| Oracle® Fusion Middleware Oracle WebLogic Server 10.3.6 WebLogic Webサービスの保護 11gリリース1 (10.3.6) B61620-08 |
|
 前 |
| Oracle® Fusion Middleware Oracle WebLogic Server 10.3.6 WebLogic Webサービスの保護 11gリリース1 (10.3.6) B61620-08 |
|
前 |
この付録では、WebサービスでのFIPS 140-2のサポートについて説明します。
内容は次のとおりです。
Federal Information Processing Standards (FIPS) 140-2は、アメリカ合衆国政府の機密でも未分類の使用に関する要件を記載した規格です。このリリースでは、WebLogic ServerでのJSSEおよびJDK 7に対するFIPS 140-2のサポートには、バンドルされたパッチをインストールする必要があります。これはデフォルトでは使用できません。WebLogic Serverおよびその他のFusion Middlewareコンポーネント向けのこのパッチの詳細は、My Oracle Supportのサポート・ドキュメント2115681.1を参照してください。My Oracle Supportにはhttps://support.oracle.com/からアクセスできます。
Oracle Fusion MiddlewareのFIPSのサポートの詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのFIPS-140のサポートに関する項を参照してください。
JSSEに対するFIPS 140-2のサポートには、JDK 1.7.0_80以上およびRSA CryptoJ V6.2が必要です。詳細は、『Oracle WebLogic Serverの保護』の次の内容を参照してください。
FIPSモードの有効化
サポートされるFIPS標準と暗号スイート
WebLogic Server Webサービス・セキュリティ・ポリシーでは、デジタル署名のハッシュのためにSHA-1およびより強固なSHA-2 (SHA-256)セキュア・ハッシュ・アルゴリズムの両方がサポートされています。SHA-1セキュア・ハッシュ・アルゴリズムは、FIPSモードではサポートされません。詳細は、『Oracle WebLogic Serverの保護』のSHA-256セキュア・ハッシュ・アルゴリズムの使用に関する項およびWebサービスを使用する際の重要な注意事項に関する項を参照してください。
FIPS 140-2モードには、SHA-2セキュア・ハッシュ・アルゴリズムに加え、拡張アルゴリズム・スイート・ポリシーでサポートされる、さらに強固なデジタル署名メソッド・アルゴリズムが必要です。
デジタル署名を使用している場合、WebLogic ServerのWebサービス・セキュリティ・ポリシーには、FIPS 140-2認定に必要な拡張アルゴリズム・スイート(EAS)をサポートする一連のポリシーが含まれます。FIPS 140-2認定が必要な場合は、これらのEASポリシーのいずれかをWebサービスにアタッチできます。または、ポリシーのいずれも環境要件を満たさない場合は、既存のポリシーのアルゴリズム・スイートを編集してそれをかわりに使用できます。
WebLogic ServerのWebサービス・ポリシーでサポートされる標準アルゴリズム・スイートと、アルゴリズム・スイート表で使用される省略名はWS-SecurityPolicy 1.3仕様で定義されています。この仕様はhttp://docs.oasis-open.org/ws-sx/ws-securitypolicy/v1.3/errata01/os/ws-securitypolicy-1.3-errata01-os-complete.html#_Toc325573605で参照できます。
表B-1にリストされている拡張アルゴリズム・スイート・ポリシーでは、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用します。
表B-1 FIPS 140モードでサポートされる拡張アルゴリズム・スイート・ポリシー
| ポリシー・ファイル | 説明 |
|---|---|
|
Wssp1.2-wss11_x509_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss11_x509_token_with_message_protection_owsm_policy.xml (表2-9を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-wss11_saml_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss11_saml_token_with_message_protection_owsm_policy.xml (表2-11を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-wss11_saml20_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss11_saml20_token_with_message_protection_owsm_policy.xml (表A-3を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-wss10_x509_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss10_x509_token_with_message_protection_owsm_policy.xml (表A-3を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-wss10_username_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss10_username_token_with_message_protection_owsm_policy.xml (表A-3を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-wss10_saml_token_with_message_protection_owsm_policy_eas256.xml |
このポリシーはWssp1.2-wss10_saml_token_with_message_protection_owsm_policy.xml (表A-3を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-2007-Wssc1.4-Bootstrap-Wss1.0-UsernameToken-Plain-X509-Eas256.xml |
このポリシーはWssp1.2-2007-Wssc1.4-Bootstrap-Wss1.0-UsernameToken-Plain-X509-Basic256.xml (表2-10を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています |
|
Wssp1.2-2007-Saml1.1-SenderVouches-Wss1.1-Eas256.xml |
このポリシーはWssp1.2-2007-Saml1.1-SenderVouches-Wss1.1.xml (表2-11を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-2007-Wss1.1-X509-Eas256.xml |
このポリシーはWssp1.2-2007-Wss1.1-X509-Basic256.xml (表2-9を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
|
Wssp1.2-2007-Saml2.0-SenderVouches-Wss1.1-Eas256.xml |
このポリシーはWssp1.2-2007-Saml2.0-SenderVouches-Wss1.1.xml (表2-11を参照)と似ていますが、さらに強固なSHA-256ハッシュ・アルゴリズムと署名メソッド・アルゴリズムを使用する拡張アルゴリズム・スイートが含まれています。 |
表B-2に、拡張アルゴリズム・スイート・ポリシーの対称署名(Sym Sig)と非対称署名(Asym Sig)の値および関連付けられたアルゴリズムのURIを示します。
RSA-SHA256およびHMAC-SHA256のXML署名は、w3c XML Security Algorithm Cross-Reference仕様で定義されます。この仕様はhttp://www.w3.org/TR/xmlsec-algorithms/で参照できます。
表B-3に、拡張アルゴリズム・スイート・ポリシーのアルゴリズム・スイートを示します。
表B-3 拡張アルゴリズム・スイート・ポリシーのアルゴリズム・スイート
| アルゴリズム・スイート | ダイジェスト | 暗号化 | 対称キーのラップ | 非対称キーのラップ | 暗号化キーの導出 | 対称署名 | 非対称署名 | 署名キーの導出 | 署名キーの最小長 |
|---|---|---|---|---|---|---|---|---|---|
|
Basic256Exn256 |
Sha256 |
Aes256 |
KwAes256 |
KwRsaOaep |
PSha1L256 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
256 |
|
Basic192Exn256 |
Sha256 |
Aes192 |
KwAes192 |
KwRsaOaep |
PSha1L192 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
192 |
|
Basic128Exn256 |
Sha256 |
Aes128 |
KwAes128 |
KwRsaOaep |
PSha1L128 |
HmacSha256 |
RsaSha256 |
PSha1L128 |
128 |
|
TripleDesExn256 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsaOaep |
PSha1L192 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
192 |
|
Basic256Exn256Rsa15 |
Sha256 |
Aes256 |
KwAes256 |
KwRsa15 |
PSha1L256 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
256 |
|
Basic192Exn256Rsa15 |
Sha256 |
Aes192 |
KwAes192 |
KwRsa15 |
PSha1L192 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
192 |
|
Basic128Exn256Rsa15 |
Sha256 |
Aes128 |
KwAes128 |
KwRsa15 |
PSha1L128 |
HmacSha256 |
RsaSha256 |
PSha1L128 |
128 |
|
TripleDesExn256Rsa15 |
Sha256 |
TripleDes |
KwTripleDes |
KwRsa15 |
PSha1L192 |
HmacSha256 |
RsaSha256 |
PSha1L192 |
192 |
事前定義済のWebサービス・セキュリティ・ポリシーは、<sp:AlgorithmSuite>要素で使用する特定のアルゴリズムを選択します。
|
注意: 拡張アルゴリズム・スイート・ポリシーを非FIPSモードで使用してセキュリティを強化することもできます。ただし、これらのポリシーではアルゴリズム・スイートに対して独自のネームスペースを使用しているため、ターゲット・プラットフォームが拡張アルゴリズム・スイートのアサーションをサポートしていない場合、他のプラットフォームとの相互運用性の問題が生じる場合があります。拡張アルゴリズム・スイート・ポリシーを使用する前に次の点に注意してください。
他のすべてのWebサービスについては、ポリシーをEASポリシーに変換する前にセキュリティ・リスク、相互運用性および下位互換性を評価する必要があります。 |
EASポリシーをそのまま使用するか、拡張アルゴリズム・スイートを使用していない既存のポリシーを特定してアルゴリズム・スイートを次のように変更できます。
既存のポリシーを使用してカスタム・ポリシーを作成します。カスタム・ポリシーの作成と使用に関する項を参照してください。
ポリシー・ファイルはORACLE_HOME/oracle_common/modules/com.oracle.webservices.wls.wls-soap-stack-impl.jarにあります。com.oracle.webservices.wls.wls-soap-stack-impl.jar内では、ポリシー・ファイルは/weblogic/wsee/policy/runtimeにあります。
カスタム・ポリシーを編集し、FIPS 140-2をサポートするようアルゴリズム・スイートを変更します。これを行うには、次のポリシー内のアルゴリズム・スイートを変更します。
<sp:AlgorithmSuite> <wsp:Policy> <sp:Basic256Sha256/> </wsp:Policy> </sp:AlgorithmSuite>
変更後
<sp:AlgorithmSuite> <wsp:Policy> <orasp:Basic256Exn256 xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"/> </wsp:Policy> </sp:AlgorithmSuite>
ご使用のWebサービスには、このカスタム・ポリシーを使用します。
クライアント側のポリシーも合わせて編集します。クライアントとWebサービスは同じハッシュ・アルゴリズムを使用していることが必要です。つまり、<AlgorithmSuite>が同じである必要があります。そうでない場合、Webサービスはクライアントから送信されるリクエスト・メッセージを拒否します。
