Bei Web-Services können Sie Nachrichtenabschnitte, basierend auf der für einen Richtliniensatz definierten
Servicequalität (QoS, Quality of Service) signieren und/oder verschlüsseln.
Sie können diese Aktionen ausführen, indem Sie die Bindungsinformationen in einer angepassten Zuordnungsbindung definieren.
Vorbereitende Schritte
Bevor Sie mit dieser Task beginnen, ordnen Sie einem Serviceartefakt, wie z. B. einer Anwendung, einem Service oder
einem Endpunkt, einen Richtliniensatz zu, und erstellen Sie eine angepasste Zuordnungsbindung.
Lesen Sie die Informationen zum Erstellen
angepasster Zuordnungsbindungen für Richtliniensätze.
Der Richtliniensatz, der dem Serviceartefakt zugeordnet wird, muss eine
WS-Security-Richtlinie enthalten, die die zu signierenden bzw. zu verschlüsselnden Nachrichtenabschnitte spezifiziert.
Lesen Sie die Informationen zum Sichern von Nachrichtenabschnitten über die Administrationskonsole.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um Nachrichtenabschnitte, basierend auf der für einen Richtliniensatz definierten Servicequalität, zu signieren und/oder
zu verschlüsseln:
Vorgehensweise
- Öffnen Sie die Administrationskonsole.
- Wenn Sie Nachrichtenabschnitte für einen Service-Provider signieren und verschlüsseln möchten, klicken Sie auf
Anwendungen >
Unternehmensanwendungen > Anwendungsname > Richtliniensätze und Bindungen für Service-Provider. Wenn
Sie Nachrichtenabschnitte für einen Service-Client signieren und verschlüsseln möchten, klicken Sie auf
Anwendungen > Unternehmensanwendungen > Anwendungsname > Richtliniensätze und Bindungen für Service-Client.
- Klicken Sie auf den Link für den Bindungsnamen des Serviceartefakts mit einer angepassten Zuordnungsbindung.
- Wenn die Bindung keine WS-Security-Richtliniensatzbindungen enthält,
klicken Sie auf Hinzufügen, und wählen Sie in der Liste WS-Security aus.
- Klicken Sie auf die Richtliniensatzbindung WS-Security.
- Klicken Sie auf Authentifizierung und Zugriffsschutz. Die daraufhin erscheinende
Anzeige enthält die folgenden vier Tabellen:
- Token für Zugriffsschutz: Gibt die Token an, die für symmetrische oder asymmetrische Signatur- und Verschlüsselungsrichtlinien
im Richtliniensatz definiert sind.
- Authentifizierungstoken: Gibt die Token an, die für die Anforderungs- und Antworttokenrichtlinien definiert sind.
- Zugriffschutz durch Signatur und Verschlüsselung von Anforderungsnachrichten: Gibt die Nachrichtenabschnitte an, die für den
Zugriffschutz von Anforderungsnachrichtenabschnitten im Richtliniensatz definiert sind.
- Zugriffschutz durch Signatur und Verschlüsselung von Antwortnachrichten: Gibt die Nachrichtenabschnitte an, die für den
Zugriffschutz von Antwortnachrichtenabschnitten im Richtliniensatz definiert sind.
Zunächst werden in jeder Tabelle Informationen angezeigt, die
basierend auf dem Richtliniensatz generiert werden, der dem Serviceartefakt zugeordnet ist.
Die möglichen Konfigurationsobjekte für den Richtliniensatz werden angezeigt.
In der Spalte "Status" wird angezeigt, ob das Objekt derzeit in der angepassten Zuordnungsbindung konfiguriert ist.
- Wenn Token für Zugriffsschutz den Status Nicht konfiguriert haben, erstellen Sie die Token für Zugriffsschutz, indem
Sie auf den Standardnamen klicken und die Standardwerte überprüfen.
Klicken Sie auf OK.
- [Optional] Wenn Sie X.509-Token für Zugriffsschutz verwenden, müssen Sie die
Keystores und Schlüssel konfigurieren, die für das Signieren, Verschlüsseln oder Entschlüsseln der Nachrichtenabschnitte verwendet werden sollen.
Keystores und Schlüssel müssen unter Umständen auch konfiguriert werden, wenn Sie angepasste Token für Zugriffsschutz
verwenden. Dies richtet sich nach den Voraussetzungen für die angepassten Token.
Wenn Sie ein Sicherheitskontexttoken für den Zugriffsschutz verwenden (Secure Conversion, sicherer Dialog),
müssen Sie keine Keystores oder Schlüssel konfigurieren. Wenn Sie die Keystores und Schlüssel konfigurieren müssen, führen Sie die folgenden Aktionen aus:
- Klicken Sie auf den Link für den Tokennamen.
- Klicken Sie unter "Zusätzliche Bindungen" auf den Link Callback-Handler.
Wenn Sie nicht Link "Callback-Handler" nicht anklicken können, klicken Sie auf Anwenden und anschließend auf den Link
Callback-Handler.
- Verwenden Sie einen vordefinierten Keystore oder einen angepassten Keystore. Wenn Sie einen vordefinierten Keystore verwenden möchten, wählen den Keystore in der Liste aus.
Wenn Sie einen angepassten Keystore verwenden möchten, wählen Sie in der Liste den Eintrag Angepasst aus, und klicken Sie anschließend auf den Link Konfiguration angepasster Keystores,
um die Konfiguration anzugeben.
- Klicken Sie auf OK.
- Klicken Sie auf den Namen der Referenz des Anforderungs- bzw. Antwortnachrichtenabschnitts, der
signiert oder verschlüsselt werden soll. In der Spalte "Zugriffsschutz" wird angezeigt, ob der Nachrichtenabschnitt auf der Basis des Richtliniensatzes signiert
oder verschlüsselt wird.
- Geben Sie einen Namen für den Nachrichtenabschnitt an.
- Wählen Sie für verschlüsselte Abschnitte im Feld
Verwendung der Schlüsseldatenreferenzen den Verschlüsselungstyp aus.
Wählen Sie für asymmetrische Verschlüsselung oder X.509 den Eintrag Schlüsselchiffrierung aus.
Wählen Sie für symmetrische Verschlüsselung oder sichere Dialoge (Secure Conversation) den Eintrag Datenverschlüsselung aus.
- [Optional] Wählen Sie für verschlüsselte Abschnitte die Option
Zeitmarke einfügen oder Nonce einfügen aus, um eine Zeitmarke oder einen Nonce in den verschlüsselten Nachrichtenabschnitt einzufügen. Sie können eine oder beide Optionen für den verschlüsselten Nachrichtenabschnitt verwenden.
- Geben Sie für signierte Abschnitte eine oder mehrere Referenzen von Nachrichtenabschnitten an.
Wählen Sie in der Spalte "Verfügbar" eine Referenz aus, und klicken Sie anschließend auf Hinzufügen.
- [Optional] Auch in signierte Abschnitte kann eine Zeitmarke oder ein Nonce eingefügt werden.
Wählen Sie in der Spalte "Zugewiesen" eine Referenz eines Nachrichtenabschnitts aus, und klicken Sie anschließend auf Bearbeiten. Wählen Sie die Option
Zeitmarke einfügen oder Nonce einfügen aus, um eine Zeitmarke oder einen Nonce in den signierten Nachrichtenabschnitt einzufügen. Sie können eine oder beide Optionen für den signierten Nachrichtenabschnitt verwenden.
- Wenn keine Schlüsseldateneinträge verfügbar sind, führen Sie die folgenden Aktionen aus, um einen Schlüsseldateneintrag zu erstellen:
- Klicken Sie auf Neu.
- Geben Sie einen Namen an.
- Wählen Sie in der Liste "Tokengenerator" oder "Konsumentenname" ein Token für Zugriffsschutz aus.
- Klicken Sie auf OK.
- Wählen Sie in der Liste "Verfügbar" einen Schlüsseldateneintrag aus, und klicken Sie anschließend auf Hinzufügen.
- [Optional] Geben Sie bei Bedarf angepasste Eigenschaften an.
- Wenn Sie Message Transmission Optimization Mechanism (MTOM) für den Verschlüsselungstext der verschlüsselten Daten
verwenden möchten, fügen Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.enc.MTOM.Optimize" mit dem Wert
true den abgehenden verschlüsselten Abschnitten für Clientanforderungen bzw. Serverantworten hinzu.
- Wenn Sie Verschlüsselungsheader gemäß der Spezifikation WS-Security 1.0
anstelle der in WS-Security 1.1 beschriebenen Unterstützung für verschlüsselte Header verwenden möchten,
fügen Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0" mit dem Wert
true den abgehenden verschlüsselten Abschnitten für Clientanforderungen bzw. Serverantworten hinzu.
Wenn sich Web Services Security
Version 1.1 wie in den Versionen von WebSphere Application Server
vor Version 7.0 verhalten soll, geben Sie die Eigenschaft com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7
mit dem Wert true im Element <encryptionInfo>
der Bindung an. Wenn diese Eigenschaft angegeben wird, enthält das Element <EncryptedHeader>
einen Parameter des Typs "wsu:Id", während der "Id"-Parameter im Element <EncryptedData> nicht angegeben ist.
Diese Eigenschaft sollte nur dann verwendet werden, wenn keine Konformität mit
"Basic Security Profile 1.1" erforderlich ist.
- Klicken Sie auf OK.
- Klicken Sie auf Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
Ergebnisse
Wenn Sie diese Task ausgeführt haben, werden die Nachrichtenabschnitte bei der Kommunikation mit dem Serviceartefakt gemäß verwendeter Konfiguration signiert und/oder verschlüsselt.
Beispiel
Sie haben eine Anwendung mit dem Namen
app1 mit einem zugeordneten
Richtliniensatz "RAMP default" und einer angepassten Zuordnungsbindung
myBinding, und Sie möchten die Nachrichtenabschnitte
signieren und verschlüsseln.
- Klicken Sie unter Anwendungen > Unternehmensanwendungen auf die Anwendung app1.
- Klicken Sie auf den Link Richtliniensätze und Bindungen für Service-Provider oder auf den Link
Richtliniensätze und Bindungen für Service-Client.
- Klicken Sie auf den Link myBinding.
- [Optional] Wenn WS-Security nicht aufgelistet ist, wählen Sie Hinzufügen >
WS-Security aus.
- Klicken Sie auf den Link WS-Security.
- Klicken Sie auf den Link Authentifizierung und Zugriffsschutz.
- Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf jeden der vier Links und anschließend in der daraufhin erscheinenden Anzeige
auf OK.
Für jeden Eintrag wird in Spalte "Status" jetzt Konfiguriert angezeigt.
- Klicken Sie in der Tabelle "Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht"
auf request:app_encparts.
Geben Sie den Namen requestEncParts an.
- Klicken Sie unter "Schlüsseldaten" auf Neu. Geben Sie den Namen requestEncKeyInfo an.
- Wählen Sie SymmetricBindingRecipientEncryptionToken aus, und klicken Sie anschließend auf OK.
- Wählen Sie in der Liste "Verfügbar" den Eintrag requestEncKeyinfo aus, und klicken Sie auf Hinzufügen.
Klicken Sie auf OK.
- Klicken Sie in der Tabelle "Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht"
auf request:app_signparts.
- Geben Sie den Namen requestSignParts an.
- Klicken Sie unter "Schlüsseldaten" auf Neu. Geben Sie den Namen requestSignKeyInfo an.
- Wählen Sie SymmetricBindingInitiatorSignatureToken aus, und klicken Sie auf OK.
- Wählen Sie in der Liste "Verfügbar" den Eintrag requestSignKeyinfo aus, und klicken Sie auf Hinzufügen.
Klicken Sie auf OK.
- Wiederholen Sie die Schritte 8 bis 16 für die Links in der Tabelle "Signatur- und Verschlüsselungsschutz der Antwortnachricht".
- Klicken Sie auf Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
Nächste Schritte
Anwendung starten