加密信息配置设置:方法
使用此页面为签名方法、摘要方法和规范方法配置加密和解密参数。
此页面上为签名方法、摘要方法和规范方法所列出的规范位于标题为 XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 的万维网联盟 (W3C) 文档中。
- 单击
- 单击编辑。在“Web Service 安全性属性”下,单击加密信息。 。在“请求发送方绑定”下,单击
- 在“模块”下,单击编辑。在“Web Service 安全性属性”下,单击加密信息。 。在“响应发送方绑定”下,单击
并完成下列其中一个步骤: - 选择无或专用加密信息。应用程序服务器可以有一个用于请求发送方和响应发送方绑定的加密配置,也可以没有。如果未使用加密,那么选择无。要为这两种绑定中的任何一种绑定配置加密,请选择专用加密信息并使用本主题描述的字段来指定配置设置。
加密信息名称
指定加密信息的名称。
密钥定位器引用
指定引用密钥定位器时所用的名称。
可以在单元级别、服务器级别和应用程序级别上配置这些密钥定位器引用选项。该字段中列出的配置是这三个级别上的配置的组合。
- 单击 。
- 在“其他属性”下,单击密钥定位器。
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“其他属性”下,单击密钥定位器。
- 单击 。
- 在“模块”下,单击 。
- 在“Web Service 安全性属性”下,可以访问以下绑定的密钥定位器:
- 对于“请求发送方”,单击 Web Service:客户机安全性绑定。在“请求发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器。
- 对于“请求接收方”,单击 Web Service:服务器安全性绑定。在“请求接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器。
- 对于“响应发送方”,单击 Web Service:服务器安全性绑定。在“响应发送方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器。
- 对于“响应接收方”,单击 Web Service:客户机安全性绑定。在“响应接收方绑定”下,单击编辑。在“其他属性”下,单击密钥定位器。
加密密钥名称
指定加密密钥的名称,通过指定的密钥定位器将此名称解析为实际密钥。
信息 | 值 |
---|---|
数据类型 | String |
密钥加密算法
指定密钥加密方法的算法统一资源标识 (URI)。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
当通过 IBM® 软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。当通过 JDK 1.5 或更高版本运行时,受支持密钥传输算法列表包括此算法。
缺省情况下,RSA-OAEP 算法使用 SHA1 消息摘要算法来在加密操作期间计算消息摘要。(可选)可通过指定密钥加密算法属性来使用 SHA256 或 SHA512 消息摘要算法。属性名为:com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。属性值是下列其中一个摘要方法 URI:- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
缺省情况下,RSA-OAEP 算法使用空字符串来作为 OAEPParams 的可选编码八位元字符串。可通过指定密钥加密算法属性来提供显式的编码八位元字符串。对于属性名,可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。属性值是八位元字符串的基本 64 位编码值。要点: 只能在生成者端设置这些摘要方法和 OAEPParams 属性。在使用者端,会从传入的 SOAP 消息中读取这些属性。 - http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- http://www.w3.org/2001/04/xmlenc#kw-tripledes。
- http://www.w3.org/2001/04/xmlenc#kw-aes128。
- http://www.w3.org/2001/04/xmlenc#kw-aes192。要使用
192 位密钥加密算法,必须下载非受限的 Java™ 密码术扩展 (JCE) 策略文件。限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用 192 位密钥加密算法。
- http://www.w3.org/2001/04/xmlenc#kw-aes256。要使用 256 位密钥加密算法,必须下载非受限的 JCE 策略文件。
Java 密码术扩展
缺省情况下,Java 密码术扩展 (JCE) 与强度受限或有限的密码一起提供。要使用 192 位和 256 位高级加密标准 (AES) 加密算法,必须应用无限制的管辖策略文件。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
应用程序服务器平台和 IBM Developer Kit, Java Technology Edition V1.4.2
对于使用 IBM Developer Kit, Java Technology Edition V1.4.2 的应用程序服务器平台(包括 AIX®、Linux 和 Windows 平台),请完成以下步骤来获取无限制的权限策略文件:
- 访问以下 Web 站点:IBM Developer Kit:安全性信息
- 单击 Java 1.4.2
- 单击 IBM SDK 策略文件。
这将显示 SDK 1.4 Web 站点的无限制 JCE 策略文件。
- 输入您的用户标识和密码或向 IBM 注册,以下载策略文件。策略文件下载到您的机器上。
对于使用基于 Sun 的 Java Development Kit 6 (JDK 6) V1.4.2 的应用程序服务器平台(包括 Solaris 环境和 HP-UX 平台),请完成以下步骤来获取无限制的权限策略文件:
- 访问以下 Web 站点:http://java.sun.com/j2se/1.4.2/download.html。
- 单击归档区。
- 找到 Java 密码术扩展 (JCE) 无限制强度权限策略文件 1.4.2 信息,并单击下载。jce_policy-1_4_1.zip 文件将下载到您的机器上。
![[IBM i]](../images/iseries.gif)
IBM i 和 IBM 软件开发包 1.4
对于 IBM i 和 IBM 软件开发包 V1.4,不需要调整 Web Service 安全性。安装必备软件时,将自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。
对于 IBM i 5.4 操作系统和 IBM 软件开发包 V1.4,将通过安装产品 5722SS1 的选件 3(扩展基本目录支持)自动配置 IBM Java Developer Kit 1.4 的非受限管辖区域策略文件。
对于 IBM i(以前称为 IBM i V5R3)和 IBM Software 软件开发包 V1.4,将通过安装产品 5722AC3 Crypto Access Provider 128 位自动配置 IBM 软件开发包 V1.4 的非受限管辖区域策略文件。
![[IBM i]](../images/iseries.gif)
IBM i 和 IBM 软件开发包 1.5
对于 IBM i 5.4 和 IBM i(以前称为 IBM i V5R3)和 IBM 软件开发包 1.5,缺省情况下已经配置了受限 JCE 管辖区域策略文件。可从以下 Web 站点下载无限制 JCE 管辖区域策略文件:安全性信息:IBM J2SE 5 SDK
- 备份以下文件:
/QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar /QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
- 将 IBM Developer Kit:安全性信息中的非受限策略文件下载到 /QIBM/ProdData/Java400/jdk15/lib/security 目录。
- 访问以下 Web 站点:IBM Developer Kit:安全性信息
- 单击 J2SE 5.0。
- 向下滚动并单击 IBM SDK 策略文件。这将显示 SDK Web 站点的无限制的 JCE 策略文件。
- 单击登录并提供 IBM 内部网标识和密码。
- 选择相应的非受限 JCE 策略文件,然后单击继续。
- 查看许可协议,然后单击我同意。
- 单击立即下载。
- 使用 DSPAUT 命令以确保对 *PUBLIC 授予 *RX 数据权限,同时确保未对 /QIBM/ProdData/Java400/jdk15/lib/security 目录中的 local_policy.jar 和 US_export_policy.jar 文件提供任何对象权限。例如:
DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
- 必要时使用 CHGAUT 命令更改权限。例如:
CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)
数据加密算法
指定数据加密方法的算法统一资源标识 (URI)。
- http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- http://www.w3.org/2001/04/xmlenc#aes128-cbc
- http://www.w3.org/2001/04/xmlenc#aes192-cbc限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。
- http://www.w3.org/2001/04/xmlenc#aes256-cbc
缺省情况下,JCE 附带了强度受限的密码。要使用 192 位和 256 位 AES 加密算法,必须应用无限制的权限策略文件。有关更多信息,请参阅“密钥加密算法”字段描述。