加密資訊配置設定:方法

請利用這個頁面來配置簽章方法、摘要方法和標準化方法的加密和解密參數。

這個頁面列出之簽章方法、摘要方法和標準化方法的規格,都位於標題為 XML Encryption Syntax and Processing: W3C Recommendation 10 Dec 2002 的全球資訊網協會 (W3C) 文件中。

如果要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下 應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name ,然後完成下列其中一個步驟:
    • 按一下 管理模組 > URI_file_name > Web 服務: 用戶端安全連結。 在「要求傳送端連結」下,按一下編輯。 在「Web 服務安全內容」之下,按一下加密資訊
    • 在「模組」下,按一下 管理模組 > URI_file_name > Web 服務: 伺服器安全連結。 在「回應傳送端連結」下,按一下編輯。 在「Web 服務安全內容」之下,按一下加密資訊
  2. 選取專用加密資訊。 應用程式伺服器可以只設定一個或完全沒有要求傳送端和回應傳送端的加密配置,也可以完全沒有加密配置。 如果您並未使用加密,請選取。 如果只要配置其中一種連結加密,請選取專用加密資訊,再利用這個主題說明的欄位來指定配置設定。
附註: 包含「軟體開發套件 (SDK)」更新項目的修正套件可能會改寫未限定的原則檔。 請在套用修正套件之前備份未限定的原則檔,然後在套用修正套件之後重新套用這些檔案。

加密資訊名稱

指定加密資訊的名稱。

金鑰定位器參照

指定用來參照金鑰定位器的名稱。

您可以在 Cell 層次、伺服器層次和應用程式層次上,配置這些金鑰定位器參照選項。 在欄位中列出的配置是在這三個層次上的配置組合。

如果要配置 Cell 層次的金鑰定位器,請完成下列步驟:
  1. 按一下 安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」之下,按一下金鑰定位器
如果要配置伺服器層次的金鑰定位器,請完成下列步驟:
  1. 按一下 伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」之下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在具有使用 WebSphere Application Server 6.1 版或更早版本之伺服器的混合節點 Cell 中,按一下 Web 服務: Web 服務安全的預設連結
  3. 在「其他內容」之下,按一下金鑰定位器
如果要配置應用程式層次的金鑰定位器,請完成下列步驟:
  1. 按一下 應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」之下,按一下 管理模組 > URI_name
  3. 在「Web 服務安全內容」之下,您可以存取下列連結的金鑰定位器:
    • 如果是要求傳送端,請按一下 Web 服務:用戶端安全連結。 在「要求傳送端連結」下,按一下編輯。 在「其他內容」之下,按一下金鑰定位器
    • 如果是要求接收端,請按一下 Web 服務:伺服器安全連結。 在「要求接收端連結」下,按一下編輯。 在「其他內容」之下,按一下金鑰定位器
    • 如果是回應傳送端,請按一下 Web 服務:伺服器安全連結。 在「回應傳送端連結」下,按一下編輯。 在「其他內容」之下,按一下金鑰定位器
    • 如果是回應接收端,請按一下 Web 服務:用戶端安全連結。 在「回應接收端連結」下,按一下編輯。 在「其他內容」之下,按一下金鑰定位器

加密金鑰名稱

指定加密金鑰的名稱,指定的金鑰定位器會將它解析成實際的金鑰。

資訊 價值
資料類型 字串

金鑰加密演算法

指定金鑰加密方法的演算法統一資源識別碼 (URI)。

以下是支援的演算法:
  • https://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    與 IBM® Software Development Kit (SDK) 1.4版一起執行時,支援的金鑰傳輸演算法清單不包含此演算法。 必須安裝 JDK 1.5 或更新版本套件後,這個演算法才會出現在支援的金鑰傳輸演算法清單中。

    依預設,RSA-OAEP 演算法會利用 SHA1 訊息摘要演算法,將訊息摘要當作加密作業的一部分來計算。 您可以選擇性地指定金鑰加密演算法內容來使用 SHA256 或 SHA512 訊息摘要演算法。 內容名稱為 com.ibm.wsspi.wssecurity.enc.rsaoaep.DigestMethod。 內容值是摘要方法的下列 URI 之一:
    • https://www.w3.org/2001/04/xmlenc#sha256
    • https://www.w3.org/2001/04/xmlenc#sha512
    依預設,RSA-OAEP 演算法會在 OAEPParams 的選用性編碼八進位字串上,使用空值字串。 您可以指定金鑰加密演算法內容來提供明確的編碼八進位字串。 對於內容名稱,您可以指定 com.ibm.wsspi.wssecurity.enc.rsaoaep.OAEPparams。 內容值是八進位字串的基本 64 編碼值。
    重要事項: 您只能在產生器端設定這些摘要方法及 OAEPParams 內容。 在消費端,這些內容是從送入的 SOAP 訊息中讀取。
  • https://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • https://www.w3.org/2001/04/xmlenc#kw-tripledes.
  • https://www.w3.org/2001/04/xmlenc#kw-aes128.
  • https://www.w3.org/2001/04/xmlenc#kw-aes192. 如果要使用 192 位元金鑰加密演算法,您必須下載未限定的 Java™ Cryptography Extension (JCE) 原則檔。
    限制: 如果您想要已配置的應用程式符合「基本安全設定檔 (BSP)」,請不要使用 192 位元金鑰加密演算法。
  • https://www.w3.org/2001/04/xmlenc#kw-aes256. 如果要使用 256 位元金鑰加密演算法,您必須下載未限定的 JCE 原則檔。
附註: 如果發生 InvalidKey異常狀況錯誤,且您使用 129xxx 或 256xxx 加密演算法,則未限定原則檔可能不存在於您的配置中。

Java 加密法延伸

依預設, Java Cryptography Extension (JCE) 隨附有限或有限強度的密碼。 如果要使用 192 位元和 256 位元的進階加密標準 (AES) 加密演算法,您必須套用無限適用範圍的原則檔。

[AIX Solaris HP-UX Linux Windows]附註: 下載這些原則檔之前,請先備份現有的原則檔 ( WAS_HOME/java/jre/lib/security/ 目錄中的local_policy.jarUS_export_policy.jar ) ,然後再改寫它們,以防您稍後要還原原始檔案。
[z/OS]附註: 下載這些原則檔之前,請先備份現有的原則檔 ( WAS_HOME/java/lib/security/ 目錄中的local_policy.jarUS_export_policy.jar ) ,然後再改寫它們,以防您稍後要還原原始檔案。
重要事項: 您的原產地可能對加密軟體的匯入、佔有、使用或重新匯出至另一個國家/地區有限制。 在下載或使用未限定的原則檔案之前,您必須先查核您所在國家或地區的法令、規章,以及其對於加密軟體的輸入、佔有、使用或重新輸出等方面的政策,來判定是否允許這麼做。
[AIX Solaris HP-UX Linux Windows][z/OS]

應用程式伺服器平台和 IBM Developer Kit Java Technology Edition 1.4.2

如果要下載原則檔,請完成下列其中一組步驟:
  • [Linux][AIX][Windows][z/OS]對於使用 IBM Developer Kit Java Technology Edition 1.4.2版 (包括 AIX®、 Linux®及 Windows 平台) 的應用程式伺服器平台,請完成下列步驟以取得無限制適用範圍的原則檔:
    1. 造訪下列網站: IBM 開發者套件: 安全資訊
    2. 按一下 Java 1.4.2
    3. 按一下 IBM SDK 原則檔

      這時會顯示未限定的 SDK 1.4 網站 JCE 原則檔。

    4. 輸入您的使用者 ID 及密碼,或向 IBM 登錄以下載原則檔案。 這時會將原則檔下載至您的機器中。
  • [HP-UX][Solaris]對於使用 Sun 型 Java SE Development Kit 6 (JDK 6) 1.4.2版 (包括 Solaris 環境及 HP-UX 平台) 的應用程式伺服器平台,請完成下列步驟以取得無限制適用範圍原則檔:
    1. 造訪下列網站: http://java.sun.com/j2se/1.4.2/download.html
    2. 按一下 保存區
    3. 找出 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy 檔案 1.4.2 資訊,然後按一下 下載。 這時會將 jce_policy-1_4_1.zip 檔下載至您的機器中。
完成這些步驟之後,兩個 Java 保存檔 (JAR) 會放在 Java 虛擬機器 (JVM) jre/lib/security/ 目錄中。
[IBM i]

IBM i 和 IBM Software Development Kit 1.4

若為 IBM i 及 IBM Software Development Kit 1.4版,不需要調整「Web 服務安全」。 當安裝必備軟體時,會自動配置 IBM Software Development Kit 1.4 版的未限定適用範圍原則檔。

若為 IBM i 5.4 作業系統及 IBM Software Development Kit 版本 1.4, IBM Java Developer Kit 1.4 的未限定適用範圍原則檔會透過安裝產品 5722SS1 選項 3 (延伸基本目錄支援) 自動配置。

若為 IBM i (舊稱為 IBM i V5R3) 及 IBM Software Development Kit 1.4, IBM Software Development Kit 1.4 的未限定適用範圍原則檔會透過安裝產品 5722AC3(Crypto Access Provider 128 位元) 自動配置。

[IBM i]

IBM i 和 IBM Software Development Kit 1.5

若為 IBM i 5.4 及 IBM i (舊稱為 IBM i V5R3) 和 IBM Software Development Kit 1.5,依預設會配置受限 JCE 適用範圍原則檔。 您可以從下列網站下載未限定的 JCE 適用範圍原則檔: 安全資訊: IBM J2SE 5 SDK

如果要配置 IBM i 和 IBM Software Development Kit 1.5:
  1. 備份下列檔案:
    /QIBM/ProdData/Java400/jdk15/lib/security/local_policy.jar  
/QIBM/ProdData/Java400/jdk15/lib/security/US_export_policy.jar
  2. 將無限制原則檔案從 IBM 開發者套件: 安全資訊 下載至 /QIBM/ProdData/Java400/jdk15/lib/security 目錄。
    1. 請造訪下列網站: IBM 開發者套件: 安全資訊
    2. 按一下 J2SE 5.0
    3. 向下捲動,然後按一下 IBM SDK 原則檔。 這時會顯示未限定的 SDK 網站 JCE 原則檔。
    4. 按一下 登入 ,並提供您的 IBM 內部網路 ID 及密碼。
    5. 選取適當的未限定 JCE 原則檔,再按一下繼續
    6. 檢視授權合約,再按一下我同意
    7. 按一下 立即下載
  3. 利用 DSPAUT 指令,確定已將 *RX 資料權限授予 *PUBLIC,但也確定未將任何物件權限同時提供給 /QIBM/ProdData/Java400/jdk15/lib/security 目錄中的 local_policy.jarUS_export_policy.jar 檔。 例如:
    DSPAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar')
  4. 必要的話,利用 CHGAUT 指令來變更授權。 例如:
    CHGAUT OBJ('/qibm/proddata/java400/jdk15/lib/security/local_policy.jar') 
USER(*PUBLIC) DTAAUT(*RX) OBJAUT(*NONE)

資料加密演算法

指定資料加密方法的演算法統一資源識別碼 (URI)。

以下是支援的演算法:

依預設,JCE 會隨附強度有限的密碼。 如果要使用 192 位元和 256 位元的 AES 加密演算法,您必須套用無限適用範圍的原則檔。 如需相關資訊,請參閱金鑰加密演算法欄位說明。