Ein Trust-Anchor gibt Keystores an, die
Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsgenerator und Antwortgenerator verwendet (wenn Web-Services
als Client arbeitet), um das Unterzeichnerzertifikat für digitale Signatur zu generieren.
Über die Administrationskonsole können Sie Trust-Anchor für die Generatorbindung auf Anwendungsebene konfigurieren.
Vorbereitende Schritte
Für die Konfiguration eines Trust-Anchors kann ein
Assembliertool oder die Administrationskonsole verwendet werden. Diese Task beschreibt die Konfiguration
eines Trust-Anchors auf Anwendungsebene über die Administrationskonsole. Weitere Informationen zu Assembliertools finden Sie in den zugehörigen Informationen.
Informationen zu diesem Vorgang
Die Keystores sind für die Integrität
der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden,
ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die
für den Anforderungsgenerator definierte Bindungskonfiguration muss mit der Bindungskonfiguration für den Antwortgenerator übereinstimmen.
Die Trust-Anchor-Konfiguration für den Anforderungsgenerator auf dem Client muss mit der Konfiguration für den Anforderungskonsumenten auf dem Server übereinstimmen. Außerdem
muss die Trust-Anchor-Konfiguration für den Antwortgenerator auf dem Server mit der Konfiguration für den Antwortkonsumenten auf dem Client übereinstimmen.
Trust-Anchor, die auf Anwendungsebene definiert werden, haben Priorität vor denen, die auf Server- oder
Zellenebene definiert werden. Wie Trust-Anchor auf Server- oder Zellenebene konfiguriert werden, wird in dieser Task nicht beschrieben.
Weitere Informationen zum Erstellen und Konfigurieren eines Trust-Anchors auf Server- oder Zellenebene finden Sie im Artikel
Trust-Anchor auf Server- oder Zellenebene konfigurieren.
Führen Sie die folgenden Schritte aus, um die Trust-Anchor
für die Generatorbindung auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige für Trust-Anchor auf.
- Klicken Sie auf .
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Eigenschaften von Web Services Security" können Sie auf die Trust-Anchor-Konfiguration für die
folgenden Bindungen zugreifen:
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie
unter "Anwortgeneratorbindung
(Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
- Klicken Sie auf Neu, um eine Trust-Anchor-Konfiguration zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Trust-Anchor-Konfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Trust-Anchors
einen eindeutigen Namen ein.
- Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte
zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator
die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort,
einen Keystore-Pfad und einen Keystore-Typ angeben.
- Geben Sie im Feld Keystore-Kennwort
ein Kennwort an. Dieses Kennwort wird für den Zugriff
auf die Keystore-Datei verwendet.
- Geben Sie im Feld Keystore-Pfad die Position der Keystore-Datei ein.
- Wählen Sie im Feld Keystore-Typ einen Keystore-Typ aus. Die von IBM® verwendete JCE
(Java™ Cryptography Extension) unterstützt die folgenden Keystore-Typen:
- JKS
- Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE)
nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
- JCEKS
- Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
JCERACFKS
Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
- PKCS11KS (PKCS11)
- Geben Sie dieses Format an, wenn Ihr Keystore das Dateiformat PKCS#11 hat. Keystores
mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von
Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware
verwenden.
- PKCS12KS (PKCS12)
- Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.
WebSphere Application Server stellt einige Beispiel-Keystore-Dateien in dem folgenden
Verzeichnis bereit. Die Variable USER_INSTALL_ROOT steht für das Installationsstammverzeichnis des Benutzers:
c:\{USER_INSTALL_ROOT}\etc\ws-security\samples![[AIX HP-UX Solaris]](../images/unix.gif)
${USER_INSTALL_ROOT}/etc/ws-security/samples
Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist Storepass,
und der Typ ist JCEKS.
Einschränkung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.
Ergebnisse
Mit dieser Task haben Sie Trust-Anchor für Generatorbindungen auf Anwendungsebene konfiguriert.
Nächste Schritte
Sie müssen analog einen Trust-Anchor-Konfiguration für den Konsumenten erstellen.