Web-Service-Anwendungen auf Transportebene sichern
Die Sicherheit auf Transportebene ist ein anerkannter und häufig verwendeter Mechanismus für die Sicherung der Internet- und Intranet-Kommunikation über HTTP. Die Sicherheit auf Transportebene kann zum Sichern von Web-Service-Nachrichten verwendet werden. Die Sicherheitsfunktionen auf Transportebene sind unabhängig von den Funktionen, die von der Sicherheit auf Nachrichtenebene (WS-Security) oder der HTTP-Basisauthentifizierung bereitgestellt werden.
Vorbereitende Schritte
- Verwenden Sie die Sicherheit auf Nachrichtenebene, wenn die Sicherheit für die Web-Service-Anwendung von essenzieller Bedeutung ist.
Bei der HTTP-Basisauthentifizierung werden ein Benutzername und ein Kennwort
für die Authentifizierung eines Service-Clients bei einem sicheren Endpunkt verwendet. Die Basisauthentifizierung ist im HTTP-Header, der die SOAP-Anforderung (Simple
Object Access Protocol) überträgt, codiert. Wenn der Anwendungsserver die HTTP-Anforderung empfängt, werden
Benutzername und Kennwort abgerufen und mit der für den Server festgelegten
Authentifizierungsmethode
geprüft.Wichtig: Wenn die Sicherheit auf Nachrichtenebene aktiviert ist und Sie den Standard-SSL-Port 443 für abgehende Anforderungen nicht verwenden, stellen Sie sicher, dass der dynamische abgehende Endpunkt für SSL für Ihre Konfiguration ordnungsgemäß konfiguriert ist.
- Verwenden Sie die Sicherheit auf Transportebene, um die Basisauthentifizierung zu aktivieren. Die Sicherheit auf Transportebene kann unabhängig von der Sicherheit auf Nachrichtenebene aktiviert und inaktiviert werden. Die Sicherheit auf Transportebene bietet minimale Sicherheit. Sie können diese Konfiguration verwenden, wenn ein Web-Service ein Client eines anderen Web-Service ist.
- Verwenden Sie SSL, um Vertraulichkeit und Integrität zu gewährleisten, und die HTTP-Basisauthentifizierung für den Authentifizierungsvorgang.
- Verwenden Sie SSL, um Vertraulichkeit und Integrität zu gewährleisten, und die WS-Security für den Authentifizierungsvorgang. Beispielsweise kann ein Benutzernamenstoken oder ein LTPA-Token für die Authentifizierung verwendet werden.
- Verwenden Sie WS-Security, um Vertraulichkeit und Integrität zu gewährleisten und um den Authentifizierungsvorgang auszuführen.
Informationen zu diesem Vorgang
Die Sicherheit auf Transportebene kann zum Sichern von Web-Service-Nachrichten verwendet werden. Die Sicherheitsfunktionen auf Transportebene sind jedoch von den Funktionen, die von WS-Security oder der HTTP-Basisauthentifizierung bereitgestellt werden, unabhängig.
SSL und TLS stellen Sicherheitsfunktionen wie Authentifizierung, Datenschutz und Unterstützung von Verschlüsselungstoken für sichere HTTP-Verbindungen bereit. Für die Ausführung mit HTTPS muss die Adresse des Service-Port das Format https:// haben. Die Integrität und Vertraulichkeit der Transportdaten, einschließlich der SOAP-Nachrichten (Simple Object Access Protocol) und HTTP-Basisauthentifizierung, werden bei der Verwendung von SSL und TLS bestätigt.
Web-Service-Anwendungen können auch Verschlüsselungen gemäß
Federal Information Processing Standard (FIPS) für sicherere TLS-Verbindungen verwenden.
WebSphere Application Server verwendet für die Unterstützung von SSL und TLS das JSSE-Paket (Java™ Secure Sockets Extension).
Diese Task ist eine von mehreren Methoden für die Konfiguration der Sicherheit für abgehende HTTP-Transporte für einen Web-Service, der als Server für einen anderen Web-Service agiert. Sie können die Sicherheit für abgehende HTTP-Transporte auch mit einem Assembliertool oder mit den Java-Eigenschaften konfigurieren. Wenn Sie die Sicherheit für abgehende HTTP-Transporte nicht konfigurieren, wird die Web-Service-Laufzeitumgebung in die Laufzeitumgebung der Java-EE-Sicherheit (Java Platform, Enterprise Edition) im WebSphere-Produkt verschoben, um eine effektive SSL-Konfiguration zu erhalten. Wenn keine SSL-Konfiguration für die Laufzeitumgebung der Java-EE-Sicherheit im WebSphere-Produkt verfügbar ist, werden die JSSE-Systemeigenschaften (Java Secure Socket Extension) verwendet.
Sie können weitere HTTP-Transporteigenschaften für Web-Service-Anwendungen definieren. Diese Eigenschaften können verwendet werden, um den Verbindungspool für abgehende HTTP-Verbindungen zu verwalten, die Inhaltscodierung von HTTP-Nachrichten zu konfigurieren, persistente HTTP-Verbindungen zu aktivieren und festzulegen, dass HTTP-Anforderungen erneut gesendet werden, wenn Zeitlimitüberschreitungen auftreten.