Key-Locator mit JAX-RPC auf Server- oder Zellenebene konfigurieren

Die Key-Locator-Daten für die Standardgeneratorbindungen geben an, welche Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Signatur- und Verschlüsselungsdaten zu ermitteln, wenn diese Bindungen nicht auf Anwendungsebene definiert sind.

Informationen zu diesem Vorgang

Die Key-Locator-Daten für die Standardkonsumentenbindungen geben an, welche Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Validierung der Signatur bzw. Entschlüsselung zu finden, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server stellt Standardwerte für diese Bindungen bereit. Sie müssen diese Standardwerte jedoch für eine Produktionsumgebung ändern.

Sie können den Key-Locator auf Server- und Zellenebene konfigurieren. Verwenden Sie bei den nachfolgend genannten Schritten die Anweisungen im ersten Schritt für den Zugriff auf die Standardbindungen auf Serverebene und die Anweisungen im zweiten Schritt für den Zugriff auf die Bindungen auf Zellenebene.

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator. Auf dieser Seite können Sie die Einstellungen für den Key-Locator für den Standardgenerator und den Standardkonsumenten konfigurieren.
  4. Klicken Sie auf einen der folgenden Einträge, um die Key-Locator-Konfigurationen zu bearbeiten:
    Neu
    Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Key-Locator-Konfiguration erstellen. Geben Sie im Feld Name des Key-Locators einen eindeutigen Namen für die Key-Locator-Konfiguration ein. Beispielsweise können Sie den Namen sig_klocator angeben.
    Löschen
    Wenn Sie auf diesen Eintrag klicken, können Sie eine vorhandene Konfiguration löschen.
    Vorhandene Key-Locator-Konfiguration bearbeiten
    Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer vorhandenen Konfiguration bearbeiten.
  5. Geben Sie im Feld Klassenname des Key-Locators einen Namen für die Implementierung der Key-Locator-Klasse ein. Die Key-Locator, die Anwendungen der Version 6.0.x zugeordnet sind, müssen die Schnittstelle com.ibm.wsspi.wssecurity.keyinfo.KeyLocator implementieren.
    Anmerkung: Diese Schnittstelle ist nur für JAX-RPC-Anwendungen gültig. Für JAX-WS-Anwendungen wird die Implementierung des JAAS-Anmeldemoduls (Java™ Authentication and Authorization Service) verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen und das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
    WebSphere Application Server stellt die folgenden Key-Locator-Klassenimplementierungen für Anwendungen der Version 6.0.x bereit:
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
    Diese Implementierung sucht und ruft die Schlüssel aus der angegebenen Keystore-Datei ab.
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    Diese Implementierung verwendet den öffentlichen Schlüssel aus dem Zertifikat des Unterzeichners. Diese Klassenimplementierung wird vom Antwortgenerator verwendet.
    com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
    Diese Implementierung verwendet das X.509-Sicherheitstoken aus der Sendernachricht für die Validierung der digitalen Signatur und für Verschlüsselung. Diese Klassenimplementierung wird vom Anforderungskonsumenten und Antwortkonsumenten verwendet.

    Beispielsweise können Sie die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator angeben, wenn die Konfiguration der Key-Locator für Signaturdaten sein muss.

  6. Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort, einen Keystore-Pfad und einen Keystore-Typ angeben.
    1. Geben Sie im Feld Kennwort für Keystore ein Kennwort an. Dieses Kennwort wird für den Zugriff auf die Keystore-Datei verwendet.
    2. Geben Sie im Feld Keystore-Pfad die Position der Keystore-Datei ein.
    3. Wählen Sie im Feld Keystore-Typ einen Keystore-Typ aus. Die verwendete JCE (Java Cryptography Extension) unterstützt die folgenden Keystore-Typen:
      JKS
      Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE) nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
      JCEKS
      Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
      [z/OS]JCERACFKS
      [z/OS]Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
      PKCS11
      Verwenden Sie dieses Format, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien, die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes Schlüssel chiffrieren.
      PKCS12
      Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#12-Dateiformat verwenden.

      WebSphere Application Server stellt im Verzeichnis ${USER_INSTALL_ROOT}/etc/ws-security/samples einige Beispiel-Keystore-Dateien bereit. Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist storepass, und der Typ ist JCEKS.

      Einschränkung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.
  7. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  8. Klicken Sie unter "Weitere Eigenschaften" auf Schlüssel.
  9. Klicken Sie auf einen der folgenden Einträge, um die Schlüsselkonfigurationen zu bearbeiten:
    Neu
    Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Schlüsselkonfiguration erstellen. Geben Sie im Feld Schlüsselname einen eindeutigen Namen ein. Sie müssen für den Schlüsselnamen einen vollständig qualifizierten DN angeben. Beispiel: CN=Bob,O=IBM,C=US.
    Löschen
    Wenn Sie auf diesen Eintrag klicken, können Sie eine vorhandene Konfiguration löschen.
    Vorhandene Schlüsselkonfiguration bearbeiten
    Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer vorhandenen Konfiguration bearbeiten.
    Gibt den Namen des in der Keystore-Datei gespeicherten Schlüsselobjekts an.
  10. Geben Sie im Feld Schlüsselalias einen Aliasnamen an. Der Schlüsselalias wird vom Key-Locator verwendet, um nach Schlüsselobjekten in der Keystore-Datei zu suchen.
  11. Geben Sie im Feld Schlüsselkennwort ein Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
  12. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben den Key-Locator für die Server- oder Zellenebene konfiguriert.

Nächste Schritte

Konfigurieren Sie die Schlüsseldaten für die Standardgenerator- und Standardkonsumentenbindungen, die sich auf diesen Key-Locator beziehen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocsvrcell
Dateiname:twbs_configkeylocsvrcell.html