Key-Locator für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren

Die Key-Locator-Informationen für den Konsumenten auf Anwendungsebene geben an, welche Key-Locator-Implementierung verwendet wird. Die Key-Locator-Implementierung sucht den Schlüssel, der für die Validierung der digitalen Signatur bzw. der Verschlüsselungsdaten durch die Anwendung verwendet werden soll.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Key-Locator für die Konsumentenbindung auf Anwendungsebene zu konfigurieren:

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Konfigurationsanzeige für den Key-Locator auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungskonsumenten und den Antwortkonsumenten zugreifen.
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
    5. Klicken Sie auf Neu, um eine Key-Locator-Konfiguration zu erstellen, wählen Sie das Kontrollkästchen neben einer vorhandenen Konfiguration aus, und klicken Sie auf Löschen, um diese Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Key-Locator-Konfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Key-Locators einen eindeutigen Namen ein. Beispielsweise können Sie den Namen klocator angeben.
  2. Geben Sie einen Namen für die Klassenimplementierung für den Key-Locator an. Die JAAS-Anmeldemodulimplementierung (Java™ Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren). Geben Sie den Anforderungen der Anwendung entsprechend einen Klassennamen an. Wenn die Anwendung beispielsweise erfordert, dass der Schlüssel aus der Keystore-Datei gelesen wird, geben Sie die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator an. WebSphere Application Server stellt die folgenden Standardklassenimplementierungen für Key-Locator für Anwendungen der Version 6.0.x bereit, die mit dem Anforderungskonsumenten bzw. dem Antwortkonsumenten verwendet werden können:
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
    Diese Implementierung sucht und ruft die Schlüssel aus der angegebenen Keystore-Datei ab.
    com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
    Diese Implementierung verwendet das X.509-Sicherheitstoken aus der Sendernachricht für die Validierung der digitalen Signatur und für Verschlüsselung. Diese Klassenimplementierung wird vom Anforderungskonsumenten und Antwortkonsumenten verwendet.
  3. Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort, einen Keystore-Pfad und einen Keystore-Typ angeben.
    1. Geben Sie im Feld Kennwort für den Keystore ein Kennwort ein. Dieses Kennwort wird für den Zugriff auf die Keystore-Datei verwendet.
    2. Geben Sie im Feld Pfad die Position der Keystore-Datei im Keystore ein.
    3. Wählen Sie im Feld Typ einen Keystore-Typ aus. Die von IBM® verwendete JCE (Java Cryptography Extension) unterstützt die folgenden Keystore-Typen:
      JKS
      Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE) nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
      JCEKS
      Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
      [z/OS]JCERACFKS
      [z/OS]Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
      PKCS11KS (PKCS11)
      Verwenden Sie dieses Format, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
      PKCS12KS (PKCS12)
      Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.

      WebSphere Application Server stellt im Verzeichnis ${USER_INSTALL_ROOT}/etc/ws-security/samples einige Beispiel-Keystore-Dateien bereit. Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist Storepass, und der Typ ist JCEKS.

      Achtung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.
  4. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  5. Klicken Sie unter "Weitere Eigenschaften" auf Schlüssel.
  6. Klicken Sie auf Neu, um eine Schlüsselkonfiguration zu erstellen, wählen Sie das Kontrollkästchen neben einer vorhandenen Konfiguration aus, und klicken Sie auf Löschen, um diese Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Schlüsselkonfiguration, um die Einstellungen zu editieren. Gibt den Namen des in der Keystore-Datei gespeicherten Schlüsselobjekts an. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Schlüsselname einen eindeutigen Namen ein.

    Es empfiehlt sich, für den Schlüsselnamen einen vollständig qualifizierten DN zu verwenden. Beispiel: CN=Bob,O=IBM,C=US.

  7. Geben Sie im Feld Schlüsselalias einen Aliasnamen an. Der Schlüsselalias wird vom Key-Locator verwendet, um nach Schlüsselobjekten in der Keystore-Datei zu suchen.
  8. Geben Sie im Feld Schlüsselkennwort ein Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
  9. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben den Key-Locator für die Konsumentenbindung auf Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen analog eine Konfiguration für die Generatorschlüsseldaten erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocconsapp
Dateiname:twbs_configkeylocconsapp.html