Sie können die Signaturdaten für den clientseitigen Anforderungsgeneratorbindungen und serverseitigen
Antwortgeneratorbindungen auf Server- oder Zellenebene konfigurieren.
Vorbereitende Schritte
Anmerkung: Nur in WebSphere Application Server Version
6.x und früher müssen Sie in der serverseitigen Erweiterungsdatei (ibm-webservices-ext.xmi)
und in der clientseitigen Erweiterungsdatei für den Implementierungsdeskriptor (ibm-webservicesclient-ext.xmi)
angeben, welche Abschnitte der Nachricht signiert werden sollen. Außerdem
müssen Sie die Schlüsseldaten konfigurieren, auf die in den Schlüsseldatenreferenzen
in der Anzeige "Signaturdaten" in der Administrationskonsole verwiesen wird.
Informationen zu diesem Vorgang
In dieser Task werden die Schritte beschrieben, die Sie ausführen müssen, um die Signaturdaten für die
clientseitigen Anforderungsgeneratorbindungen und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene
zu konfigurieren. WebSphere Application Server verwendet
die Signaturdaten für den Standardgenerator, um Nachrichtenabschnitte wie Hauptteil der Nachricht, Zeitmarke und Benutzernamenstoken
zu signieren, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server
stellt Standardwerte für die Bindungen bereit. Diese Standardwerte müssen jedoch
vom Systemadministrator für die Produktionsumgebung geändert werden.
Sie können
die Signaturdaten für die Konsumentenbindung auf der Server- und Zellenebene konfigurieren. Verwenden Sie bei den nachfolgend
genannten Schritten die Anweisungen im ersten Schritt für den Zugriff auf die Standardbindungen auf Serverebene und die Anweisungen im zweiten Schritt für
den Zugriff auf die Bindungen auf Zellenebene.
Vorgehensweise
- Greifen Sie auf die Standardbindungen für die Serverebene zu.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der
WebSphere Application Server Version 6.1 oder früher auf
Web-Services:
Standardbindungen für Web Services Security.
mixv
- Klicken Sie auf , um auf die Standardbindungen auf Zellenebene
zuzugreifen.
- Klicken Sie unter "Standardkonsumentenbindungen" auf Signaturdaten.
- Klicken Sie auf Neu, um eine Signaturdatenkonfiguration zu erstellen,
auf Löschen, um eine vorhandene Konfiguration zu löschen, oder auf den Namen einer
vorhandenen Signaturdatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Signaturdaten" einen eindeutigen Namen
für diese Konfiguration ein. Beispielsweise können Sie den Namen gen_signinfo angeben.
Fehler vermeiden: Wenn Sie mehrere
Signaturdatenkonfigurationen erstellen,
berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.
gotcha
- Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Der für den Standardkonsumenten angegebene Algorithmus muss mit dem für den Standardgenerator angegebenen Algorithmus übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- Wählen Sie eine Kanonisierungsmethode aus dem Feld "Kanonisierungsmethode" aus. Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application
Server unterstützt die folgenden vorkonfigurierten Kanonisierungsalgorithmen für kanonisches XML und exklusives XML:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Wählen Sie im Feld "Signaturtyp für Schlüsseldaten" einen Signaturtyp für die Schlüsseldaten aus. Mit dem Signaturtyp für die Schlüsseldaten wird die Art und Weise der digitalen Signatur des Schlüssels angegeben. WebSphere Application
Server unterstützt die folgenden Signaturtypen:
- None
- Gibt an, dass das Element KeyInfo nicht signiert wird.
- Keyinfo
- Gibt an, dass das gesamte Element KeyInfo signiert wird.
- Keyinfochildelements
- Gibt an, dass die untergeordneten Elemente des KeyInfo-Elements signiert werden.
Der Signaturtyp für Schlüsseldaten für den Konsumenten muss mit dem Signaturtyp für den Generator übereinstimmen. Es
können folgende Fälle eintreten:
- Wenn Sie keinen der genannten Signaturtypen angeben, verwendet
WebSphere Application
Server standardmäßig den Wert keyinfo.
- Wenn Sie Keyinfo oder Keyinfochildelements auswählen
und in einem weiteren Schritt als Umsetzungsalgorithmus
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform auswählen, signiert WebSphere Application Server auch das referenzierte Token.
- Klicken Sie auf OK, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Signaturdaten. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
- Geben Sie die Referenzen auf die Schlüsseldaten, die Referenzen auf Nachrichtenabschnitte, den Digest-Algorithmus und den Umsetzungsalgorithmus an.
- Klicken Sie unter "Weitere Eigenschaften" auf , um eine neue Referenz zu erstellen. Klicken Sie auf
,
um eine vorhandene Referenz zu löschen. Klicken
Sie auf einen Referenznamen, um eine vorhandene Referenz auf Schlüsseldaten zu bearbeiten.
- Geben Sie im Feld "Name" einen Namen für die Konfiguration ein. Geben Sie z. B. con_skeyinfo ein.
- Wählen Sie im Feld "Referenz auf Schlüsseldaten" eine Referenz aus. Die Referenz auf Schlüsseldaten verweist auf den Schlüssel, den
WebSphere Application Server für die digitale Signatur verwendet. In den
Bindungsdateien wird die Referenz im Element <signingKeyInfo> angegeben.
Der für die Signatur verwendete Schlüssel wird mit dem Element für die Schlüsseldaten
angegeben, das auf derselben Ebene wie die Signaturdaten definiert wird.
Weitere Informationen
finden Sie im Artikel Schlüsseldaten für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie unter "Weitere Eigenschaften" auf ,
um eine neue Abschnittsreferenz zu erstellen. Klicken Sie auf
, um eine vorhandene Abschnittsreferenz zu löschen. Klicken
Sie auf einen Abschnittsnamen, um eine vorhandene Abschnittsreferenz zu bearbeiten. Die Referenzen auf Nachrichtenabschnitte geben an, welche Teile der Nachricht digital signiert werden. Das Attribut "part"
verweist auf den Namen des Elements <RequiredIntegrity> im Implementierungsdeskriptor, wenn das Element
<PartReference> für die digitale Signatur angegeben ist.
WebSphere Application Server bietet Ihnen die Möglichkeit, mehrere Elemente vom Typ <PartReference>
für das Element <SigningInfo> anzugeben. Das Element <PartReference> hat zwei untergeordnete Elemente, <DigestMethod> und <Transform>.
- Geben Sie für die Referenz auf Nachrichtenabschnitte einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint angeben.
Wichtig: Sie müssen im Feld "Referenz auf Nachrichtenabschnitte" keinen Wert angeben, wie dies der Fall auf der Anwendungsebene ist, da die Referenz auf Nachrichtenabschnitte auf der Anwendungsebene auf einen bestimmten Teil der Nachricht, die signiert
wird, verweist. Sie können diesen Wert nicht angeben, da die Standardbindungen auf der Server- und Zellenebene für alle auf einem bestimmten Server definierten Services gültig sind.
- Wählen Sie im Feld Algorithmus für Digest-Methode einen Algorithmus für die Digest-Methode aus. Der im Element
<DigestMethod> angegebene Algorithmus für die Digest-Methode wird im Element <SigningInfo> verwendet.
WebSphere Application Server unterstützt die folgenden Algorithmen:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Referenz auf Nachrichtenabschnitte. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
- Klicken Sie unter "Weitere Eigenschaften" auf
, um eine neue Umsetzung zu erstellen. Klicken Sie auf
, um eine Umsetzung zu löschen. Klicken Sie auf einen Umsetzungsnamen, um eine vorhandene Umsetzung
zu bearbeiten. Geben Sie bei der Erstellung einer neuen Umsetzung einen eindeutigen Namen an. Beispielsweise können Sie den Namen
reqint_body_transform1 angeben.
- Wählen Sie aus dem Menü einen Umsetzungsalgorithmus aus. Der Umsetzungsalgorithmus wird im Element <Transform> angegeben. Dieses Element gibt den Umsetzungsalgorithmus für die Signatur an. WebSphere Application Server unterstützt die folgenden Algorithmen:
Der Umsetzungsalgorithmus, den Sie für den Konsumenten angeben, muss mit dem Umsetzungsalgorithmus für den Generator übereinstimmen.
Wichtig: Wenn die beiden nachfolgend genannten Bedingungen zutreffen, signiert
WebSphere Application Server das referenzierte Token:
- Sie haben bereits in der Anzeige "Signaturdaten" die Option "Keyinfo" bzw. "Keyinfochildelements" im Feld "Signaturtyp für Schlüsseldaten" ausgewählt.
- Sie haben folgenden Umsetzungsalgorithmus ausgewählt: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
- Klicken Sie auf OK.
- Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Ergebnisse
Sobald Sie diese Schritte durchgeführt haben, ist die Konfiguration der Signaturdaten für den Konsumenten
auf Server
- oder Zellenebene abgeschlossen.
Nächste Schritte
Sie müssen analog eine Konfiguration für die Signaturdaten für den Generator erstellen.