在服务器或单元级别使用 JAX-RPC 来配置加密以保护消息机密性

可以在服务器或单元级别为生成器绑定配置加密信息。

关于此任务

缺省使用者的加密信息指定未定义应用程序级别的这些绑定时,如何加密发送方端上的信息。WebSphere® Application Server 为绑定提供缺省值。但是,管理员必须修改生产环境的缺省值。

可以在服务器级别和单元级别上配置生成器绑定的加密信息。在以下步骤中,使用第一步配置服务器级别的加密信息,使用第二步配置单元级别的加密信息:

过程

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  2. 单击安全性 > Web Service 以访问单元级别的缺省绑定。
  3. 在“缺省生成器绑定”下,单击加密信息
  4. 单击新建创建加密信息配置,单击删除删除现有配置,或者单击现有加密信息配置的名称以编辑该设置。 如果您正在创建新配置,那么在“加密信息名称”字段中输入加密配置的唯一名称。例如,您可以指定 gen_encinfo
    避免故障 避免故障: 如果创建多个加密信息配置,那么 WS-Security 运行时环境只使用绑定文件中所列的第一个配置。gotcha
  5. 从“数据加密算法”字段中选择数据加密算法。 此算法用于加密数据。WebSphere Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • http://www.w3.org/2001/04/xmlenc#aes256-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java™ 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#aes192-cbc

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法,即 192 位密钥加密算法。
    要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。

    您为生成者端选择的数据加密算法必须匹配为使用者端选择的数据加密算法。

  6. 从“密钥加密算法”字段中选择密钥加密算法。 此算法用于加密密钥。WebSphere Application Server 支持以下预先配置的算法:
    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
      通过 JDK 1.4 运行时,受支持密钥传输算法列表将不包括此算法。通过 JDK 1.5 运行时,受支持密钥传输算法列表将包括此算法。
      限制: 当以联邦信息处理标准 (FIPS) 方式运行 WebSphere Application Server 时,不支持此算法。
      缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
      缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。
      要点: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。
    • http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • http://www.w3.org/2001/04/xmlenc#kw-tripledes
    • http://www.w3.org/2001/04/xmlenc#kw-aes128
    • http://www.w3.org/2001/04/xmlenc#kw-aes256

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

    • http://www.w3.org/2001/04/xmlenc#kw-aes192

      要使用此算法,必须从以下 Web 站点下载不受限的 Java 密码术扩展 (JCE) 策略文件:http://www.ibm.com/developerworks/java/jdk/security/index.html

      限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法,即 192 位密钥加密算法。

    如果选择,那么未加密该密钥。

    您为生成者端选择的密钥加密算法必须匹配为使用者端选择的密钥加密算法。

  7. 从“加密密钥信息”字段中选择加密密钥配置。 此属性指定用于加密消息的密钥的名称。要配置密钥信息,请参阅在服务器或单元级别上,使用 JAX-RPC 配置生成器绑定的密钥信息。
  8. 单击确定,然后单击保存保存配置。

结果

您已配置服务器或单元级别的生成器绑定的加密信息。

下一步做什么

必须对使用者指定类似的加密信息配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configencryptinfogensvrcell
文件名:twbs_configencryptinfogensvrcell.html