Mit JAX-RPC Schlüsseldaten für die Generatorbindung auf Anwendungsebene konfigurieren
Mit diesen Schlüsseldaten wird die Konfiguration definiert, die für die Generierung des Schlüssels für die digitale Signatur und Verschlüsselung benötigt wird. Die Konfigurationen für Signatur- und Verschlüsselungsdaten können die Schlüsseldaten gemeinsam nutzen und werden deshalb auf derselben Ebene definiert.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Diese Task beschreibt, wie Sie die Schlüsseldaten für die Bindungen für den Anforderungsgenerator (Clientseite) und den Antwortgenerator (Serverseite) auf Anwendungsebene konfigurieren.
Führen Sie die folgenden Schritte aus, um die Schlüsseldaten für die Generatorbindung auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige für das Konfigurieren der Schlüsseldaten auf.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf Schlüsseldaten.
- Klicken Sie auf Neu, um eine Konfiguration für Schlüsseldaten zu erstellen, wählen Sie das Kontrollkästchen neben einer vorhandenen Konfiguration, und klicken Sie auf Löschen, um diese Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name der Schlüsseldaten" einen Namen ein. Beispielsweise können Sie den Namen gen_signkeyinfo angeben.
- Wählen Sie im Feld "Typ der Schlüsseldaten" einen Typ für die Schlüsseldaten aus. Der Typ legt fest, wie auf Sicherheitstoken verwiesen wird.
WebSphere Application Server unterstützt
die folgenden Schlüsseldatentypen:
- Schlüssel-ID
- Das Sicherheitstoken wird mit einem nicht transparenten Wert referenziert, der das
Token eindeutig identifiziert.
Der Algorithmus, der für die Generierung des Werts von <KeyIdentifier> verwendet wird, richtet sich nach dem
Tokentyp.
Beispielsweise wird für die Generierung des Wertes für das Element <KeyIdentifier>
ein Hash-Wert der wichtigen Elemente des Sicherheitstoken verwendet.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference> <wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO... </wsse:KeyIdentifier> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Schlüsselname
- Das Sicherheitstoken wird mit einem Namen referenziert, der der Zusicherung einer Identität (IDAssertion) im Token entspricht.
Verwenden Sie diesen Schlüsseltyp nicht, da
er dazu führen kann, dass mehrere Sicherheitstoken dem angegebenen Namen entsprechen.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo> <ds:KeyName>CN=Group1</ds:KeyName> </ds:KeyInfo>
- Referenz des Sicherheitstokens
- Das Sicherheitstoken wird mithilfe der URIs direkt referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Reference URI="#mytoken" /> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Integriertes Token
- Das Sicherheitstoken wird direkt in das Element <SecurityTokenReference>
eingebettet. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Embedded wsu:Id=”tok1” /> ... </wsse:Embedded> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Name und Seriennummer des X509-Zertifikatausstellers
- Das Sicherheitstoken wird durch den Namen und die Seriennummer eines X.509-Zertifikats referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo> <wsse:SecurityTokenReference> <ds:X509Data> <ds:X509IssuerSerial> <ds:X509IssuerName>CN=Jones, O=IBM, C=US </ds:X509IssuerName> <ds:X509SerialNumber>1040152879 </ds:X509SerialNumber> </ds:X509IssuerSerial> </ds:X509Data> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Wählen Sie im Feld "Key-Locator-Referenz" eine Referenz auf den Key-Locator aus. Diese Referenz gibt einen Key-Locator an, mit dem WebSphere Application Server die Schlüssel sucht, die für die digitale Signatur und für die Verschlüsselung verwendet werden. Bevor Sie einen Key-Locator auswählen können, müssen Sie einen Key-Locator konfiguriert haben. Nähere Informationen zum Konfigurieren eines Key-Locator finden Sie in den folgenden Artikeln:
- Klicken Sie auf Schlüssel abrufen, um eine Liste der Schlüsselnamenreferenzen anzuzeigen. Nachdem Sie auf Schlüssel abrufen geklickt haben, werden die Schlüsselnamen, die im Element <sig_klocator> definiert sind, im Menü "Referenz auf Schlüsselnamen" angezeigt. Wenn Sie die Referenz auf den Key-Locator ändern, müssen Sie erneut auf Schlüssel abrufen klicken, um die Liste mit den Schlüsselnamen anzuzeigen, die dem neuen Key-Locator zugeordnet sind.
- Wählen Sie im Feld "Referenz auf Schlüsselname" eine Referenz aus. Gibt den Name eines Schlüssels an, der für die Generierung einer digitalen Signatur und für die Verschlüsselung verwendet wird. Die Liste der Schlüsselnamen stammt von dem in der Key-Locator-Referenz angegebenen Key-Locator.
- Wählen Sie im Feld "Tokenreferenz" eine Tokenreferenz aus. Gibt den Namen des Tokengenerators an, der für die Verarbeitung des Sicherheitstoken verwendet wird. WebSphere Application Server benötigt dieses Feld jedoch nur dann, wenn Sie im Feld "Typ der Schlüsseldaten" den Wert "Referenz auf Sicherheitstoken" oder "Integriertes Token" angeben. Bevor Sie eine Tokenreferenz angeben, müssen Sie einen Tokengenerator konfigurieren. Weitere Informationen zum Konfigurieren eines Tokengenerators finden Sie im Artikel Mit JAX-RPC Tokengeneratoren zum Schutz der Nachrichtenauthentizität auf Anwendungsebene konfigurieren.
- Optional: Wenn Sie in dieser Anzeige einen Schlüssel-ID-Typ auswählen, müssen Sie eine Codierungsmethode, eine Berechnungsmethode, den Wertetyp des Namespace-URI und den Wertetyp für den lokalen Namen angeben.
- Wählen Sie im Feld "Codierungsmethode" eine Codierungsmethode aus. Gibt das Codierungsformat für die Schlüssel-ID an.
WebSphere Application
Server unterstützt die folgenden Codierungsmethoden:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- Wählen Sie im Feld "Berechnungsmethode" eine Berechnungsmethode aus. WebSphere Application
Server unterstützt die folgenden Berechnungsmethoden:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- Geben Sie im Feld "Namespace-URI" den Wertetyp des Namespace-URI ein. Gibt den Namespace-URI des Wertetyps für ein Sicherheitstoken an, auf das die Schlüssel-ID verweist. Wenn Sie das X.509-Zertifikatstoken angeben, müssen Sie diese Option angeben. Wenn Sie ein anderes Token angeben möchten, geben Sie als Wertetyp den URI des qualifizierten Namens (QName) an.
- Geben Sie den lokalen Namen des Wertetyps an. Gibt den lokalen Namen des Wertetyps für ein Sicherheitstoken an, auf das die Schlüssel-ID verweist. Wenn der lokale Name zusammen mit dem Namespace-URI verwendet wird, sind diese Informationen der qualifizierte
Name (oder QName) des Wertetyps. Wenn Sie das X.509-Zertifikatstoken angeben, wird empfohlen, die vordefinierten lokalen Namen zu verwenden. Bei Verwendung der vordefinierten lokalen Namen müssen Sie den Namespace-URI des Wertetyps nicht angeben. Wenn Sie jedoch die vordefinierten lokalen Namen nicht verwenden, müssen Sie den URI und den lokalen Namen angeben. WebSphere Application Server stellt die folgenden vordefinierten lokalen Namen bereit:
- X.509-Zertifikatstoken
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- X.509-Zertifikate in einem PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste mit X509-Zertifikaten und CRLs im Format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- LTPA-Token (Lightweight Third-Party Authentication). Wenn Sie für den lokalen Namen des Wertetyps LTPA angeben, müssen Sie auch den Namespace-URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2 angeben.
- LTPA_PROPAGATION
- LTPA-Weitergabetoken. Wenn Sie für den lokalen Namen des Wertetyps LTPA_PROPAGATION angeben, müssen Sie auch den Namespace-URI http://www.ibm.com/websphere/appserver/tokentype angeben.
- Wählen Sie im Feld "Codierungsmethode" eine Codierungsmethode aus. Gibt das Codierungsformat für die Schlüssel-ID an.
WebSphere Application
Server unterstützt die folgenden Codierungsmethoden:
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Schlüsseldaten
Verwenden Sie diese Seite, um die derzeit verfügbaren Konfigurationen für die Generierung oder Konsumierung des Schlüssels für digitale XML-Signatur und XML-Verschlüsselung anzuzeigen.Konfigurationseinstellungen für Schlüsseldaten
Verwenden Sie diese Seite, um die Konfiguration für die Angabe des Schlüssels für digitale XML-Signatur und XML-Verschlüsselung festzulegen.Schlüsseldaten
Verwenden Sie diese Seite, um die derzeit verfügbaren Konfigurationen für die Generierung oder Konsumierung des Schlüssels für digitale XML-Signatur und XML-Verschlüsselung anzuzeigen.Konfigurationseinstellungen für Schlüsseldaten
Verwenden Sie diese Seite, um die Konfiguration für die Angabe des Schlüssels für digitale XML-Signatur und XML-Verschlüsselung festzulegen.
Zugehörige Tasks:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfogenapp
Dateiname:twbs_configkeyinfogenapp.html