Signaturdaten mit JAX-RPC für die Generatorbindung auf Server- oder Zellenebene konfigurieren

Sie können die Signaturdaten für die clientseitigen Anforderungsgenerator- und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene konfigurieren.

Vorbereitende Schritte

Anmerkung: Nur in WebSphere Application Server Version 6.x und früher müssen Sie in der serverseitigen Erweiterungsdatei (ibm-webservices-ext.xmi) und in der clientseitigen Erweiterungsdatei für den Implementierungsdeskriptor (ibm-webservicesclient-ext.xmi) angeben, welche Abschnitte der Nachricht signiert werden sollen. Außerdem müssen Sie die Schlüsseldaten konfigurieren, auf die in den Schlüsseldatenreferenzen in der Anzeige "Signaturdaten" in der Administrationskonsole verwiesen wird.

Informationen zu diesem Vorgang

In dieser Task werden die Schritte beschrieben, die Sie ausführen müssen, um die Signaturdaten für die clientseitigen Anforderungsgeneratorbindungen und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene zu konfigurieren. WebSphere Application Server verwendet die Signaturdaten für den Standardgenerator, um Nachrichtenabschnitte wie Hauptteil der Nachricht, Zeitmarke und Benutzernamenstoken zu signieren, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server stellt Standardwerte für die Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden.

Sie können die Signaturdaten für die Generatorbindung auf der Server- und Zellenebene konfigurieren. In den nachfolgenden Schritten erstellen Sie zunächst die Konfiguration für die Signaturdaten auf der Serverebene. Anschließend erstellen Sie in einem weiteren Schritt die Konfiguration für die Signaturdaten auf der Zellenebene:

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Standardgeneratorbindungen" auf Signaturdaten.
  4. Klicken Sie auf Neu, um eine Signaturdatenkonfiguration zu erstellen, auf Löschen, um eine vorhandene Konfiguration zu löschen, oder auf den Namen einer vorhandenen Signaturdatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Signaturdaten" einen eindeutigen Namen für diese Konfiguration ein. Beispielsweise können Sie den Namen gen_signinfo angeben.
    Fehler vermeiden Fehler vermeiden: Wenn Sie mehrere Signaturdatenkonfigurationen erstellen, berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.gotcha
  5. Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Der für den Standardgenerator angegebene Algorithmus muss mit dem für den Standardkonsumenten angegebenen Algorithmus übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
  6. Wählen Sie eine Kanonisierungsmethode aus dem Feld "Kanonisierungsmethode" aus. Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Kanonisierungsalgorithmen für kanonisches XML und exklusives XML:
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  7. Wählen Sie im Feld Signaturtyp für Schlüsseldaten einen Signaturtyp für die Schlüsseldaten aus. Mit dem Signaturtyp für die Schlüsseldaten wird die Art und Weise der digitalen Signatur des Schlüssels angegeben. WebSphere Application Server unterstützt die folgenden Signaturtypen:
    None
    Gibt an, dass das Element <KeyInfo> nicht signiert wird.
    Keyinfo
    Gibt an, dass das gesamte Element <KeyInfo> signiert wird.
    Keyinfochildelements
    Gibt an, dass die untergeordneten Elemente des Elements <KeyInfo> signiert werden.
    Der Signaturtyp für Schlüsseldaten für den Generator muss mit dem Signaturtyp für den Konsumenten übereinstimmen. Es können folgende Fälle eintreten:
    • Wenn Sie keinen der genannten Signaturtypen angeben, verwendet WebSphere Application Server standardmäßig den Wert keyinfo.
    • Wenn Sie "Keyinfo" oder "Keyinfochildelements" auswählen und in einem weiteren Schritt als Umsetzungsalgorithmus "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform" auswählen, signiert WebSphere Application Server auch das referenzierte Token.
  8. Wählen Sie im Feld "Informationen zum Signierschlüssel" eine Referenz auf die Informationen für den Signierschlüssel aus. Dieser Wert verweist auf den Signierschlüssel, den Application Server für die Generierung digitaler Signaturen verwendet. In den Bindungsdateien werden diese Informationen im Tag <signingKeyInfo> angegeben. Der für die Signatur verwendete Schlüssel wird mit dem Element für die Schlüsseldaten angegeben, das auf derselben Ebene wie die Signaturdaten definiert wird. Weitere Informationen finden Sie im Artikel Schlüsseldaten für die Generatorbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren.
  9. Klicken Sie auf OK, um die Konfiguration zu speichern.
  10. Klicken Sie auf den Namen der neuen Konfiguration für die Signaturdaten. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
  11. Geben Sie die Referenzen auf Nachrichtenabschnitte, den Algorithmus für die Digest-Methode und den Umsetzungsalgorithmus an. Die Abschnittsreferenzen geben an, welche Abschnitte der Nachricht digital signiert werden.
    1. Klicken Sie unter "Weitere Eigenschaften" auf Abschnittsreferenzen > Neu, um eine neue Abschnittsreferenz zu erstellen. Klicken Sie auf Abschnittsreferenzen > Löschen, um eine vorhandene Abschnittsreferenz zu löschen. Klicken Sie auf einen Abschnittsnamen, um eine vorhandene Abschnittsreferenz zu bearbeiten.
    2. Geben Sie für den zu signierenden Nachrichtenabschnitt einen eindeutigen Namen an. Dieser Nachrichtenabschnitt wird auf Server- und Clientseite angegeben. Der Name des Nachrichtenabschnitts muss auf der Server- und der Clientseite identisch sein. Beispielsweise können Sie den Namen reqint sowohl für den Generator als auch den Konsumenten angeben.
      Wichtig: Sie müssen für die Referenz auf Nachrichtenabschnitte in den Standardbindungen keinen Wert angeben, wie dies der Fall auf Anwendungsebene ist, da die Referenz auf Nachrichtenabschnitte auf der Anwendungsebene auf einen bestimmten Teil der Nachricht, die signiert wird, verweist. Sie können diesen Wert nicht angeben, da die Standardbindungen auf der Server- und Zellenebene für alle auf einem bestimmten Server definierten Services gültig sind.
    3. Wählen Sie im Feld Algorithmus für Digest-Methode einen Algorithmus für die Digest-Methode aus. Der in den Bindungsdateien im Element <DigestMethod> angegebene Algorithmus für die Digest-Methode wird im Element <SigningInfo> verwendet.
      WebSphere Application Server unterstützt die folgenden Algorithmen:
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    4. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
    5. Klicken Sie auf den Namen der neuen Konfiguration für die Referenz auf Nachrichtenabschnitte. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
    6. Klicken Sie unter "Weitere Eigenschaften" auf Umsetzungen > Neu, um eine neue Umsetzung zu erstellen. Klicken Sie auf Umsetzungen > Löschen, um eine Umsetzung zu löschen. Klicken Sie auf einen Umsetzungsnamen, um eine vorhandene Umsetzung zu bearbeiten. Geben Sie bei der Erstellung einer neuen Umsetzung einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint_body_transform1 angeben.
    7. Wählen Sie aus dem Menü einen Umsetzungsalgorithmus aus. Der Umsetzungsalgorithmus wird im Element <Transform> angegeben. Dieses Element gibt den Umsetzungsalgorithmus für die digitale Signatur an. WebSphere Application Server unterstützt die folgenden Algorithmen:
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Einschränkung: Verwenden Sie diesen Umsetzungsalgorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll. Verwenden Sie stattdessen zur Gewährleistung der Kompatibilität http://www.w3.org/2002/06/xmldsig-filter2.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      Der Umsetzungsalgorithmus, den Sie für den Generator angeben, muss mit dem Umsetzungsalgorithmus für den Konsumenten übereinstimmen.

      Wichtig: Wenn die beiden nachfolgend genannten Bedingungen zutreffen, signiert WebSphere Application Server das referenzierte Token:
      • Sie haben bereits in der Anzeige "Signaturdaten" die Option Keyinfo oder Keyinfochildelements im Feld "Signaturtyp für Schlüsseldaten" ausgewählt.
      • Als Umsetzungsalgorithmus haben Sie die folgende URL ausgewählt: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
  12. Klicken Sie auf Anwenden.
  13. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sobald Sie diese Schritte durchgeführt haben, ist die Konfiguration der Signaturdaten für den Generator auf Server- oder Zellenebene abgeschlossen.

Nächste Schritte

Sie müssen analog eine Konfiguration für die Signaturdaten für den Konsumenten erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogensvrcell
Dateiname:twbs_configsigninfogensvrcell.html