加密信息配置设置:方法

使用此页面为签名方法、摘要方法和规范方法配置加密和解密参数。

此页面上为签名方法、摘要方法和规范方法所列出的规范位于标题为 XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 的万维网联盟 (W3C) 文档中。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name 并完成下列其中一个步骤:
    • 单击管理模块 > URI_file_name > Web Service:客户机安全性绑定。在“请求发送方绑定”下,单击编辑。在“Web Service 安全性属性”下,单击加密信息
    • 在“模块”下,单击管理模块 > URI_file_name > Web Service:服务器安全性绑定。在“响应发送方绑定”下,单击编辑。在“Web Service 安全性属性”下,单击加密信息
  2. 选择专用加密信息。应用程序服务器可以有一个用于请求发送方和响应发送方绑定的加密配置,也可以没有。如果未使用加密,那么选择。要为这两种绑定中的任何一种绑定配置加密,请选择专用加密信息并使用本主题描述的字段来指定配置设置。
注: 包括软件开发包 (SDK) 更新的修订包可能会覆盖不受限制的策略文件。在应用修订包之前先备份不受限制的策略文件,然后在应用修订包之后再次应用这些文件。

加密信息名称

指定加密信息的名称。

密钥定位器引用

指定引用密钥定位器时所用的名称。

可以在单元级别、服务器级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这三个级别上的配置的组合。

要配置单元级别上的密钥定位器,请完成下列步骤:
  1. 单击安全性 > JAX-WS 和 JAX-RPC 安全性运行时
  2. 在“其他属性”下,单击密钥定位器
要配置服务器级别的密钥定位器,请完成下列步骤:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
    混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定mixv
  3. 在“其他属性”下,单击密钥定位器
要配置应用程序级别上的密钥定位器,请完成下列步骤:
  1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
  2. 在“模块”下,单击管理模块 > URI_name
  3. 在“Web Service 安全性属性”下,可以访问以下绑定的密钥定位器:
    • 对于“请求发送方”,单击 Web Service:客户机安全性绑定。在“请求发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“请求接收方”,单击 Web Service:服务器安全性绑定。在“请求接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“响应发送方”,单击 Web Service:服务器安全性绑定。在“响应发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器
    • 对于“响应接收方”,单击 Web Service:客户机安全性绑定。在“响应接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器

加密密钥名称

指定加密密钥的名称,通过指定的密钥定位器将此名称解析为实际密钥。

信息
数据类型 String

密钥加密算法

指定密钥加密方法的算法统一资源标识 (URI)。

支持以下算法:
  • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    当通过 IBM® 软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。当通过 JDK 1.5 或更高版本运行时,受支持密钥传输算法列表包括此算法。

    缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:
    • http://www.w3.org/2001/04/xmlenc#sha256
    • http://www.w3.org/2001/04/xmlenc#sha512
    缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。
    要点: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。
  • http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • http://www.w3.org/2001/04/xmlenc#kw-tripledes
  • http://www.w3.org/2001/04/xmlenc#kw-aes128
  • http://www.w3.org/2001/04/xmlenc#kw-aes192。要使用 192 位密钥加密算法,必须下载非受限的 Java™ 密码术扩展 (JCE) 策略文件。
    限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。
  • http://www.w3.org/2001/04/xmlenc#kw-aes256。要使用 256 位密钥加密算法,必须下载非受限的 JCE 策略文件。
注: 如果发生 InvalidKeyException 错误并且在使用 129xxx 或 256xxx 加密算法,那么配置中可能不存在非受限的策略文件。

Java 密码术扩展

缺省情况下,Java 密码术扩展 (JCE) 与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准 (AES) 加密算法,必须应用无限制的管辖策略文件。

[AIX Solaris HP-UX Linux Windows]注: 下载这些策略文件和覆盖现有策略文件(WAS_HOME/java/jre/lib/security/ 目录中的 local_policy.jarUS_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。
[z/OS]注: 下载这些策略文件和覆盖现有策略文件(WAS_HOME/java/lib/security/ 目录中的 local_policy.jarUS_export_policy.jar)前,先备份现有策略文件,以备将来复原原始文件。
要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
[AIX Solaris HP-UX Linux Windows][z/OS]

应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V1.4.2

要下载策略文件,请完成下列其中一组步骤:
  • [AIX][Linux][Windows][z/OS]对于使用 IBM Developer Kit, Java Technology Edition V1.4.2 的应用程序服务器平台(包括 AIX®、Linux 和 Windows 平台),请完成以下步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:IBM Developer Kit:安全性信息
    2. 单击 Java 1.4.2
    3. 单击 IBM SDK 策略文件

      这将显示 SDK 1.4 Web 站点的无限制 JCE 策略文件。

    4. 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
  • [Solaris][HP-UX]对于使用基于 Sun 的 Java Development Kit 6 (JDK 6) V1.4.2 的应用程序服务器平台(包括 Solaris 环境和 HP-UX 平台),请完成以下步骤来获取无限制的权限策略文件:
    1. 访问以下 Web 站点:http://java.sun.com/j2se/1.4.2/download.html
    2. 单击归档区
    3. 找到 Java 密码术扩展 (JCE) 无限制强度权限策略文件 1.4.2 信息,并单击下载jce_policy-1_4_1.zip 文件将下载到您的机器上。
在完成这些步骤之后,两个 Java 归档 (JAR) 文件都位于 Java 虚拟机 (JVM) jre/lib/security/ 目录中。
[IBM i]

IBM i 和 IBM 软件开发包 1.4

对于 IBM i 和 IBM 软件开发包 V1.4,不需要调整 Web Service 安全性。安装必备软件时,将自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。

对于 IBM i 5.4 操作系统和 IBM 软件开发包 V1.4,将通过安装产品 5722SS1 的选件 3(扩展基本目录支持)自动配置 IBM Java Developer Kit 1.4 的非受限管辖区域策略文件。

对于 IBM i(以前称为 IBM i V5R3)和 IBM Software 软件开发包 V1.4,将通过安装产品 5722AC3 Crypto Access Provider 128 位自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。

[IBM i]

IBM i 和 IBM 软件开发包 1.5

对于 IBM i 5.4 和 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 1.5,缺省情况下已经配置了受限 JCE 管辖区域策略文件。可从以下 Web 站点下载无限制 JCE 管辖区域策略文件:安全性信息:IBM J2SE 5 SDK

要为 IBM i 和 IBM 软件开发包 V1.5 配置非受限管辖区域策略文件:
  1. 备份以下文件:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
    /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. IBM Developer Kit:安全性信息中的非受限策略文件下载到 /QIBM/ProdData/Java400/jdk15/lib/security 目录。
    1. 访问以下 Web 站点:IBM Developer Kit:安全性信息
    2. 单击 J2SE 5.0
    3. 向下滚动并单击 IBM SDK 策略文件。这将显示 SDK Web 站点的无限制的 JCE 策略文件。
    4. 单击登录并提供 IBM 内部网标识和密码。
    5. 选择相应的非受限 JCE 策略文件,然后单击继续
    6. 查看许可协议,然后单击我同意
    7. 单击立即下载
  3. 使用 DSPAUT 命令以确保对 *PUBLIC 授予 *RX 数据权限,同时确保未对 /QIBM/ProdData/Java400/jdk15/lib/security 目录中的 local_policy.jarUS_export_policy.jar 文件提供任何对象权限。例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
  4. 必要时使用 CHGAUT 命令更改权限。例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
    USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)

数据加密算法

指定数据加密方法的算法统一资源标识 (URI)。

支持以下算法:

缺省情况下,JCE 附带了强度受限的密码。要使用 192 位和 256 位 AES 加密算法,必须应用无限制的权限策略文件。有关更多信息,请参阅“密钥加密算法”字段描述。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_encryptrsb
文件名:uwbs_encryptrsb.html