Sie können ein Assembliertool oder die Administrationskonsole verwenden, um die Erweiterungen und Bindungen
für Web Services Security zu konfigurieren.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten
Sie die folgenden Artikel lesen, um sich mit den Konfigurationsregisterkarten
WS-Erweiterung und
WS-Binding vertraut zu machen:
Auf diesen beiden Registerkarten werden die Sicherheitserweiterungen bzw. die Sicherheitsbindungen für Web Services
konfiguriert.
Informationen zu diesem Vorgang
Mit dieser Task legen Sie die Entschlüsselungsmethode fest, die der Server zum Entschlüsseln
der Anforderungsnachricht verwenden soll. Dazu müssen Sie wissen, welche Entschlüsselungsmethode der Client verwendet, weil der Server dieselbe Methode
verwenden muss.
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java™-EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und wählen Sie anschließend aus.
- Klicken Sie auf das Register Bindungskonfigurationen unten im
Web-Service-Editor des Assembliertools.
- Erweitern Sie den Abschnitt .
- Klicken Sie auf Bearbeiten, um die Verschlüsselungsdaten anzuzeigen. Die folgende Tabelle beschreibt den Zweck
der einzelnen Auswahlmöglichkeiten. Einige Definitionen stammen aus der Spezifikation XML-Encryption, die Sie unter der folgenden Adresse finden:
http://www.w3.org/TR/xmlenc-core
- Verschlüsselungsname
- Der Verschlüsselungsname ist der Name des Informationseintrags für diese Verschlüsselung;
Es ist der Aliasname für den Eintrag.
- Algorithmus der Datenverschlüsselungsmethode
- Ver- und entschlüsseln Daten fester Größe in mehreren Oktettblöcken.
Dieser Algorithmus muss mit dem Algorithmus, der in der Konfiguration des Senders der
Clientanforderung ausgewählt wurde, identisch sein.
- Algorithmus der Schlüsselverschlüsselungsmethoden
- In diesem Feld wird der Algorithmus für die Verschlüsselungs- und Entschlüsselungsschlüssel angegeben.
Dieser Algorithmus muss mit dem Algorithmus, der in der Konfiguration des Senders der
Clientanforderung ausgewählt wurde, identisch sein.
- Name des Chiffrierschlüssels
- Der Name des Chiffrierschlüssels ist ein Subject aus einem persönlichen Zertifikat, in der Regel ein definierter Name (DN),
der vom Key-Locator für Verschlüsselung ermittelt wird. Das Subject wird vom
Methodenalgorithmus für Chiffrierschlüssel zum Entschlüsseln des geheimen Schlüssels
verwendet. Mit dem geheimen Schlüssel werden die Daten entschlüsselt.
Der ausgewählte
Schlüssel muss ein privater Schlüssel in dem vom Key-Locator konfigurierten Keystore
sein. Der Schlüssel erfordert dasselbe Subject, das vom Client zum Verschlüsseln der
Daten verwendet wird. Die Verschlüsselung muss mit dem
öffentlichen Schlüssel und die Entschlüsselung mit dem privaten Schlüssel (persönliches
Zertifikat) vorgenommen werden.
Um sicherzustellen, dass der Client die Daten mit dem richtigen
öffentlichen oder privaten Schlüssel verschlüsselt, müssen Sie den öffentlichen Schlüssel
aus dem Server-Keystore extrahieren und dem Keystore hinzufügen, der in der
Verschlüsselungskonfiguration für den Sender der Clientanforderung angegeben ist.
Beispiel für das persönliche Zertifikat eines Servers: CN=Bob, O=IBM,
C=US. Deshalb besitzt der Server das Paar aus öffentlichem und privatem Schlüssel.
Der Client, der die Anforderung sendet, muss die Daten mit dem öffentlichen Schlüssel
für CN=Bob, O=IBM, C=US verschlüsseln. Der Server entschlüsselt die Daten
mit dem privaten Schlüssel für CN=Bob, O=IBM, C=US verschlüsseln.
- Key-Locator für Verschlüsselung
- Der Key-Locator für Signatur verweist auf die Implementierungsklasse, die den richtigen Keystore
sucht, in dem Aliasname und Zertifikat enthalten sind.
Weitere Informationen zur Key-Locator-Konfiguration finden Sie in den Artikeln
Key-Locator mit einem Assembliertool konfigurieren und
Key-Locator mit der Administrationskonsole konfigurieren.
- Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus,
wenn in den Dropdown-Listen "Algorithmus der Datenverschlüsselungsmethode" und "Algorithmus der Chiffrierschlüsselmethode"
nur FIPS-konforme Algorithmen angezeigt werden sollen.
Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere Application Server
eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information
Processing Standard) verwenden in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" der
WebSphere Application Server-Administrationskonsole ausgewählt ist.
Ergebnisse
Bei der Entschlüsselung ist unbedingt zu beachten, dass der Name des Chiffrierschlüssels auf ein
persönliches Zertifikat verweisen muss, das vom Key-Locator des Servers, der in den Verschlüsselungsdaten
angegeben ist, gefunden werden kann. Geben Sie hier das Subject des persönlichen
Zertifikats ein, normalerweise handelt es sich dabei um einen DN (Distinguished
Name). Das Subject verwendet den Standard-Key-Locator, um den Schlüssel
zu suchen. Wenn Sie einen eigenen Key-Locator schreiben, können Sie jeden
Chiffrierschlüsselnamen verwenden, mit dem der Key-Locator in der Lage ist, den richtigen
Chiffrierschlüssel zu finden. Der Key-Locator für Verschlüsselung verweist auf die Implementierungsklasse, die den richtigen Keystore
findet, in dem Aliasname und Zertifikat enthalten sind. Weitere Informationen finden Sie
in den Artikel Key-Locator mit einem Assembliertool konfigurieren und
Key-Locator mit der Administrationskonsole konfigurieren.
Nächste Schritte
Sie müssen die Teile der Anforderungsnachricht angeben, die entschlüsselt werden sollen. Lesen Sie den Artikel
Server für Entschlüsselung von Anforderungen konfigurieren: Nachrichtenabschnitte entschlüsseln, falls Sie diese Informationen noch nicht angegeben haben.