Sie können die serverseitige Bindungskonfiguration für eine Java-EE-Anwendung (Java
Platform,
Enterprise Edition) der Version 1.3 auf eine Java-EE-Anwendung der
Version 1.4 migrieren.
Informationen zu diesem Vorgang
Die folgende Liste zeigt die Zuordnung der übergeordneten Abschnitte
auf der serverseitigen Registerkarte
Bindungskonfigurationen in einem Assembliertool
von einer Java-EE-Anwendung der Version 1.3 zu einer Java-EE-Anwendung der Version 1.4.
Tabelle 1. Zuordnung der Konfigurationsabschnitte. Verwenden Sie die Informationen der Bindungskonfiguration für die Migration.Java™-EE-Bindungskonfigurationen der Version 1.3 |
Java-EE-Bindungskonfigurationen der Version 1.4 |
Konfigurationsdetails zum Anforderungsempfängerbinding |
Konfigurationsdetails zur Anfordungskonsumentenbindung |
Konfigurationsdetails zum Antwortsenderbinding |
Konfigurationsdetails zur Antwortgeneratorbindung |
Berücksichtigen Sie die folgenden Schritte für die Migration der serverseitigen Bindungen
von Java EE
Version 1.3 auf Java EE Version 1.4. Die genauen Schritte richten sich nach der vorhandenen Konfiguration.
Die Schritte basieren auf typischen Szenarien, decken aber nicht alle Einzelheiten ab.
Vorgehensweise
- Migrieren Sie die Konfigurationsdaten im Abschnitt "Konfigurationsdetails zum Anforderungsempfängerbinding"
einer Java-EE-Anwendung der Version 1.3.
- Migrieren Sie alle Trust-Anchor-Daten, die in der
Java-EE-Anwendung der Version 1.3 angegeben sind, mit dem Dialog "Trust-Anchor" auf die Java-EE-Anwendung der Version 1.4.
- Migrieren Sie die Informationen im Abschnitt "Zertifikatsspeicherliste", die in der Java-EE-Anwendung der
Version 1.3
angegeben sind, durch Konfiguration des Abschnitts "Zertifikatsspeicherliste" in der Java-EE-Anwendung der Version 1.4.
- Konfigurieren Sie den Key-Locator (Schlüsselsuchfunktion) und die Tokenkonsumentendaten, die referenziert werden,
im Dialogfenster "Schlüsselinformationen". Die Konfiguration des Key-Locators und des Tokenkonsumenten richten sich nach dem Typ der Schlüsseldaten.
Wenn beispielsweise ein X.509-Zertifikat, das in den Sicherheitsheader <wsse:Security> eingebettet ist, für die
digitale Signatur verwendet wird, führen Sie die folgenden Schritte aus:
- Geben Sie, um den Key-Locator zu konfigurieren, die Klasse com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
als Key-Locator-Klasse an, und geben Sie keinen Keystore an.
- Wählen Sie für den Tokenkonsumenten die Klasse
com.ibm.wsspi.wssecurity.token.509TokenConsumer aus, geben Sie X509 certificate token
als Wertetyp für URI (Uniform Resource Identifier) an, und geben Sie system.wssecurity.X509BST
im Feld "jaas.config.name" ein. Außerdem müssen Sie die Einstellungen für den Zertifikatspfad
(die Trust-Anchor-Referenz und die Zertifikatsspeicherreferenz) in der Konfiguration des
Tokenkonsumenten definieren.
- Geben Sie im Dialogfenster "Schlüsselinformationen" explizit den Typ der Schlüsseldaten an. In einer Java-EE-Anwendung der Version 1.3 wird der Typ der Schlüsseldaten, wie z. B. die Referenz auf das Sicherheitstoken
und die Schlüssel-ID, nicht explizit angegeben.
Die Konfiguration impliziert den Typ der Schlüsseldaten.
In einer Java-EE-Anwendung der Version 1.4 müssen Sie den Typ der Schlüsseldaten
explizit im Dialog "Schlüsselinformationen" angeben, wenn die Bindungsdatei Informationen zur digitalen
Signatur und Verschlüsselung enthält.
Bevor Sie die Schlüsseldaten konfigurieren, müssen Sie sicherstellen, dass der Key-Locator
und der Tokenkonsument konfiguriert sind, auf die im Dialog "Schlüsselinformationen" verwiesen wird.
Wenn Sie die Schlüsseldaten für digitale Signatur oder Verschlüsselung konfigurieren, müssen Sie den
korrekten Schlüsseldatentyp angeben.
Der Wert für den Schlüsseldatentyp richtet sich nach dem Mechanismus, der für die Referenzierung des
für die digitale Signatur oder Verschlüsselung verwendeten Sicherheitstoken eingesetzt wird.
Die folgenden Informationen beschreiben die Referenz auf das Sicherheitstoken (oder direkte Referenz)
und die Schlüssel-ID, die gebräuchlichsten und empfohlenen Schlüsseldaten für digitale
Signatur und Verschlüsselung:
- Referenz auf Sicherheitstoken (oder direkte Referenz)
- Das Sicherheitstoken wird direkt mit dem URI (Uniform Resource Identifier) referenziert.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Schlüssel-ID
- Das Sicherheitstoken wird mit einem nicht transparenten Wert referenziert, der das
Token eindeutig identifiziert.
Der Algorithmus, der für die Generierung des Werts von KeyIdentifier verwendet wird, richtet sich nach dem
Tokentyp.
Beispielsweise wird für die Generierung des Wertes für das Element KeyIdentifier
ein Hash-Wert der wichtigen Elemente des Sicherheitstokens verwendet.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
Geben Sie im Dialogfenster "Schlüsselinformationen" die Namen der zuvor konfigurierten
Key-Locators und Tokenkonsumenten.
Die Feld "Schlüsselname" ist für den Konsumenten optional.
- Migrieren Sie die Informationen im Abschnitt "Signaturdaten" durch Konfiguration der
Abschnitte "Signaturdaten", "Abschnittsreferenzen" und "Umsetzungen"
- Geben Sie im Dialogfenster "Signaturdaten" die Algorithmen für die Signaturmethode und die
Kanonisierungsmethode an.
- Geben Sie im Dialogfenster "Abschnittsreferenz" den Algorithmus für die Digest-Methode an.
- Migrieren Sie die Informationen im Abschnitt "Verschlüsselungsinformationen". Wählen Sie im Dialogfenster "Verschlüsselungsinformationen" den Namen des Elements "Schlüsselinformationen" aus,
das für die Verschlüsselung konfiguriert ist, und geben Sie den Abschnitt RequiredConfidentiality an.
Vergewissern Sie sich, dass der Wert für den ausgewählten Abschnitt RequiredConfidentiality denselben Namen hat wie der in der Erweiterungsdatei
konfigurierte Abschnitt "Erforderliche Vertraulichkeit".
Der Abschnitt "Anmeldezuordnung" in der Java-EE-Anwendung der Version 1.3 wird der Tokenkonsumentenkonfiguration
für den Tokentyp zugeordnet, der in der Authentifizierungsmethode angegeben ist.
Wenn Sie z. B. eine Konfiguration für "Anmeldezuordnung" migrieren möchten,
die die Authentifizierungsmethode
BasicAuth verwendet, müssen Sie einen Tokenkonsumenten für das Benutzernamenstoken konfigurieren. Führen Sie zum Konfigurieren eines Tokenkonsumenten für Benutzernamenstoken die folgenden Schritte aus:
- Wählen Sie die Tokenkonsumentenklasse com.ibm.wsspi.wssecurity.UsernameTokenConsumer aus.
- Geben Sie den Namen der Konfiguration von "Erforderliches Sicherheitstoken"
aus dem Abschnitt "Erweiterungen" im Feld
Sicherheitstoken an.
- Wählen Sie Benutzernamenstoken als Wertetyp aus.
- Geben Sie system.wssecurity.UsernameToken im Feld jaas.config.name ein.
- Migrieren Sie die Konfigurationsdaten im Abschnitt "Konfigurationsdetails zum Antwortsenderbinding"
der Java-EE-Bindungsdatei der Version 1.3 in den Abschnitt
"Konfigurationsdetails zur Antwortgeneratorbindung"
der Java-EE-Anwendung der Version 1.4. Die Konfiguration des Abschnitts "Antwortgenerator" ist
ähnlich wie die Konfiguration des Abschnitts "Anforderungskonsument".
- Migrieren Sie die Informationen aus dem Abschnitt "Schlüsselsuchfunktionen" (Key-Locators) mit dem Dialogfenster
"Schlüsselsuchfunktionen" eines Assembliertools.
- Konfigurieren Sie einen Tokengenerator, auf den im Dialogfenster "Schlüsselinformationen"
verwiesen wird. Sie müssen für jedes in der SOAP-Nachricht generierte Sicherheitstoken einen
Tokengenerator konfigurieren.
Wenn der Tokengenerator beispielsweise für ein X.509-Zertifikat bestimmt ist, das für
digitale Signatur oder Verschlüsselung verwendet wird, führen Sie die folgenden Schritte aus:
- Geben Sie, um den Key-Locator zu konfigurieren, die Klasse com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
als Key-Locator-Klasse an, und geben Sie keinen Keystore an.
- Wählen Sie für den Tokengenerator die Klasse
com.ibm.wsspi.wssecurity.X509TokenGenerator aus, und geben Sie X509 certificate token
als Wertetyp für URI (Uniform Resource Identifier) an. Die Keystore-Informationen, die für den Tokengenerator angegeben werden, entsprechen den Informationen, die für die
Konfiguration des Key-Locators verwendet werden.
Deshalb werden die Keystore-Informationen aus der Key-Locator-Konfiguration
einer Java-EE-Anwendung der Version 1.3 verwendet, um den Key-Locator und den Tokengenerator in einer Java-EE-Anwendung
der Version 1.4
zu konfigurieren.
- Geben Sie im Dialogfenster "Tokengenerator" die Keystore-Informationen an, die der
Callback-Handler benötigt, um die erforderlichen Schlüsseldaten für die Generierung des Token
anzufordern.
- Wählen Sie für den Callback-Handler die Klasse com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler aus.
- Geben Sie im Dialogfenster "Schlüsselinformationen" den Namen des zuvor konfigurierten
Key-Locators und Tokengenerators an. Der Schlüsselname ist für den Generator erforderlich. Der Schlüssel, der im Dialogfenster "Schlüsselinformationen"
angegeben ist, muss in der Liste der Schlüssel enthalten sein, die in der Key-Locator-Konfiguration
definiert ist.
Die Migration der Konfigurationen von Signaturdaten und Verschlüsselungsdaten
ist ähnlich wie die Migration dieser Konfigurationen für den Abschnitt für Konfiguration des Anforderungsempfängerbinding.
Die Konfiguration der Schlüsseldaten für den Abschnitt "Antwortgenerator" ist ähnlich wie die Konfiguration
der Schlüsseldaten für den Abschnitt "Anforderungskonsument".
Ergebnisse
In dieser Schrittfolge werden die Informationen beschrieben,
die Sie benötigen, um die serverseitige Bindungskonfiguration für eine Java-EE-Anwendung der
Version 1.3 auf eine Java-EE-Anwendung der Version 1.4 zu migrieren.
Nächste Schritte
Migrieren Sie die clientseitige Bindungskonfiguration für eine Java-EE-Anwendung der Version 1.3
auf eine Java-EE-Anwendung der Version 1.4. Weitere Informationen hierzu finden Sie im Artikel
Clientseitige Bindungsdatei migrieren.