Verwenden Sie zum Konfigurieren der Erweiterungen und Bindungen für Web Services Security
die Registerkarte WS-Erweiterung bzw. WS-Bindung im Implementierungsdeskriptor für Clients in einem
Assembliertool.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Lesen Sie vor der
Ausführung dieser Schritte einen der folgenden Artikel, um sich mit den
Registerkarten
WS-Erweiterung und
WS-Bindung im Editor für Clientimplementierungsdeskriptoren
des Assembliertools vertraut zu machen:
Auf diesen beiden Registerkarten werden die
Erweiterungen bzw. Bindungen von Web Services Security konfiguriert.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um den Client für die Überprüfung
der digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird
beschrieben, wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche
Abschnitte der Antwort überprüft werden sollen.
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java™-EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie
anschließend aus.
- Klicken Sie auf das Register WS-Erweiterung.
- Erweitern Sie den Abschnitt
Die erforderliche Integrität bezieht sich auf die Teile der
Nachricht, deren digitale Signatur überprüft werden muss. Die Überprüfung
der digitalen Signatur verringert das Risiko, dass die Nachrichtenabschnitte während der
Übertragung im Internet geändert werden.
- Wählen Sie die zu überprüfenden Teile der Nachricht aus. Sie können anhand der Konfiguration des Senders der Web-Service-Antwort festlegen, welche
Abschnitte der Nachricht ausgewählt werden sollen. Klicken Sie auf Hinzufügen, und wählen Sie
einen der folgenden Nachrichtenabschnitte aus:
- Body
- Der Abschnitt der Nachricht, der die Benutzerdaten enthält.
- Timestamp
- Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn
die Option "Timestamp" ausgewählt ist, fahren Sie mit dem nächsten Schritt fort, um der Nachricht
eine empfangene Zeitmarke hinzuzufügen.
- Securitytoken
- Das Sicherheitstoken authentifiziert den Client. Wenn Sie diese Option auswählen, wird die Nachricht signiert.
- Optional: Erweitern Sie den Abschnitt Empfangene Zeitmarke hinzufügen. Wählen Sie Empfangene Zeitmarke hinzufügen aus, um die empfangene Zeitmarke zur Nachricht hinzuzufügen.
Ergebnisse
Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers
richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler
Soap body not
signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise
den Actor konfigurieren. Sie können den Actor an den folgenden Positionen auf dem Client
im Editor für Web-Service-Clients des Assembliertools konfigurieren:
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld "Actor-URI" an.
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld "Actor" an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der
die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Sie können den Actor an den folgenden Positionen
im Web-Services-Editor des Assembliertools konfigurieren:
- Klicken Sie auf .
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld "Actor" an.
Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe
Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird
die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server
weitergeleitet.
Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen
anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und
Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht
derselbe Actor
konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird,
verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden
diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess,
der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung.
Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob
die Actor-Felder des Clients und des Servers synchronisiert sind.
Sie haben
angegeben, welche Nachrichtenabschnitte digital signiert sind und vom Client überprüft
werden müssen, wenn der Server eine Antwortnachricht an den Client sendet.
Nächste Schritte
Wenn Sie angegeben haben, welche Nachrichtenabschnitte eine vom Client zu
überprüfende digitale Signatur enthalten, müssen Sie den Client so konfigurieren,
dass er die Methode für die digitale Signatur erkennt, die verwendet wird, um die
Nachricht digital zu signieren. Weitere Informationen finden Sie im Artikel
Client für Überprüfung der digitalen Signatur von Antworten konfigurieren: Prüfmethode auswählen.