アプリケーション・レベルで要求ジェネレーター (クライアント・サイド) および応答ジェネレーター (サーバー・サイド) バインディングの暗号化情報 (ジェネレーター (送信側) による発信メッセージの暗号化方法を指定する) を構成できます。
始める前に
暗号化情報パネルにおいて鍵情報参照で参照される鍵情報を構成します。
このタスクについて
ベスト・プラクティス: WebSphere Application Server Version
6.1 Feature Pack for Web Services は、本製品の機能を拡張して、Java API for XML-Based Web Services (JAX-WS) 2.0 の
プログラミング・モデルを導入できるようにします。
JAX-WS は、次世代の Web サービス・プログラミング・モデルであり、
Java API for XML-based RPC (JAX-RPC) プログラミング・モデルが提供する
基盤を提供します。戦略的 JAX-WS プログラミング・モデルを使用すると、
標準ベースの注釈モデルのサポートによって、Web サービスおよび Web クライアントの開発が
容易になります。
JAX-RPC プログラミング・モデルとアプリケーションは
引き続きサポートされますが、Web サービス・アプリケーションおよびクライアントを
新規に開発する場合は、
実装が容易な JAX-WS プログラミング・モデルをご利用ください。bprac
このタスクでは、暗号化情報を、
要求ジェネレーター (クライアント・サイド) と応答ジェネレーター (サーバー・サイド)
のバインディングのためにアプリケーション・レベルで構成するのに必要なステップについて説明します。
この暗号化情報は、
ジェネレーター (送信側) による発信メッセージの暗号化方法を指定するために使用されます。
以下のステップを実行して、
バインディング・ファイルの要求ジェネレーターまたは応答ジェネレーター・セクションの暗号化情報をアプリケーション・レベルで構成します。
プロシージャー
- 管理コンソールで「暗号化情報」構成パネルを見つけます。
- 「アプリケーション」>「エンタープライズ・アプリケーション」>「application_name」とクリックします。
- 「モジュールの管理」の下で、「URI_name」をクリックします。
- 「Web サービス・セキュリティー・プロパティー」では、要求ジェネレーター・バインディングおよび応答ジェネレーター・バインディングの鍵情報にアクセスできます。
- 要求ジェネレーター (送信側) バインディングについては、「Web サービス:
クライアント・セキュリティーのバインディング」をクリックします。
「要求ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 応答ジェネレーター (送信側) バインディングについては、「Web サービス:
サーバー・セキュリティーのバインディング」をクリックします。
「応答ジェネレーター (送信側) バインディング」の下の「カスタムの編集」をクリックします。
- 「必須プロパティー」の下の「暗号化情報」をクリックします。
- 暗号化情報構成を作成する場合は、「新規」をクリックします。
「削除」をクリックして既存の構成を削除するか、
あるいは既存の暗号化情報構成の名前をクリックしてその設定を編集します。
新規構成を作成する場合は、「暗号化情報名」フィールドに
名前を入力します。例えば、gen_encinfo と指定します。
- 「データ暗号化アルゴリズム」フィールドからデータ暗号化アルゴリズムを
選択します。 この選択により、メッセージのパーツを暗号化するために使用するアルゴリズムが指定されます。
WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
ジェネレーター側のために選択するデータ暗号化アルゴリズムは、
コンシューマー側のために選択するデータ暗号化方式と一致する必要があります。
- 「鍵暗号化アルゴリズム」フィールドから鍵暗号化アルゴリズムを選択します。
この選択により、鍵の暗号化に使用するアルゴリズムが指定されます。
WebSphere Application Server は
次の事前構成済みアルゴリズムをサポートしています。
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p。
Software Development Kit (SDK) バージョン 1.4 で実行する場合は、
サポートされる鍵トランスポート・アルゴリズムのリストに、このアルゴリズムは含まれていません。
SDK バージョン
1.5 で実行する場合、このアルゴリズムはサポートされる鍵トランスポート・アルゴリズムのリストに表示されます。
制約事項: WebSphere Application Server が連邦情報処理標準 (FIPS)
モードで稼働している場合、このアルゴリズムはサポートされません。
デフォルトでは、
RSA-OAEP アルゴリズムは SHA1 メッセージ・ダイジェスト・アルゴリズムを使用して、暗号化操作の一部として
メッセージ・ダイジェストを計算します。オプションで、鍵暗号化アルゴリズム・プロパティーを指定することにより、SHA256 または
SHA512 メッセージ・ダイジェスト・アルゴリズムを使用できます。
プロパティー名には、
com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod を指定します。
プロパティー値は、ダイジェスト・メソッドの以下の URI のいずれかです。
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
デフォルトで RSA-OAEP アルゴリズムは、OAEPParams
用のオプショナル・エンコードのオクテット・ストリングに対してヌル・ストリングを使用します。
鍵暗号化アルゴリズム・プロパティーを指定することにより、明示的エンコードのオクテット・ストリングを提供できます。
プロパティー名として、
com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams を指定します。
プロパティー値は、オクテット・ストリングを Base 64 でエンコードした値です。
重要: これらのダイジェスト方式および OAEPParams プロパティーを設定できるのは、
ジェネレーター側のみです。コンシューマー側では、着信する Simple Object Access Protocol (SOAP) メッセージからこれらのプロパティーが読み取られます。
- http://www.w3.org/2001/04/xmlenc#rsa-1_5
- http://www.w3.org/2001/04/xmlenc#kw-tripledes
- http://www.w3.org/2001/04/xmlenc#kw-aes128
- http://www.w3.org/2001/04/xmlenc#kw-aes256
このアルゴリズムを使用するには、
Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
- http://www.w3.org/2001/04/xmlenc#kw-aes192
このアルゴリズムを使用するには、
Web サイト http://www.ibm.com/developerworks/java/jdk/security/index.html から非制限 Java Cryptography Extension (JCE) ポリシー・ファイルをダウンロードする必要があります。
ご使用の構成済みアプリケーションを Basic Security Profile (BSP) に準拠させる場合は、
192 ビットの鍵暗号化アルゴリズムを使用しないでください。
ジェネレーター側のために選択する鍵暗号化アルゴリズムは、
コンシューマー側のために選択する鍵暗号化方式と一致する必要があります。
- 「Encryption key information」メニューから暗号化鍵情報参照を選択します。
この選択は、メッセージのパーツを暗号化するために使用する暗号化鍵への参照です。
鍵情報を構成するには、
アプリケーション・レベルでのジェネレーター・バインディングのための、
JAX-RPC による鍵情報の構成
を参照してください。
- 「パーツ参照」フィールドからパーツ参照を選択します。
このフィールドでは、
ジェネレーター・バインディング・エレメントのパーツ参照の名前をデプロイメント記述子で指定します。
- 「OK」をクリックしてから「保管」をクリックして、構成を保管します。
結果
これで、暗号化情報がアプリケーション・レベルのジェネレーター・バインディング用に構成されました。
次の作業
コンシューマー用に同様の暗号化情報構成を指定する必要があります。