Trust-Anchor für die Generatorbindung auf Anwendungsebene konfigurieren

Ein Trust-Anchor gibt Keystores an, die Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsgenerator und Antwortgenerator verwendet (wenn Web-Services als Client arbeitet), um das Unterzeichnerzertifikat für digitale Signatur zu generieren. Über die Administrationskonsole können Sie Trust-Anchor für die Generatorbindung auf Anwendungsebene konfigurieren.

Vorbereitende Schritte

Für die Konfiguration eines Trust-Anchors kann ein Assembliertool oder die Administrationskonsole verwendet werden. Diese Task beschreibt die Konfiguration eines Trust-Anchors auf Anwendungsebene über die Administrationskonsole. Weitere Informationen zu Assembliertools finden Sie in den zugehörigen Informationen.

Informationen zu diesem Vorgang

Die Keystores sind für die Integrität der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden, ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die für den Anforderungsgenerator definierte Bindungskonfiguration muss mit der Bindungskonfiguration für den Antwortgenerator übereinstimmen.

Die Trust-Anchor-Konfiguration für den Anforderungsgenerator auf dem Client muss mit der Konfiguration für den Anforderungskonsumenten auf dem Server übereinstimmen. Außerdem muss die Trust-Anchor-Konfiguration für den Antwortgenerator auf dem Server mit der Konfiguration für den Antwortkonsumenten auf dem Client übereinstimmen.

Trust-Anchor, die auf Anwendungsebene definiert werden, haben Priorität vor denen, die auf Server- oder Zellenebene definiert werden. Wie Trust-Anchor auf Server- oder Zellenebene konfiguriert werden, wird in dieser Task nicht beschrieben. Weitere Informationen zum Erstellen und Konfigurieren eines Trust-Anchors auf Server- oder Zellenebene finden Sie im Artikel Trust-Anchor auf Server- oder Zellenebene konfigurieren.

Führen Sie die folgenden Schritte aus, um die Trust-Anchor für die Generatorbindung auf Anwendungsebene zu konfigurieren:

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Anzeige für Trust-Anchor auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Eigenschaften von Web Services Security" können Sie auf die Trust-Anchor-Konfiguration für die folgenden Bindungen zugreifen:
      • Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
    5. Klicken Sie auf Neu, um eine Trust-Anchor-Konfiguration zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Trust-Anchor-Konfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Trust-Anchors einen eindeutigen Namen ein.
  2. Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort, einen Keystore-Pfad und einen Keystore-Typ angeben.
    1. Geben Sie im Feld Keystore-Kennwort ein Kennwort an. Dieses Kennwort wird für den Zugriff auf die Keystore-Datei verwendet.
    2. Geben Sie im Feld Keystore-Pfad die Position der Keystore-Datei ein.
    3. Wählen Sie im Feld Keystore-Typ einen Keystore-Typ aus. Die von IBM® verwendete JCE (Java™ Cryptography Extension) unterstützt die folgenden Keystore-Typen:
      JKS
      Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE) nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
      JCEKS
      Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
      [z/OS]JCERACFKS
      [z/OS]Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
      PKCS11KS (PKCS11)
      Geben Sie dieses Format an, wenn Ihr Keystore das Dateiformat PKCS#11 hat. Keystores mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
      PKCS12KS (PKCS12)
      Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.

      WebSphere Application Server stellt einige Beispiel-Keystore-Dateien in dem folgenden Verzeichnis bereit. Die Variable USER_INSTALL_ROOT steht für das Installationsstammverzeichnis des Benutzers: [Windows]c:\{USER_INSTALL_ROOT}\etc\ws-security\samples[AIX HP-UX Solaris][Linux]${USER_INSTALL_ROOT}/etc/ws-security/samples

      Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist Storepass, und der Typ ist JCEKS.

      Einschränkung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.

Ergebnisse

Mit dieser Task haben Sie Trust-Anchor für Generatorbindungen auf Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen analog einen Trust-Anchor-Konfiguration für den Konsumenten erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_conftrancgenapp
Dateiname:twbs_conftrancgenapp.html