Web-Service-Anwendungen auf Transportebene sichern

Die Sicherheit auf Transportebene ist ein anerkannter und häufig verwendeter Mechanismus für die Sicherung der Internet- und Intranet-Kommunikation über HTTP. Die Sicherheit auf Transportebene kann zum Sichern von Web-Service-Nachrichten verwendet werden. Die Sicherheitsfunktionen auf Transportebene sind unabhängig von den Funktionen, die von der Sicherheit auf Nachrichtenebene (WS-Security) oder der HTTP-Basisauthentifizierung bereitgestellt werden.

Vorbereitende Schritte

Sie können die Sicherheit auf Nachrichtenebene (WS-Security) und/oder die Sicherheit auf Transportebene verwenden. Es folgen Beispiele für allgemeine Einsatzszenarien, die allerdings nicht die gesamte Bandbreite der möglichen Szenarien abdecken:
  • Verwenden Sie die Sicherheit auf Nachrichtenebene, wenn die Sicherheit für die Web-Service-Anwendung von essenzieller Bedeutung ist. Bei der HTTP-Basisauthentifizierung werden ein Benutzername und ein Kennwort für die Authentifizierung eines Service-Clients bei einem sicheren Endpunkt verwendet. Die Basisauthentifizierung ist im HTTP-Header, der die SOAP-Anforderung (Simple Object Access Protocol) überträgt, codiert. Wenn der Anwendungsserver die HTTP-Anforderung empfängt, werden Benutzername und Kennwort abgerufen und mit der für den Server festgelegten Authentifizierungsmethode geprüft.
    Wichtig: Wenn die Sicherheit auf Nachrichtenebene aktiviert ist und Sie den Standard-SSL-Port 443 für abgehende Anforderungen nicht verwenden, stellen Sie sicher, dass der dynamische abgehende Endpunkt für SSL für Ihre Konfiguration ordnungsgemäß konfiguriert ist.
  • Verwenden Sie die Sicherheit auf Transportebene, um die Basisauthentifizierung zu aktivieren. Die Sicherheit auf Transportebene kann unabhängig von der Sicherheit auf Nachrichtenebene aktiviert und inaktiviert werden. Die Sicherheit auf Transportebene bietet minimale Sicherheit. Sie können diese Konfiguration verwenden, wenn ein Web-Service ein Client eines anderen Web-Service ist.
  • Verwenden Sie SSL, um Vertraulichkeit und Integrität zu gewährleisten, und die HTTP-Basisauthentifizierung für den Authentifizierungsvorgang.
  • Verwenden Sie SSL, um Vertraulichkeit und Integrität zu gewährleisten, und die WS-Security für den Authentifizierungsvorgang. Beispielsweise kann ein Benutzernamenstoken oder ein LTPA-Token für die Authentifizierung verwendet werden.
  • Verwenden Sie WS-Security, um Vertraulichkeit und Integrität zu gewährleisten und um den Authentifizierungsvorgang auszuführen.

Informationen zu diesem Vorgang

Die Sicherheit auf Transportebene basiert auf Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) unter HTTP. HTTP, das gängigste Internet-Kommunikationsprotokoll, ist derzeit auch das gängigste Protokoll für Web-Services. HTTP ist ein inhärent unsicheres Protokoll, weil alle Informationen zwischen nicht authentifizierten Peers über ein nicht gesichertes Netz im Klartext gesendet werden. Zum Sichern von HTTP kann die Sicherheit auf Transportebene angewendet werden.

Die Sicherheit auf Transportebene kann zum Sichern von Web-Service-Nachrichten verwendet werden. Die Sicherheitsfunktionen auf Transportebene sind jedoch von den Funktionen, die von WS-Security oder der HTTP-Basisauthentifizierung bereitgestellt werden, unabhängig.

SSL und TLS stellen Sicherheitsfunktionen wie Authentifizierung, Datenschutz und Unterstützung von Verschlüsselungstoken für sichere HTTP-Verbindungen bereit. Für die Ausführung mit HTTPS muss die Adresse des Service-Port das Format https:// haben. Die Integrität und Vertraulichkeit der Transportdaten, einschließlich der SOAP-Nachrichten (Simple Object Access Protocol) und HTTP-Basisauthentifizierung, werden bei der Verwendung von SSL und TLS bestätigt.

[AIX Solaris HP-UX Linux Windows]Web-Service-Anwendungen können auch Verschlüsselungen gemäß Federal Information Processing Standard (FIPS) für sicherere TLS-Verbindungen verwenden.

WebSphere Application Server verwendet für die Unterstützung von SSL und TLS das JSSE-Paket (Java™ Secure Sockets Extension).

Diese Task ist eine von mehreren Methoden für die Konfiguration der Sicherheit für abgehende HTTP-Transporte für einen Web-Service, der als Server für einen anderen Web-Service agiert. Sie können die Sicherheit für abgehende HTTP-Transporte auch mit einem Assembliertool oder mit den Java-Eigenschaften konfigurieren. Wenn Sie die Sicherheit für abgehende HTTP-Transporte nicht konfigurieren, wird die Web-Service-Laufzeitumgebung in die Laufzeitumgebung der Java-EE-Sicherheit (Java Platform, Enterprise Edition) im WebSphere-Produkt verschoben, um eine effektive SSL-Konfiguration zu erhalten. Wenn keine SSL-Konfiguration für die Laufzeitumgebung der Java-EE-Sicherheit im WebSphere-Produkt verfügbar ist, werden die JSSE-Systemeigenschaften (Java Secure Socket Extension) verwendet.

Sie können weitere HTTP-Transporteigenschaften für Web-Service-Anwendungen definieren. Diese Eigenschaften können verwendet werden, um den Verbindungspool für abgehende HTTP-Verbindungen zu verwalten, die Inhaltscodierung von HTTP-Nachrichten zu konfigurieren, persistente HTTP-Verbindungen zu aktivieren und festzulegen, dass HTTP-Anforderungen erneut gesendet werden, wenn Zeitlimitüberschreitungen auftreten.

Vorgehensweise

  1. Entwickeln und assemblieren Sie eine Web-Service-Anwendung.
    1. Sie können die Sicherheit für abgehende HTTP-Transporte für die Anwendung mit einem Assembliertool konfigurieren und assemblieren.
  2. Implementieren Sie die Anwendung.
    1. Weitere Informationen zum Implementieren von Web-Service-Anwendungen finden Sie in der Dokumentation zum Implementieren von Web-Services.
  3. Konfigurieren Sie die Sicherheit auf Transportebene für die Anwendung.
    1. Verwenden Sie zum Konfigurieren der Sicherheit für abgehende HTTP-Transporte eine der folgenden Methoden:
      • Sicherheit für abgehende HTTP-Transporte über die Administrationskonsole konfigurieren
      • Sicherheit für abgehende HTTP-Transporte über Java-Eigenschaften konfigurieren
  4. Definieren Sie weitere HTTP-Transporteigenschaften für die Web-Service-Anwendung.
    1. Verwenden Sie eine der folgenden Methoden, um weitere HTTP-Transporteigenschaften zu definieren:
      • Weitere HTTP-Transporteigenschaften über die Anzeige für angepasste JVM-Eigenschaften in der Administrationskonsole konfigurieren
      • Weitere HTTP-Transporteigenschaften über ein Assembliertool konfigurieren

Ergebnisse

Nachdem Sie diese Schritte ausgeführt haben, sind die Web-Service-Anwendungen auf Transportebene gesichert.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_secwsaatl
Dateiname:twbs_secwsaatl.html