Richtliniensatz und Bindungen für asymmetrische digitale XML-Signatur und/oder Verschlüsselung konfigurieren
Die folgende Prozedur zeigt, wie der WS-Security-Richtliniensatz und die zugehörigen Bindungen auf Nachrichtenebene konfiguriert werden müssen, um eine SOAP-Nachricht zu signieren und zu verschlüsseln, indem Sie die asymmetrische digitale XML-Signatur und -Verschlüsselung (XML Digital Signature and Encryption) mit anwendungsspezifischen Bindungen verwenden. Im Verlauf dieser Prozedur müssen Sie angeben, ob sowohl die Anforderungsnachricht als auch die Antwortnachricht verschlüsselt werden soll.
Vorbereitende Schritte
Diese Task setzt voraus, dass der Service-Provider und der Service-Client, die Sie konfigurieren, in der Anwendung JaxWSServicesSamples enthalten sind. Weitere Informationen darüber, wie Sie diese Anwendung erhalten und installieren, finden Sie im Artikel Auf Beispiele zugreifen.
*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all:
com.ibm.ws.wssecurity.*=all: com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all:
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:
Informationen zu diesem Vorgang
In dieser Prozedur werden die Aktionen erläutert, die Sie ausführen müssen, um einen WS-Security-Richtliniensatz so zu konfigurieren, dass er die WS-Security-Vorgaben bezüglich der asymmetrischen digitalen XML-Signatur und Verschlüsselung verwendet. Außerdem beschreibt diese Prozedur die Aktionen, die Sie ausführen müssen, um anwendungsspezifische angepasste Bindungen für die asymmetrische digitale XML-Signatur und Verschlüsselung zu konfigurieren.
Die in dieser Prozedur verwendeten Keystores werden mit WebSphere Application Server bereitgestellt und in jedem erstellten Profil installiert. Sie können einfach die Variable ${USER_INSTALL_ROOT} direkt in der Konfiguration verwenden, um auf die Keystore-Positionen zu verweisen. In diesem Fall müssen Sie keinen vollständig qualifizierten Pfad angeben. ${USER_INSTALL_ROOT} wird in einen Pfad wie den folgenden aufgelöst: c:/WebSphere/AppServer/profiles/AppSrv01.
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- Services > Service-Provider > (Anwendungsname)
- Services > Service-Clients > (Anwendungsname)

Vorgehensweise
- Erstellen Sie den angepassten Richtliniensatz.
- Klicken Sie in der Administrationskonsole auf Services > Richtliniensätze > Anwendungsrichtliniensätze.
- Klicken Sie auf Neu.
- Geben Sie Name=AsignEncPolicy an.
- Klicken Sie auf Anwenden.
- Klicken Sie unter der Überschrift "Richtlinie" auf Hinzufügen > WS-Security.
- Bearbeiten Sie den angepassten Richtliniensatz.
- Klicken Sie in der Administrationskonsole auf WS-Security > Hauptrichtlinie. Die Richtlinie weist jetzt standardmäßig die folgende Konfiguration auf:
- Die Zeitmarke (Timestamp) wird in abgehenden Nachrichten gesendet.
- Die Zeitmarke ist in ankommenden Nachrichten erforderlich.
- Die Anforderung und die Antwort (Hauptteil, WS-Addressing-Header und Zeitmarke) werden signiert.
- Die Anforderung und die Antwort (Hauptteil und Signaturelement im SOAP-Sicherheitsheader) werden verschlüsselt.
Wenn dies die gewünschte Konfiguration ist, klicken Sie auf Anwenden und dann auf Speichern, und fahren Sie mit dem nächsten Schritt fort.
Wenn Sie diese Konfiguration ändern möchten, führen Sie einen oder mehrere der folgenden Unterschritte aus.
- Optional: Entfernen Sie die Zeitmarke (Timestamp) aus der Anforderung und aus der Antwort.
Es ist nicht möglich, die Zeitmarke nur in einer Richtung zu verwenden.
Zum Entfernen der Zeitmarke aus der Anforderung und aus der Antwort, wählen Sie die Einstellung Zeitmarke in Sicherheitsheader einfügen ab. Klicken Sie anschließend auf Anwenden.
- Optional: Entfernen Sie Abschnitte aus der Anforderungsnachricht.
- Klicken Sie unter "Zugriffsschutz auf Nachrichtenebene" auf Abschnitte in Anforderungsnachrichten schützen.
- Zum Entfernen der verschlüsselten Abschnitte der Anforderung klicken Sie auf app_encparts, und klicken Sie anschließend auf Löschen.
- Zum Entfernen des Abschnitts für signierte Abschnitt der Anforderung klicken Sie auf app_signparts, und klicken Sie anschließend auf Löschen.
- Klicken Sie auf Fertig.
- Optional: Entfernen Sie Abschnitte aus der Antwortnachricht.
- Klicken Sie unter "Zugriffsschutz auf Nachrichtenebene" auf Abschnitte in Antwortnachrichten schützen.
- Zum Entfernen der verschlüsselten Abschnitte der Antwort klicken Sie auf app_encparts, und klicken Sie anschließend auf Löschen.
- Zum Entfernen des Abschnitts für signierte Abschnitt der Antwort klicken Sie auf app_signparts, und klicken Sie anschließend auf Löschen.
- Klicken Sie auf Fertig.
- Optional: Zeigen Sie Abschnitte an, die in der Anforderung signiert oder verschlüsselt sind, oder ändern Sie diese.
- Klicken Sie unter "Zugriffsschutz auf Nachrichtenebene" auf Abschnitte in Anforderungsnachrichten schützen.
- Zum Anzeigen oder Ändern der verschlüsselten Abschnitte der Anforderung klicken Sie auf
app_encparts, und klicken Sie
anschließend auf Bearbeiten.
Auf der Seite Elemente im Abschnitt werden die Abschnitte angezeigt, die in der Anforderungsnachricht verschlüsselt werden. Sie können die Einstellungen auf dieser Seite aktualisieren, um zu verschlüsselnde Elemente hinzuzufügen, zu ändern oder zu entfernen. Standardmäßig sind die Elemente Body und XPath expression to the Signature konfiguriert.
Wenn Sie eine Verschlüsselung für ein Benutzernamenstoken (UsernameToken), eine SAML-Zusicherung oder andere Elemente hinzufügen möchten, lesen Sie die Informationen unter XPath-Ausdrücke für WS-Security erstellen.
Nachdem Sie die Änderungen abschlossen haben, klicken Sie auf OK.
- Zum Anzeigen oder Ändern des Abschnitts für signierte Abschnitt der Anforderung klicken Sie auf
app_signparts, und klicken Sie
anschließend auf Bearbeiten.
Auf der Seite Elemente im Abschnitt werden die Abschnitte angezeigt, die in der Anforderungsnachricht signiert werden. Sie können die Einstellungen auf dieser Seite aktualisieren, um zu signierende Elemente hinzuzufügen, zu ändern oder zu entfernen. Standardmäßig sind die Elemente Body, QNames for the WS-Addressing header und die XPath expressions to the Timestamp konfiguriert.
Wenn STR-Transform (STR Dereference Transform) zum Signieren eines Sicherheitstokens verwendet werden soll, fügen Sie den folgenden XPath-Ausdruck hinzu:/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Envelope'] /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Header'] /*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='Security'] /*[namespace-uri()='http://www.w3.org/2000/09/xmldsig#' and local-name()='Signature'] /*[namespace-uri()='http://www.w3.org/2000/09/xmldsig#' and local-name()='KeyInfo'] /*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='SecurityTokenReference']
Wenn andere Elemente signiert werden sollen, z. B. ein BinarySecurityToken, lesen Sie die Informationen unter XPath-Ausdrücke für WS-Security erstellen.
Nachdem Sie die Änderungen abschlossen haben, klicken Sie auf OK.
- Klicken Sie auf Fertig.
- Optional: Zeigen Sie Abschnitte an, die in der Antwort signiert oder verschlüsselt sind, oder ändern Sie diese.
- Klicken Sie unter "Zugriffsschutz auf Nachrichtenebene" auf Abschnitte in Antwortnachrichten schützen.
- Zum Anzeigen oder Ändern der verschlüsselten Abschnitte der Antwort klicken Sie auf
app_encparts, und klicken Sie
anschließend auf Bearbeiten.
Auf der Seite Elemente im Abschnitt werden die Abschnitte angezeigt, die in der Antwortnachricht verschlüsselt werden. Sie können die Einstellungen auf dieser Seite aktualisieren, um zu verschlüsselnde Elemente hinzuzufügen, zu ändern oder zu entfernen. Standardmäßig sind die Elemente Body und XPath expression to the Signature konfiguriert.
Nachdem Sie die Änderungen abschlossen haben, klicken Sie auf OK.
- Zum Anzeigen oder Ändern des Abschnitts für signierte Abschnitt der Antwort klicken Sie auf
app_signparts, und klicken Sie
anschließend auf Bearbeiten.
Auf der Seite Elemente im Abschnitt werden die Abschnitte angezeigt, die in der Antwortnachricht signiert werden. Sie können die Einstellungen auf dieser Seite aktualisieren, um zu signierende Elemente hinzuzufügen, zu ändern oder zu entfernen. Standardmäßig sind die Elemente Body, QNames for the WS-Addressing header und die XPath expressions to the Timestamp konfiguriert.
Nachdem Sie die Änderungen abschlossen haben, klicken Sie auf OK.
- Klicken Sie auf Fertig.
- Klicken Sie auf Anwenden.
- Speichern Sie die Konfiguration.
- Klicken Sie in der Administrationskonsole auf WS-Security > Hauptrichtlinie.
- Konfigurieren Sie den Client für die Verwendung des Richtliniensatzes
AsignEncPolicy.
- Klicken Sie in der Administrationskonsole auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Clients.
- Wählen Sie die Web-Service-Clientressource (JaxWSServicesSamples) aus.
- Klicken Sie auf Richtliniensatz zuordnen.
- Wählen Sie AsignEncPolicy aus.
- Erstellen Sie eine angepasste Bindung für den Client.
- Wählen Sie die Web-Service-Ressource erneut aus.
- Klicken Sie auf Bindung zuweisen.
- Klicken Sie auf Neue anwendungsspezifische Bindung, um eine anwendungsspezifische Bindung zu erstellen.
- Geben Sie den Bindungskonfigurationsnamen an.
name: signEncClientBinding
- Klicken Sie auf Hinzufügen > WS-Security.
- Wenn die Anzeige Hauptrichtlinienbindungen für Nachrichtensicherheit nicht erscheint, wählen Sie WS-Security aus.
- Konfigurieren Sie die angepassten Bindungen für den Client.
- Konfigurieren Sie einen Zertifikatsspeicher.
- Klicken Sie auf Schlüssel und Zertifikate.
- Klicken Sie unter "Zertifikatsspeicher" auf Neu - eingehend... .
- Geben Sie name=clientCertStore an.
- Geben Sie Folgendes an: Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- Klicken Sie auf OK.
- Konfigurieren Sie einen Trust-Anchor.
- Klicken Sie unter "Trust-Anchor" auf Neu... .
- Geben Sie name=clientTrustAnchor an.
- Klicken Sie auf Externer Keystore.
- Geben Sie Folgendes ein: Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- Geben Sie Password=client an.
- Klicken Sie auf OK.
- Klicken Sie in der Navigation für diese Seite auf WS-Security.
- Optional: Falls die Anforderungsnachricht signiert wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Signaturgenerator.
- Klicken Sie auf Authentifizierung und Zugriffsschutz > AsymmetricBindingInitiatorSignatureToken0 (Signaturgenerator), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler.
- Geben Sie Keystore=custom an.
- Klicken Sie auf
Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- Keystore password=client
- Name=client
- Alias=soaprequester
- Password=client
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie die Signierdaten für die Anforderung.
- Klicken Sie auf request:app_signparts, und geben Sie Name=clientReqSignInfo an.
- Klicken Sie unter
"Signierschlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=clientReqSignKeyInfo
- Type=Security Token reference
- Token generator or consumer name=AsymmetricBindingInitiatorSignatureToken0
- Klicken Sie auf OK und anschließend auf Anwenden.
- Wählen Sie unter "Referenz des Anforderungsnachrichtenabschnitts" request:app_signparts aus.
- Klicken Sie auf Bearbeiten.
- Klicken Sie unter "Umsetzungsalgorithmen" auf Neu.
- Geben Sie Folgendes an: URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie den Signaturgenerator.
- Optional: Falls die Antwortnachricht signiert wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Signaturkonsumenten.
- Klicken Sie auf AsymmetricBindingRecipientSignatureToken0 (Signaturkonsument), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler.
- Klicken Sie unter "Zertifikate" auf die Schaltfläche
"Zertifikatsspeicher", und geben Sie Folgendes an:
- Zertifikatsspeicher=clientCertStore
- Trust-Anchor-Speicher=clientTrustAnchor
- Klicken Sie auf OK und OK.
- Konfigurieren Sie die Signierdaten für die Antwort.
- Klicken Sie auf response:app_signparts, und geben Sie Name=clientRspSignInfo an.
- Klicken Sie auf Anwenden.
- Klicken Sie unter
"Signierschlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=clientReqSignKeyInfo
- Name des Tokengenerators oder -Konsumenten=AsymmetricBindingInitiatorSignatureToken0
- Klicken Sie auf OK.
- Klicken Sie unter "Signierschlüsseldaten" auf clientRspSignKeyinfo, und klicken Sie dann auf Hinzufügen.
- Wählen Sie unter "Referenz des Anforderungsnachrichtenabschnitts" response:app_signparts aus.
- Klicken Sie auf Bearbeiten.
- Klicken Sie unter "Umsetzungsalgorithmen" auf Neu.
- Geben Sie Folgendes an: URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie den Signaturkonsumenten.
- Optional: Falls die Anforderungsnachricht verschlüsselt wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Verschlüsselungsgenerator.
- Klicken Sie auf AsymmetricBindingRecipientEncryptionToken0 (Verschlüsselungsgenerator), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler, und geben Sie Keystore=custom an.
- Klicken Sie auf
Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- Type=JCEKS
- Keystore password=storepass
- Key Name=bob
- Key Alias=bob
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie die Verschlüsselungsinformationen für die Anforderung.
Fehler vermeiden: Als Einstellung für Verwendung von Schlüsseldatenreferenzen muss der Standardwert Key encryption angegeben sein. Die Datenverschlüsselung wird für die symmetrische Verschlüsselung verwendet. gotcha
- Klicken Sie auf request:app_encparts, und geben Sie Name=clientReqEncInfo an.
- Klicken Sie auf Anwenden.
- Klicken Sie unter
"Schlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=clientReqEncKeyInfo
- Type=Key_identifier
- Token generator or consumer name=AsymmetricBindingRecipientEncryptionToken0
- Klicken Sie auf OK.
- Wählen Sie unter "Schlüsseldaten" clientReqEncKeyInfo aus, und klicken Sie auf OK.
- Konfigurieren Sie den Verschlüsselungsgenerator.
- Optional: Falls die Antwortnachricht verschlüsselt wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Verschlüsselungskonsumenten.
- Klicken Sie auf AsymmetricBindingInitiatorEncryptionToken0 (Verschlüsselungskonsument), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler, und geben Sie Keystore=custom an.
- Klicken Sie auf
Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- Type=JCEKS
- Keystore password=storepass
- Key Name=alice
- Key Alias=alice
- Key password=keypass
- Klicken Sie auf OK und OK.
- Konfigurieren Sie die Verschlüsselungsinformationen für die Antwort.
Fehler vermeiden: Als Einstellung für Verwendung von Schlüsseldatenreferenzen muss der Standardwert Key encryption angegeben sein. Die Datenverschlüsselung wird für die symmetrische Verschlüsselung verwendet. gotcha
- Klicken Sie auf response:app_encparts, und geben Sie Name=clientRspEncInfo an.
- Klicken Sie auf Anwenden.
- Klicken Sie unter
"Schlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=clientRspEncKeyInfo
- Token generator or consumer name=AsymmetricBindingRecipientEncryptionToken0
- Klicken Sie auf OK.
- Wählen Sie unter "Schlüsseldaten" clientRspEncKeyInfo aus.
- Klicken Sie auf Hinzufügen und anschließend auf OK.
- Konfigurieren Sie den Verschlüsselungskonsumenten.
- Konfigurieren Sie einen Zertifikatsspeicher.
- Konfigurieren Sie den Provider für die Verwendung des Richtliniensatzes
AsignEncPolicy.
- Klicken Sie in der Administrationskonsole auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > JaxWSServicesSamples > Richtliniensätze und Bindungen für Service-Provider.
- Wählen Sie die Web-Service-Provider-Ressource (JaxWSServicesSamples) aus.
- Klicken Sie auf Richtliniensatz zuordnen.
- Wählen Sie AsignEncPolicy aus.
- Erstellen Sie eine angepasste Bindung für den Provider.
- Wählen Sie die Web-Service-Provider-Ressource erneut aus.
- Klicken Sie auf Bindung zuweisen.
- Klicken Sie auf Neue anwendungsspezifische Bindung, um eine anwendungsspezifische Bindung zu erstellen.
- Geben Sie Bindings configuration name: signEncProviderBinding an.
- Klicken Sie auf Hinzufügen > WS-Security.
- Wenn die Anzeige Hauptrichtlinienbindungen für Nachrichtensicherheit nicht erscheint, wählen Sie WS-Security aus.
- Konfigurieren Sie die angepasste Bindungen für den Provider.
- Konfigurieren Sie einen Zertifikatsspeicher.
- Klicken Sie auf Schlüssel und Zertifikate.
- Klicken Sie unter "Zertifikatsspeicher" auf Neu - eingehend... .
- Geben Sie Folgendes an:
- Name=providerCertStore
- Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- Klicken Sie auf OK.
- Konfigurieren Sie einen Trust-Anchor.
- Klicken Sie unter "Trust-Anchor" auf Neu... .
- Geben Sie Name=providerTrustAnchor an.
- Klicken Sie auf Externer Keystore, und geben Sie Folgendes an:
- Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- Password=server
- Klicken Sie auf OK. Klicken Sie anschließend in der Navigation für diese Seite auf WS-Security, und klicken Sie dann auf Authentifizierung und Zugriffschutz.
- Optional: Falls die Anforderungsnachricht signiert wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Signaturkonsumenten.
- Klicken Sie auf AsymmetricBindingInitiatorSignatureToken0 (Signaturkonsument), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler.
- Klicken Sie unter "Zertifikate" auf die Schaltfläche
Zertifikatsspeicher, und geben Sie Folgendes an:
- Zertifikatsspeicher=ProviderCertStore
- Trust-Anchor-Speicher=providerTrustAnchor
- Klicken Sie auf OK.
- Klicken Sie in der Navigation für diese Seite auf Authentifizierung und Zugriffschutz.
- Konfigurieren Sie die Signierdaten für die Anforderung.
- Klicken Sie auf request:app_signparts, und geben Sie Name=reqSignInfo an.
- Klicken Sie auf Anwenden.
- Klicken Sie unter
"Signierschlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=reqSignKeyInfo
- Token generator or consumer
- name=AsymmetricBindingInitiatorSignatureToken0
- Klicken Sie auf OK.
- Klicken Sie unter "Signierschlüsseldaten" auf reqSignKeyinfo, und klicken Sie dann auf Hinzufügen.
- Wählen Sie unter "Referenz des Anforderungsnachrichtenabschnitts" request:app_signparts aus.
- Klicken Sie auf Bearbeiten.
- Klicken Sie unter "Umsetzungsalgorithmen" auf Neu, und geben Sie URL=http://www.w3.org/2001/10/xml-exc-c14n# an.
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie den Signaturkonsumenten.
- Optional: Falls die Antwortnachricht signiert wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Signaturgenerator.
- Klicken Sie auf AsymmetricBindingRecipientSignatureToken0 (Signaturgenerator), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf
Callback-Handler > Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- Keystore-Kennwort=server
- Name=server
- Alias=soapprovider
- Kennwort=server
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie die Signierdaten für die Antwort.
- Klicken Sie auf response:app_signparts, und geben Sie Name=rspSignInfo an.
- Klicken Sie unter
"Signierschlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=rspSignKeyInfo
- Type=Security Token reference
- Token generator or consumer
- name=AsymmetricBindingRecipientSignatureToken0
- Klicken Sie auf OK und anschließend auf Anwenden.
- Wählen Sie unter "Referenz des Anforderungsnachrichtenabschnitts" response:app_signparts aus.
- Klicken Sie auf Bearbeiten.
- Klicken Sie unter "Umsetzungsalgorithmen" auf Neu, und geben Sie URL=http://www.w3.org/2001/10/xml-exc-c14n# an.
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie den Signaturgenerator.
- Optional: Falls die Anforderungsnachricht verschlüsselt wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Verschlüsselungskonsumenten.
- Klicken Sie auf AsymmetricBindingRecipientEncryptionToken0 (Verschlüsselungskonsument), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler, und geben Sie Keystore=custom an.
- Klicken Sie auf
Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Vollständiger Pfad==${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- Type=JCEKS
- Keystore password=storepass
- Key Name=bob
- Key Alias=bob
- Key password=keypass
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie die Verschlüsselungsinformationen für die Anforderung.
Fehler vermeiden: Als Einstellung für Verwendung von Schlüsseldatenreferenzen muss der Standardwert Key encryption angegeben sein. Die Datenverschlüsselung wird für die symmetrische Verschlüsselung verwendet. gotcha
- Klicken Sie auf request:app_encparts, und geben Sie Name=reqEncInfo an.
- Klicken Sie auf Anwenden
- Klicken Sie unter
"Schlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=reqEncKeyInfo
- Typ=Key identifier
- Token generator or consumer
- name=AsymmetricBindingRecipientEncryptionToken0
- Klicken Sie auf OK.
- Wählen Sie unter "Schlüsseldaten" reqEncKeyInfo aus.
- Klicken Sie auf Hinzufügen und anschließend auf OK.
- Konfigurieren Sie den Verschlüsselungskonsumenten.
- Optional: Falls die Antwortnachricht verschlüsselt wird, führen Sie die folgenden Aktionen aus.
- Konfigurieren Sie den Verschlüsselungsgenerator.
- Klicken Sie auf AsymmetricBindingInitiatorEncryptionToken0 (Verschlüsselungsgenerator), und klicken Sie anschließend auf Anwenden.
- Klicken Sie auf Callback-Handler, und geben Sie Keystore=custom an.
- Klicken Sie auf
Konfiguration angepasster Keystores, und geben Sie Folgendes an:
- Vollständiger Pfad==${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- Type=JCEKS
- Keystore password=storepass
- Key Name=alice
- Key Alias=alicee
- Klicken Sie auf OK, OK und erneut auf OK.
- Konfigurieren Sie die Verschlüsselungsinformationen für die Anforderung.
Fehler vermeiden: Als Einstellung für Verwendung von Schlüsseldatenreferenzen muss der Standardwert Key encryption angegeben sein. Die Datenverschlüsselung wird für die symmetrische Verschlüsselung verwendet. gotcha
- Klicken Sie auf response:app_encparts, und geben Sie Name=rspEncInfo an.
- Klicken Sie auf Anwenden
- Klicken Sie unter
"Schlüsseldaten" auf Neu, und geben Sie Folgendes an:
- Name=rspEncKeyInfo
- Token generator or consumer
- name=AsymmetricBindingInitiatorEncryptionToken0
- Klicken Sie auf OK.
- Wählen Sie unter "Schlüsseldaten" rspEncKeyInfo aus.
- Klicken Sie auf OK.
- Konfigurieren Sie den Verschlüsselungsgenerator.
- Konfigurieren Sie einen Zertifikatsspeicher.
- Klicken Sie auf Speichern, um die Konfigurationsänderungen zu speichern.
- Starten Sie den Client und den Provider erneut.
- Stoppen Sie den Client und den Provider.
- Starten Sie den Client und den Provider erneut.
- Testen Sie den Service.
- Rufen Sie in Ihrem Web-Browser "JaxWSServicesSamples" auf: http://localhost:9080/wssamplesei/demo
Fehler vermeiden: Achten Sie darauf, den richtigen Hostnamen und Port anzugeben, falls sich ihr Profil nicht auf derselben Maschine befindet oder ein anderer Port als 9080 verwendet wird.gotcha
- Wählen Sie Message Type Synchronous Echo aus.
- Stellen Sie sicher, dass Use SOAP 1.2 nicht ausgewählt ist.
- Geben Sie eine Nachricht ein, und klicken Sie auf Send Message.
- Rufen Sie in Ihrem Web-Browser "JaxWSServicesSamples" auf: http://localhost:9080/wssamplesei/demo
Ergebnisse
Die Web-Service-Anwendung JaxWSServicesSamples ist so konfiguriert, dass sie die asymmetrische digitale XML-Signatur und Verschlüsselung für den Schutz Ihrer SOAP-Anforderungen und -Antworten verwendet.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_general_policyset
Dateiname:twbs_general_policyset.html