Sie können die Signaturdaten für die clientseitigen Anforderungsgenerator-
und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene konfigurieren.
Vorbereitende Schritte
Anmerkung: Nur in WebSphere Application Server Version
6.x und früher müssen Sie in der serverseitigen Erweiterungsdatei (ibm-webservices-ext.xmi)
und in der clientseitigen Erweiterungsdatei für den Implementierungsdeskriptor (ibm-webservicesclient-ext.xmi)
angeben, welche Abschnitte der Nachricht signiert werden sollen. Außerdem
müssen Sie die Schlüsseldaten konfigurieren, auf die in den Schlüsseldatenreferenzen
in der Anzeige "Signaturdaten" in der Administrationskonsole verwiesen wird.
Informationen zu diesem Vorgang
In dieser Task werden die Schritte beschrieben, die Sie ausführen müssen, um die Signaturdaten für die clientseitigen
Anforderungsgeneratorbindungen und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene
zu konfigurieren. WebSphere Application
Server verwendet die Signaturdaten für den Standardgenerator, um Nachrichtenabschnitte wie Hauptteil der Nachricht, Zeitmarke
und Benutzernamenstoken zu signieren, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server
stellt Standardwerte für die Bindungen bereit. Diese Standardwerte müssen jedoch
vom Systemadministrator für die Produktionsumgebung geändert werden.
Sie können
die Signaturdaten für die Generatorbindung auf der Server- und Zellenebene konfigurieren. In den nachfolgenden Schritten erstellen Sie
zunächst die Konfiguration für die Signaturdaten auf der Serverebene. Anschließend erstellen Sie in
einem weiteren Schritt die Konfiguration für die Signaturdaten auf der Zellenebene:
Vorgehensweise
- Greifen Sie auf die Standardbindungen für die Serverebene zu.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der
WebSphere Application Server Version 6.1 oder früher auf
Web-Services:
Standardbindungen für Web Services Security.
mixv
- Klicken Sie auf , um auf die Standardbindungen auf Zellenebene
zuzugreifen.
- Klicken Sie unter "Standardgeneratorbindungen" auf Signaturdaten.
- Klicken Sie auf Neu, um eine Signaturdatenkonfiguration zu erstellen,
auf Löschen, um eine vorhandene Konfiguration zu löschen, oder auf den Namen einer
vorhandenen Signaturdatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Signaturdaten" einen eindeutigen Namen
für diese Konfiguration ein. Beispielsweise können Sie den Namen gen_signinfo angeben.
Fehler vermeiden: Wenn Sie mehrere
Signaturdatenkonfigurationen erstellen,
berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.
gotcha
- Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Der für den Standardgenerator angegebene Algorithmus muss mit dem für den Standardkonsumenten
angegebenen Algorithmus übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- Wählen Sie eine Kanonisierungsmethode aus dem Feld "Kanonisierungsmethode" aus. Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application
Server unterstützt die folgenden vorkonfigurierten Kanonisierungsalgorithmen für kanonisches XML und exklusives XML:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Wählen Sie im Feld Signaturtyp für Schlüsseldaten einen Signaturtyp für die Schlüsseldaten aus. Mit dem Signaturtyp für die Schlüsseldaten wird die Art und Weise der digitalen Signatur des Schlüssels angegeben. WebSphere Application
Server unterstützt die folgenden Signaturtypen:
- None
- Gibt an, dass das Element <KeyInfo> nicht signiert wird.
- Keyinfo
- Gibt an, dass das gesamte Element <KeyInfo> signiert wird.
- Keyinfochildelements
- Gibt an, dass die untergeordneten Elemente des Elements <KeyInfo> signiert werden.
Der Signaturtyp für Schlüsseldaten für den Generator muss mit dem Signaturtyp für den Konsumenten übereinstimmen. Es
können folgende Fälle eintreten:
- Wenn Sie keinen der genannten Signaturtypen angeben, verwendet WebSphere Application
Server standardmäßig den Wert keyinfo.
- Wenn Sie "Keyinfo" oder "Keyinfochildelements" auswählen und in einem weiteren Schritt als Umsetzungsalgorithmus "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform"
auswählen, signiert WebSphere Application Server auch das referenzierte Token.
- Wählen Sie im Feld "Informationen zum Signierschlüssel" eine Referenz auf die Informationen
für den Signierschlüssel aus. Dieser Wert verweist auf den Signierschlüssel, den
Application Server für die Generierung digitaler Signaturen verwendet.
In den Bindungsdateien werden diese Informationen im Tag
<signingKeyInfo> angegeben. Der für die Signatur verwendete Schlüssel wird mit dem Element für die Schlüsseldaten
angegeben, das auf derselben Ebene wie die Signaturdaten definiert wird.
Weitere Informationen
finden Sie im Artikel Schlüsseldaten für die Generatorbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren.
- Klicken Sie auf OK, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Signaturdaten. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
- Geben Sie die Referenzen auf Nachrichtenabschnitte, den Algorithmus für die Digest-Methode und den Umsetzungsalgorithmus an. Die Abschnittsreferenzen geben an, welche Abschnitte der Nachricht digital signiert werden.
- Klicken Sie unter "Weitere Eigenschaften" auf ,
um eine neue Abschnittsreferenz zu erstellen. Klicken Sie auf
, um eine vorhandene Abschnittsreferenz zu löschen. Klicken
Sie auf einen Abschnittsnamen, um eine vorhandene Abschnittsreferenz zu bearbeiten.
- Geben Sie für den zu signierenden Nachrichtenabschnitt einen eindeutigen Namen an. Dieser Nachrichtenabschnitt wird auf Server- und Clientseite angegeben. Der Name des Nachrichtenabschnitts muss auf der Server- und der Clientseite identisch sein. Beispielsweise
können Sie den Namen reqint sowohl für den Generator als auch den Konsumenten angeben.
Wichtig: Sie müssen
für die Referenz auf Nachrichtenabschnitte in den Standardbindungen keinen Wert angeben, wie dies der Fall auf Anwendungsebene ist, da die Referenz auf Nachrichtenabschnitte auf der Anwendungsebene auf einen bestimmten Teil der Nachricht, die signiert wird, verweist.
Sie können diesen Wert nicht angeben, da die Standardbindungen auf der Server- und Zellenebene für alle auf einem bestimmten Server definierten Services gültig sind.
- Wählen Sie im Feld Algorithmus für Digest-Methode einen Algorithmus für die Digest-Methode aus. Der in den Bindungsdateien im Element <DigestMethod> angegebene Algorithmus für die Digest-Methode
wird im Element <SigningInfo> verwendet.
WebSphere Application Server unterstützt die folgenden Algorithmen:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Referenz auf Nachrichtenabschnitte. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
- Klicken Sie unter "Weitere Eigenschaften" auf
, um eine neue Umsetzung zu erstellen. Klicken Sie auf
, um eine Umsetzung zu löschen. Klicken Sie auf einen Umsetzungsnamen, um eine vorhandene Umsetzung
zu bearbeiten. Geben Sie bei der Erstellung einer neuen Umsetzung einen eindeutigen Namen an. Beispielsweise können Sie den Namen
reqint_body_transform1 angeben.
- Wählen Sie aus dem Menü einen Umsetzungsalgorithmus aus. Der Umsetzungsalgorithmus wird im Element <Transform> angegeben. Dieses Element gibt den Umsetzungsalgorithmus für die digitale Signatur an. WebSphere Application Server unterstützt die folgenden Algorithmen:
Der Umsetzungsalgorithmus, den Sie für den Generator angeben, muss mit dem Umsetzungsalgorithmus für den Konsumenten übereinstimmen.
Wichtig: Wenn die beiden nachfolgend genannten Bedingungen zutreffen, signiert
WebSphere Application Server das referenzierte Token:
- Sie haben bereits in der Anzeige "Signaturdaten" die Option Keyinfo oder Keyinfochildelements
im Feld "Signaturtyp für Schlüsseldaten" ausgewählt.
- Als Umsetzungsalgorithmus haben Sie die folgende URL ausgewählt:
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
- Klicken Sie auf Anwenden.
- Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Ergebnisse
Sobald Sie diese Schritte durchgeführt haben, ist die Konfiguration der Signaturdaten für den Generator
auf Server
- oder Zellenebene abgeschlossen.
Nächste Schritte
Sie müssen analog eine Konfiguration für die Signaturdaten für den Konsumenten erstellen.