WS-Security-Richtlinie erstellen
Führen Sie zur Erstellung Ihrer Richtlinie und zum Hinzufügen der Token die folgenden Schritte in WebSphere Message Broker Explorer aus:
- Klicken Sie mit der rechten Maustaste auf den Broker (MB8BROKER), wählen Sie Eigenschaften > Sicherheit und Richtlinie aus und klicken Sie auf Richtliniensätze.
- Wählen Sie im linken Menü Richtliniensätze aus und klicken Sie auf Hinzufügen, um einen neuen Eintrag mit einem Standardnamen zu erstellen.
Um den Richtliniensatz umzubenennen, wählen Sie ihn aus und geben Sie in Im Feld unten können Sie diese Richtliniensatzbindung umbenennen den neuen Namen ein.
Klicken Sie dann auf Umbenennen.
- Klicken Sie auf WS-Security hinzufügen unter
Fügen Sie diesem Richtliniensatz mit den Schaltflächen unten Richtlinientypen hinzu und entfernen Sie diese.
- Erweitern Sie Ihren Richtliniensatz. Erweitern Sie den Eintrag WS-Sicherheit.
Wählen Sie Message Level Protection (Nachrichtenstufenschutz) aus.
Aktivieren Sie das Kontrollkästchen Message level protection (Nachrichtenstufenschutz) aus.
Wählen Sie Include timestamp in security header (Zeitmarke in Sicherheitsheader einschließen) aus.
Setzen Sie Security header layout (Sicherheits-Headerlayout) auf Strict - declarations must precede use (Strikt - Deklarationen müssen der Verwendung vorausgehen).
- Erweitern Sie Nachrichtenstufenschutz. Wählen Sie Token aus.
(Es sind zwei Token erforderlich; jeweils eins, um das Zertifikat für den Provider und für den Nutzer darzustellen.)
- Klicken Sie auf Hinzufügen, um asymmetrische Token hinzuzufügen.
Geben Sie unter Tokenname den Namen initToken ein.
Setzen Sie Tokentyp auf Initiator.
Setzen Sie WS-Security
Version auf 1.0.
Setzen Sie X.509 Typ auf X.509
Version 3.
- Um das zweite Token hinzuzufügen, klicken Sie auf Hinzufügen.
Geben Sie unter Tokenname den Namen recipToken ein.
Setzen Sie Tokentyp auf Recipient (Empfänger).
Setzen Sie WS-Security
Version auf 1.0.
Setzen Sie X.509 Typ auf X.509
Version 3.
Tokenname |
Tokentyp |
WS-Security Version |
X.509 Versionstyp |
initToken |
Initiator |
1.0 |
X.509 Version 3 |
recipToken |
Empfänger |
1.0 |
X.509 Version 3 |
- Wählen Sie unter Nachrichtenstufenschutz die Option Algorithmen aus.
Setzen Sie Algorithm Suite (Algorithmus-Suite) auf Basic128Rsa15. Übernehmen Sie für die übrigen Werte die Standardwerte.
- Wählen Sie Message Part Protection (Nachrichtenteilschutz) aus.
- Klicken Sie in der Tabelle Names with Security Type, SOAP Message and Message Body (Namen mit Sicherheitstyp, SOAP-Nachricht und Nachrichtenhauptteil) auf Hinzufügen, um die Teile zu erstellen (siehe folgende Tabelle).
Name |
Sicherheitstyp |
SOAP-Nachricht |
Nachrichtenhauptteil |
app_encparts_response |
Verschlüsselung |
Antwort |
Ja |
app_signparts_response |
Signatur |
Antwort |
Ja |
app_encparts_request |
Verschlüsselung |
Request |
Ja |
app_signparts_request |
Signatur |
Request |
Ja |
- Erweitern Sie Nachrichtenteilschutz. Wählen QName aus, um die WS-Namen zu konfigurieren.
(Dieser Abschnitt der Richtlinie gibt an, dass die Header der WS-Adressierung signiert sein müssen.
Es sind zwei Einträge für die Antwort und die Anforderung vorhanden, da die WS-Adressierung zwei Adressierungsnamensbereiche verwendet.)
- Klicken Sie in der Tabelle QNames auf Hinzufügen, um die WS-Namen gemäß der folgenden Tabelle zu erstellen.
Name |
Lokaler Teil |
Namensbereich |
app_signparts_response |
<leer> |
http://schemas.xmlsoap.org/ws/2004/08/addressing |
app_signparts_response |
<leer> |
http://www.w3.org/2005/08/addressing |
app_signparts_request |
<leer> |
http://schemas.xmlsoap.org/ws/2004/08/addressing |
app_signparts_request |
<leer> |
http://www.w3.org/2005/08/addressing |
- Wählen Sie unter Nachrichtenteilschutz die Option XPath aus, um die XPath-Ausdrücke zu konfigurieren.
(Alle erforderlichen XPath-Ausdrücke werden in den Broker integriert.
Dieser Abschnitt der Richtlinie gibt an, welche Teile signiert und welche Teile mittels vordefinierter XPath-Ausdrücke verschlüsselt werden müssen.
Wenn Sie bestimmte Teile der Nachricht ändern möchten, können Sie Ihren eigenen XPath schreiben.)
- Klicken Sie in der Tabelle XPath-Ausdrücke auf Hinzufügen, um XPath mit jedem der Teile zu verknüpfen, die Sie in Schritt 10 erstellt haben (siehe folgende Tabelle).
Name |
XPath |
app_encparts_response |
Umgebungsvariablen, Header, Sicherheit, Signatur |
app_signparts_response |
Umgebungsvariablen, Header, Sicherheit, Zeitmarke |
app_encparts_request |
Umgebungsvariablen, Header, Sicherheit, Signatur |
app_signparts_request |
Umgebungsvariablen, Header, Sicherheit, Zeitmarke |
- Klicken Sie auf Fertigstellen, um die Richtlinie zu speichern, die Sie erstellt haben.
Sie haben Ihre eigene Sicherheitsrichtlinie eingerichtet. Sowohl der Client als auch der Server verwenden die gleiche Richtlinie, um sicherzustellen, dass sie interoperabel sind.
Zurück zu 'Mustercode für die Erstellung und Anwendung von Richtlinien erweitern'
Zurück zur Erweiterung des Mustercodes 'Address Book'
Zurück zum Beginn des Mustercodes