPS) 方式运行 WebSphere Application Server 时,不支持此算法。
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html。
限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。
如果选择无,那么未加密该密钥。
您为使用者端选择的密钥加密算法必须匹配为生成者端选择的密钥加密算法。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
- 在“其他属性”下,单击密钥信息引用。
- 单击新建创建密钥信息配置,单击删除删除现有配置,或者单击现有密钥信息配置的名称以编辑该设置。 如果您正在创建新配置,那么在“名称”字段中输入密钥信息配置的唯一名称。例如,您可以指定 con_enckeyinfo。
- 从“密钥信息引用”字段中选择密钥信息引用。 此选择是指用于加密的密钥信息的名称。有关更多信息,请参阅在服务器或单元级别上,使用 JAX-RPC 配置使用者绑定的密钥信息。
- 单击确定和保存以保存配置。
结果
下一步做什么


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfoconssvrcell
文件名:twbs_configencryptinfoconssvrcell.html