Nachrichtenabschnitte über Richtliniensätze signieren und verschlüsseln

Bei Web-Services können Sie Nachrichtenabschnitte, basierend auf der für einen Richtliniensatz definierten Servicequalität (QoS, Quality of Service) signieren und/oder verschlüsseln. Sie können diese Aktionen ausführen, indem Sie die Bindungsinformationen in einer angepassten Zuordnungsbindung definieren.

Vorbereitende Schritte

Bevor Sie mit dieser Task beginnen, ordnen Sie einem Serviceartefakt, wie z. B. einer Anwendung, einem Service oder einem Endpunkt, einen Richtliniensatz zu, und erstellen Sie eine angepasste Zuordnungsbindung. Lesen Sie die Informationen zum Erstellen angepasster Zuordnungsbindungen für Richtliniensätze. Der Richtliniensatz, der dem Serviceartefakt zugeordnet wird, muss eine WS-Security-Richtlinie enthalten, die die zu signierenden bzw. zu verschlüsselnden Nachrichtenabschnitte spezifiziert. Lesen Sie die Informationen zum Sichern von Nachrichtenabschnitten über die Administrationskonsole.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um Nachrichtenabschnitte, basierend auf der für einen Richtliniensatz definierten Servicequalität, zu signieren und/oder zu verschlüsseln:

Vorgehensweise

  1. Öffnen Sie die Administrationskonsole.
  2. Wenn Sie Nachrichtenabschnitte für einen Service-Provider signieren und verschlüsseln möchten, klicken Sie auf Anwendungen > Unternehmensanwendungen > Anwendungsname > Richtliniensätze und Bindungen für Service-Provider. Wenn Sie Nachrichtenabschnitte für einen Service-Client signieren und verschlüsseln möchten, klicken Sie auf Anwendungen > Unternehmensanwendungen > Anwendungsname > Richtliniensätze und Bindungen für Service-Client.
  3. Klicken Sie auf den Link für den Bindungsnamen des Serviceartefakts mit einer angepassten Zuordnungsbindung.
  4. Wenn die Bindung keine WS-Security-Richtliniensatzbindungen enthält, klicken Sie auf Hinzufügen, und wählen Sie in der Liste WS-Security aus.
  5. Klicken Sie auf die Richtliniensatzbindung WS-Security.
  6. Klicken Sie auf Authentifizierung und Zugriffsschutz. Die daraufhin erscheinende Anzeige enthält die folgenden vier Tabellen:
    • Token für Zugriffsschutz: Gibt die Token an, die für symmetrische oder asymmetrische Signatur- und Verschlüsselungsrichtlinien im Richtliniensatz definiert sind.
    • Authentifizierungstoken: Gibt die Token an, die für die Anforderungs- und Antworttokenrichtlinien definiert sind.
    • Zugriffschutz durch Signatur und Verschlüsselung von Anforderungsnachrichten: Gibt die Nachrichtenabschnitte an, die für den Zugriffschutz von Anforderungsnachrichtenabschnitten im Richtliniensatz definiert sind.
    • Zugriffschutz durch Signatur und Verschlüsselung von Antwortnachrichten: Gibt die Nachrichtenabschnitte an, die für den Zugriffschutz von Antwortnachrichtenabschnitten im Richtliniensatz definiert sind.

    Zunächst werden in jeder Tabelle Informationen angezeigt, die basierend auf dem Richtliniensatz generiert werden, der dem Serviceartefakt zugeordnet ist. Die möglichen Konfigurationsobjekte für den Richtliniensatz werden angezeigt. In der Spalte "Status" wird angezeigt, ob das Objekt derzeit in der angepassten Zuordnungsbindung konfiguriert ist.

  7. Wenn Token für Zugriffsschutz den Status Nicht konfiguriert haben, erstellen Sie die Token für Zugriffsschutz, indem Sie auf den Standardnamen klicken und die Standardwerte überprüfen. Klicken Sie auf OK.
  8. [Optional] Wenn Sie X.509-Token für Zugriffsschutz verwenden, müssen Sie die Keystores und Schlüssel konfigurieren, die für das Signieren, Verschlüsseln oder Entschlüsseln der Nachrichtenabschnitte verwendet werden sollen. Keystores und Schlüssel müssen unter Umständen auch konfiguriert werden, wenn Sie angepasste Token für Zugriffsschutz verwenden. Dies richtet sich nach den Voraussetzungen für die angepassten Token. Wenn Sie ein Sicherheitskontexttoken für den Zugriffsschutz verwenden (Secure Conversion, sicherer Dialog), müssen Sie keine Keystores oder Schlüssel konfigurieren. Wenn Sie die Keystores und Schlüssel konfigurieren müssen, führen Sie die folgenden Aktionen aus:
    1. Klicken Sie auf den Link für den Tokennamen.
    2. Klicken Sie unter "Zusätzliche Bindungen" auf den Link Callback-Handler. Wenn Sie nicht Link "Callback-Handler" nicht anklicken können, klicken Sie auf Anwenden und anschließend auf den Link Callback-Handler.
    3. Verwenden Sie einen vordefinierten Keystore oder einen angepassten Keystore. Wenn Sie einen vordefinierten Keystore verwenden möchten, wählen den Keystore in der Liste aus. Wenn Sie einen angepassten Keystore verwenden möchten, wählen Sie in der Liste den Eintrag Angepasst aus, und klicken Sie anschließend auf den Link Konfiguration angepasster Keystores, um die Konfiguration anzugeben.
    4. Klicken Sie auf OK.
  9. Klicken Sie auf den Namen der Referenz des Anforderungs- bzw. Antwortnachrichtenabschnitts, der signiert oder verschlüsselt werden soll. In der Spalte "Zugriffsschutz" wird angezeigt, ob der Nachrichtenabschnitt auf der Basis des Richtliniensatzes signiert oder verschlüsselt wird.
  10. Geben Sie einen Namen für den Nachrichtenabschnitt an.
  11. Wählen Sie für verschlüsselte Abschnitte im Feld Verwendung der Schlüsseldatenreferenzen den Verschlüsselungstyp aus. Wählen Sie für asymmetrische Verschlüsselung oder X.509 den Eintrag Schlüsselchiffrierung aus. Wählen Sie für symmetrische Verschlüsselung oder sichere Dialoge (Secure Conversation) den Eintrag Datenverschlüsselung aus.
  12. [Optional] Wählen Sie für verschlüsselte Abschnitte die Option Zeitmarke einfügen oder Nonce einfügen aus, um eine Zeitmarke oder einen Nonce in den verschlüsselten Nachrichtenabschnitt einzufügen. Sie können eine oder beide Optionen für den verschlüsselten Nachrichtenabschnitt verwenden.
  13. Geben Sie für signierte Abschnitte eine oder mehrere Referenzen von Nachrichtenabschnitten an. Wählen Sie in der Spalte "Verfügbar" eine Referenz aus, und klicken Sie anschließend auf Hinzufügen.
  14. [Optional] Auch in signierte Abschnitte kann eine Zeitmarke oder ein Nonce eingefügt werden. Wählen Sie in der Spalte "Zugewiesen" eine Referenz eines Nachrichtenabschnitts aus, und klicken Sie anschließend auf Bearbeiten. Wählen Sie die Option Zeitmarke einfügen oder Nonce einfügen aus, um eine Zeitmarke oder einen Nonce in den signierten Nachrichtenabschnitt einzufügen. Sie können eine oder beide Optionen für den signierten Nachrichtenabschnitt verwenden.
  15. Wenn keine Schlüsseldateneinträge verfügbar sind, führen Sie die folgenden Aktionen aus, um einen Schlüsseldateneintrag zu erstellen:
    1. Klicken Sie auf Neu.
    2. Geben Sie einen Namen an.
    3. Wählen Sie in der Liste "Tokengenerator" oder "Konsumentenname" ein Token für Zugriffsschutz aus.
    4. Klicken Sie auf OK.
  16. Wählen Sie in der Liste "Verfügbar" einen Schlüsseldateneintrag aus, und klicken Sie anschließend auf Hinzufügen.
  17. [Optional] Geben Sie bei Bedarf angepasste Eigenschaften an.
    1. Wenn Sie Message Transmission Optimization Mechanism (MTOM) für den Verschlüsselungstext der verschlüsselten Daten verwenden möchten, fügen Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.enc.MTOM.Optimize" mit dem Wert true den abgehenden verschlüsselten Abschnitten für Clientanforderungen bzw. Serverantworten hinzu.
    2. Wenn Sie Verschlüsselungsheader gemäß der Spezifikation WS-Security 1.0 anstelle der in WS-Security 1.1 beschriebenen Unterstützung für verschlüsselte Header verwenden möchten, fügen Sie die angepasste Eigenschaft "com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0" mit dem Wert true den abgehenden verschlüsselten Abschnitten für Clientanforderungen bzw. Serverantworten hinzu.

      Wenn sich Web Services Security Version 1.1 wie in den Versionen von WebSphere Application Server vor Version 7.0 verhalten soll, geben Sie die Eigenschaft com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7 mit dem Wert true im Element <encryptionInfo> der Bindung an. Wenn diese Eigenschaft angegeben wird, enthält das Element <EncryptedHeader> einen Parameter des Typs "wsu:Id", während der "Id"-Parameter im Element <EncryptedData> nicht angegeben ist. Diese Eigenschaft sollte nur dann verwendet werden, wenn keine Konformität mit "Basic Security Profile 1.1" erforderlich ist.

  18. Klicken Sie auf OK.
  19. Klicken Sie auf Speichern, um die Änderungen in der Masterkonfiguration zu speichern.

Ergebnisse

Wenn Sie diese Task ausgeführt haben, werden die Nachrichtenabschnitte bei der Kommunikation mit dem Serviceartefakt gemäß verwendeter Konfiguration signiert und/oder verschlüsselt.

Beispiel

Sie haben eine Anwendung mit dem Namen app1 mit einem zugeordneten Richtliniensatz "RAMP default" und einer angepassten Zuordnungsbindung myBinding, und Sie möchten die Nachrichtenabschnitte signieren und verschlüsseln.
  1. Klicken Sie unter Anwendungen > Unternehmensanwendungen auf die Anwendung app1.
  2. Klicken Sie auf den Link Richtliniensätze und Bindungen für Service-Provider oder auf den Link Richtliniensätze und Bindungen für Service-Client.
  3. Klicken Sie auf den Link myBinding.
  4. [Optional] Wenn WS-Security nicht aufgelistet ist, wählen Sie Hinzufügen > WS-Security aus.
  5. Klicken Sie auf den Link WS-Security.
  6. Klicken Sie auf den Link Authentifizierung und Zugriffsschutz.
  7. Klicken Sie in der Tabelle "Token für Zugriffsschutz" auf jeden der vier Links und anschließend in der daraufhin erscheinenden Anzeige auf OK. Für jeden Eintrag wird in Spalte "Status" jetzt Konfiguriert angezeigt.
  8. Klicken Sie in der Tabelle "Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht" auf request:app_encparts. Geben Sie den Namen requestEncParts an.
  9. Klicken Sie unter "Schlüsseldaten" auf Neu. Geben Sie den Namen requestEncKeyInfo an.
  10. Wählen Sie SymmetricBindingRecipientEncryptionToken aus, und klicken Sie anschließend auf OK.
  11. Wählen Sie in der Liste "Verfügbar" den Eintrag requestEncKeyinfo aus, und klicken Sie auf Hinzufügen. Klicken Sie auf OK.
  12. Klicken Sie in der Tabelle "Zugriffsschutz durch Signatur und Verschlüsselung der Anforderungsnachricht" auf request:app_signparts.
  13. Geben Sie den Namen requestSignParts an.
  14. Klicken Sie unter "Schlüsseldaten" auf Neu. Geben Sie den Namen requestSignKeyInfo an.
  15. Wählen Sie SymmetricBindingInitiatorSignatureToken aus, und klicken Sie auf OK.
  16. Wählen Sie in der Liste "Verfügbar" den Eintrag requestSignKeyinfo aus, und klicken Sie auf Hinzufügen. Klicken Sie auf OK.
  17. Wiederholen Sie die Schritte 8 bis 16 für die Links in der Tabelle "Signatur- und Verschlüsselungsschutz der Antwortnachricht".
  18. Klicken Sie auf Speichern, um die Änderungen in der Masterkonfiguration zu speichern.

Nächste Schritte

Anwendung starten

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_wsspssemp
Dateiname:twbs_wsspssemp.html