Client für Überprüfung der digitalen Signatur von Antworten konfigurieren: Nachrichtenabschnitte überprüfen

Verwenden Sie zum Konfigurieren der Erweiterungen und Bindungen für Web Services Security die Registerkarte WS-Erweiterung bzw. WS-Bindung im Implementierungsdeskriptor für Clients in einem Assembliertool.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Lesen Sie vor der Ausführung dieser Schritte einen der folgenden Artikel, um sich mit den Registerkarten WS-Erweiterung und WS-Bindung im Editor für Clientimplementierungsdeskriptoren des Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Erweiterungen bzw. Bindungen von Web Services Security konfiguriert.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Client für die Überprüfung der digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird beschrieben, wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche Abschnitte der Antwort überprüft werden sollen.

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™-EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf Anwendungsclientprojekte > Anwendungsname > appClientModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie anschließend Öffnen mit > Editor für Implementierungsdeskriptor aus.
  5. Klicken Sie auf das Register WS-Erweiterung.
  6. Erweitern Sie den Abschnitt Konfiguration des Antwortempfängers > Erforderliche Integrität Die erforderliche Integrität bezieht sich auf die Teile der Nachricht, deren digitale Signatur überprüft werden muss. Die Überprüfung der digitalen Signatur verringert das Risiko, dass die Nachrichtenabschnitte während der Übertragung im Internet geändert werden.
  7. Wählen Sie die zu überprüfenden Teile der Nachricht aus. Sie können anhand der Konfiguration des Senders der Web-Service-Antwort festlegen, welche Abschnitte der Nachricht ausgewählt werden sollen. Klicken Sie auf Hinzufügen, und wählen Sie einen der folgenden Nachrichtenabschnitte aus:
    Body
    Der Abschnitt der Nachricht, der die Benutzerdaten enthält.
    Timestamp
    Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn die Option "Timestamp" ausgewählt ist, fahren Sie mit dem nächsten Schritt fort, um der Nachricht eine empfangene Zeitmarke hinzuzufügen.
    Securitytoken
    Das Sicherheitstoken authentifiziert den Client. Wenn Sie diese Option auswählen, wird die Nachricht signiert.
  8. Optional: Erweitern Sie den Abschnitt Empfangene Zeitmarke hinzufügen. Wählen Sie Empfangene Zeitmarke hinzufügen aus, um die empfangene Zeitmarke zur Nachricht hinzuzufügen.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen auf dem Client im Editor für Web-Service-Clients des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld "Actor-URI" an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders > Details, und geben Sie die Actor-Informationen im Feld "Actor" an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Sie können den Actor an den folgenden Positionen im Web-Services-Editor des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld "Actor" an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Sie haben angegeben, welche Nachrichtenabschnitte digital signiert sind und vom Client überprüft werden müssen, wenn der Server eine Antwortnachricht an den Client sendet.

Nächste Schritte

Wenn Sie angegeben haben, welche Nachrichtenabschnitte eine vom Client zu überprüfende digitale Signatur enthalten, müssen Sie den Client so konfigurieren, dass er die Methode für die digitale Signatur erkennt, die verwendet wird, um die Nachricht digital zu signieren. Weitere Informationen finden Sie im Artikel Client für Überprüfung der digitalen Signatur von Antworten konfigurieren: Prüfmethode auswählen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmsg
Dateiname:twbs_confclrespdigsignmsg.html