Standardbeispielkonfigurationen für JAX-RPC

Zu Testzwecken können Sie in der Administrationskonsole Beispielkonfigurationen verwenden. Die Konfigurationen, die Sie festlegen, werden auf der Zellen- oder Serverebene reflektiert.

In diesem Artikel werden die Beispielstandardbindungen, Keystores, Key-Locator, Zertifikatssammelspeicher, Trust-Anchor und Trusted-ID-Evaluator für WebSphere Application Server mit der API für das Programmiermodell JAX-RPC beschrieben. Sie können Web-Services mit dem Programmiermodell Java™ API for XML-based RPC (JAX-RPC) oder für WebSphere Application Server ab Version 7 mit dem Programmiermodell Java API for XML-Based Web Services (JAX-WS) entwickeln. Die Beispiele für die Standardbindungen, Keystores, Key-Locator, Zertifikatssammelspeicher, Trust-Anchor und Trusted-ID-Evaluator können je nach verwendetem Programmiermodell unterschiedlich sein.

Bewährte Verfahren: IBM® WebSphere Application Server unterstützt das Programmiermodell Java API for XML-Based Web Services (JAX-WS) und das Programmiermodell Java API for XML-based RPC (JAX-RPC). JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation, das die vom Programmiermodell JAX-RPC bereitgestellte Grundlage erweitert. Durch die Verwendung des strategischen Programmiermodells JAX-WS, das ein auf Standards basierendes Annotationsmodell unterstützt, vereinfacht sich die Entwicklung von Web-Services und -Clients. Obwohl das Programmiermodell JAX-RPC und JAX-RPC-Anwendungen weiterhin unterstützt werden, sollten Sie das einfach zu implementierende Programmiermodell JAX-WS für die Entwicklung neuer Web-Service-Anwendungen und -Clients nutzen.

Verwenden Sie diese Konfigurationen nicht in einer Produktionsumgebung, weil sie lediglich als Beispiel und zu Testzwecken dienen. Wenn Sie Änderungen an diesen Beispielkonfigurationen vornehmen möchten, wird empfohlen, die von WebSphere Application Server bereitgestellte Administrationskonsole zu verwenden.

Für eine Anwendung mit aktivierter Web Services Security müssen Sie einen Implementierungsdeskriptor und eine Bindung ordnungsgemäß konfigurieren. In WebSphere Application Server verwenden die Anwendungen zur Vereinfachung der Anwendungsimplementierung einen gemeinsamen Satz allgemeiner Standardbindungen. Die Standardbindungsinformationen für die Zellenebene und die Serverebene werden von den auf der Anwendungsebene festgelegten Bindungsinformationen außer Kraft gesetzt. Der Anwendungsserver sucht die Bindungsinformationen für die Anwendung zunächst auf der Anwendungsebene, bevor er auf der Serverebene und dann auf der Zellenebene nach diesen Informationen sucht.

Die folgenden Beispielkonfigurationen beziehen sich auf WebSphere Application Server mit der API für das Programmiermodell JAX-RPC.

Standardgeneratorbindungen

WebSphere Application Server stellt einen Beispielsatz mit Standardgeneratorbindungen bereit. Standardgeneratorbindungen enthalten sowohl die Signaturdaten als auch die Verschlüsselungsinformationen.

Die Konfiguration der Beispielsignaturdaten hat den Namen gen_signinfo und folgende Merkmale:
  • Verwendet die folgenden Algorithmen für die Konfiguration von gen_signinfo:
    • Signaturmethode: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode: http://www.w3.org/2001/10/xml-exc-c14n#
  • Referenziert die Signierschlüsseldaten von gen_signkeyinfo. Die folgenden Angaben betreffen die Konfiguration von gen_signkeyinfo:
    • Enthält eine Teilereferenzkonfiguration mit dem Namen gen_signpart. Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten gelten für alle Integrity- oder Required-Integrity-Elemente innerhalb der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet. Die folgenden Angaben gelten für die gen_signpart-Konfiguration:
      • Verwendet die Umsetzungskonfiguration mit dem Namen transform1. Die folgenden Umsetzungen sind für die Standardsignaturdaten konfiguriert:
        • Verwendet den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#.
        • Verwendet die Digest-Methode http://www.w3.org/2000/09/xmldsig#sha1.
    • Verwendet die Sicherheitstokenreferenz, bei der es sich um die konfigurierten Standardschlüsseldaten handelt.
    • Verwendet den Key-Locator SampleGeneratorSignatureKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
    • Verwendet den Tokengenerator gen_signtgen, der die folgende Konfiguration enthält:
      • Enthält den X.509-Tokengenerator, der das X.509-Token des Unterzeichners generiert.
      • Enthält den URI für den Werttyp gen_signtgen_vtype.
      • Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks auf.
      • Das Keystore-Kennwort ist client.
      • Der Aliasname des anerkannten Zertifikats ist soapca.
      • Der Aliasname des persönlichen Zertifikats ist soaprequester.
      • Der Schlüsselkennwortclient wird von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt, die wiederum von soapca ausgestellt wird.
Die Konfiguration der Beispielverschlüsselungsinformationen hat den Namen gen_encinfo und folgende Merkmale:
  • Verwendet die folgenden Algorithmen für die Konfiguration von gen_encinfo:
    • Verschlüsselungsverfahren für Daten: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • Verschlüsselungsverfahren für Schlüssel: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Referenziert die Informationen zum Chiffrierschlüssel gen_enckeyinfo. Die folgenden Angaben gelten für die gen_enckeyinfo-Konfiguration:
    • Verwendet die Schlüsselkennung als Standardschlüsseldaten.
    • Enthält eine Referenz auf den Key-Locator SampleGeneratorEncryptionKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
    • Verwendet den Tokengenerator gen_signtgen, der folgende Konfiguration enthält:
      • Enthält den X.509-Tokengenerator, der das X.509-Token des Unterzeichners generiert.
      • Enthält den URI für den Werttyp gen_enctgen_vtype.
      • Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks auf.
      • Das Keystore-Kennwort ist storepass.
      • Der geheime Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
      • Der öffentliche Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
      • Der private Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.

Standardkonsumentenbindung

WebSphere Application Server stellt einen Beispielsatz mit Standardkonsumentenbindungen bereit. Standardkonsumentenbindungen enthalten sowohl die Signaturdaten als auch die Verschlüsselungsinformationen.

Die Konfiguration der Beispielsignaturdaten hat den Namen con_signinfo und folgende Merkmale:
  • Verwendet die folgenden Algorithmen für die Konfiguration von con_signinfo:
    • Signaturmethode: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Kanonisierungsmethode: http://www.w3.org/2001/10/xml-exc-c14n#
  • Verwendet die Referenz auf die Signierschlüsseldaten mit dem Namen con_signkeyinfo. Die folgenden Angaben gelten für die con_signkeyinfo-Konfiguration:
    • Enthält eine Teilereferenzkonfiguration mit dem Namen con_signpart. Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten gelten für alle Integrity- oder RequiredIntegrity-Elemente innerhalb der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet. Die folgenden Angaben gelten für die con_signpart-Konfiguration:
      • Verwendet die Umsetzungskonfiguration mit dem Namen reqint_body_transform1. Die folgenden Umsetzungen sind für die Standardsignaturdaten konfiguriert:
        • Verwendet den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#.
        • Verwendet die Digest-Methode http://www.w3.org/2000/09/xmldsig#sha1.
    • Verwendet die Sicherheitstokenreferenz, bei der es sich um die konfigurierten Standardschlüsseldaten handelt.
    • Verwendet den Key-Locator SampleX509TokenKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
    • Referenziert die Tokenkonsumentenkonfiguration con_signtcon. Die folgenden Angaben gelten für die con_signtcon-Konfiguration:
      • Verwendet den X.509-Tokenkonsumenten, der als Konsument für die Standardsignaturdaten konfiguriert ist.
      • Enthält den URI für den Werttyp signtconsumer_vtype.
      • Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Enthält eine JAAS-Konfiguration mit dem Namen system.wssecurity.X509BST, die die folgenden Informationen referenziert:
      • Trust-Anchor: SampleClientTrustAnchor
      • Zertifikatssammelspeicher: SampleCollectionCertStore
Die Konfiguration der Verschlüsselungsinformationen hat den Namen con_encinfo und folgende Merkmale:
  • Verwendet die folgenden Algorithmen für die Konfiguration von con_encinfo:
    • Verschlüsselungsverfahren für Daten: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • Verschlüsselungsverfahren für Schlüssel: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Referenziert die Informationen zum Chiffrierschlüssel con_enckeyinfo. Mit diesem Schlüssel wird die Nachricht tatsächlich entschlüsselt. Die folgenden Angaben gelten für die con_enckeyinfo-Konfiguration:
    • Verwendet die Schlüsselkennung, die für die Standardverschlüsselungsinformationen konfiguriert ist.
    • Enthält eine Referenz auf den Key-Locator SampleConsumerEncryptionKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
    • Referenziert die Tokenkonsumentenkonfiguration con_enctcon. Die folgenden Angaben gelten für die con_enctcon-Konfiguration:
      • Verwendet den X.509-Tokenkonsumenten, der für die Standardverschlüsselungsinformationen konfiguriert ist.
      • Enthält den URI für den Werttyp enctconsumer_vtype.
      • Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Enthält eine JAAS-Konfiguration mit dem Namen system.wssecurity.X509BST.

Beispielkonfigurationen für Keystores

[Windows]WebSphere Application Server stellt die folgenden Keystores bereit. Sie können mit diesen Keystores außerhalb des Anwendungsservers arbeiten, indem Sie das Dienstprogramm iKeyman oder das Key Tool (Schlüsseltool) verwenden.
[AIX HP-UX Solaris][Linux]WebSphere Application Server stellt die folgenden Keystores bereit. Sie können mit diesen Keystores außerhalb des Anwendungsservers arbeiten, indem Sie das Dienstprogramm iKeyman oder das Key Tool (Schlüsseltool) verwenden.

Folgende Beispiel-Keystores sind nur für Testzwecke vorgesehen. Verwenden Sie diese Keystores nicht in einer Produktionsumgebung:

  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • Das Keystore-Format ist JKS.
    • Das Keystore-Kennwort ist client.
    • Das anerkannte Zertifikat hat den Aliasnamen soapca.
    • Das persönliche Zertifikat mit dem Aliasnamen soaprequester und dem Schlüsselkennwort client, das von der zwischengeschalteten Zertifizierungsstelle (Certificate Authority, CA) Int CA2 ausgestellt wurde, die wiederum ihr Zertifikat von der Zertifizierungsstelle soapca erhielt.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • Das Keystore-Format ist JKS.
    • Das Keystore-Kennwort ist server.
    • Das anerkannte Zertifikat hat den Aliasnamen soapca.
    • Das persönliche Zertifikat mit dem Aliasnamen soapprovider und dem Schlüsselkennwort server, das von der zwischengeschalteten Zertifizierungsstelle (Certificate Authority, CA) Int CA2 ausgestellt wurde, die wiederum ihr Zertifikat von der Zertifizierungsstelle soapca erhielt.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • Das Keystore-Format ist JCEKS.
    • Das Keystore-Kennwort ist storepass.
    • Der geheime DES-Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
    • Der öffentliche Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
    • Der private Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • Das Keystore-Format ist JCEKS.
    • Das Keystore-Kennwort ist storepass.
    • Der geheime DES-Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
    • Der private Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
    • Der öffentliche Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • Das Zwischenzertifikat wurde von soapca signiert und es signiert sowohl soaprequester als auch soapprovider.

Beispiel-Key-Locator

Key-Locator werden zum Lokalisieren des Schlüssels für die digitale Signatur, die Verschlüsselung und die Entschlüsselung verwendet. Nähere Informationen zum Ändern dieser Beispiele für Key-Locator-Konfigurationen finden Sie in den folgenden Artikeln:
SampleClientSignerKey
Mit diesem Key-Locator signiert der Anforderungsabsender die SOAP-Nachricht für eine Anwendung der Version 5.x. Der Name des Signierschlüssels ist clientsignerkey, und er wird in den Signaturdaten referenziert.
SampleServerSignerKey
Mit diesem Key-Locator signiert ein Antwortsender die SOAP-Nachricht für eine Anwendung der Version 5.x. Der Name des Signaturschlüssels ist serversignerkey, und er kann in den Signaturdaten referenziert werden.
SampleSenderEncryptionKeyLocator
Mit diesem Key-Locator verschlüsselt der Sender die SOAP-Nachricht für eine Anwendung der Version 5.x. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator verwendet. Die Implementierung ist für den geheimen DES-Schlüssel konfiguriert. Um asymmetrische Verschlüsselung (RSA) zu verwenden, müssen Sie die geeigneten RSA-Schlüssel hinzufügen.
SampleReceiverEncryptionKeyLocator
Mit diesem Key-Locator entschlüsselt der Empfänger eine verschlüsselte SOAP-Nachricht für eine Anwendung der Version 5.x. Die Implementierung ist so konfiguriert, dass der Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und der Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator verwendet werden. Außerdem ist symmetrische Verschlüsselung (DES oder TRIPLEDES) konfiguriert. Zur Verwendung der asymmetrischen Verschlüsselung (RSA) müssen Sie den privaten Schlüssel CN=Bob, O=IBM, C=US, den Aliasnamen bob und das Schlüsselkennwort keypass hinzufügen.
SampleResponseSenderEncryptionKeyLocator
Mit diesem Key-Locator verschlüsselt der Antwortsender die SOAP-Antwortnachricht für eine Anwendung der Version 5.x. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator verwendet. Dieser Key-Locator ordnet eine authentifizierte Identität (des aktuellen Thread) für Verschlüsselung einem öffentlichen Schlüssel zu. Standardmäßig ist WebSphere Application Server so konfiguriert, dass die Identität dem öffentlichen Schlüssel alice zugeordnet wird, und Sie müssen WebSphere Application Server auf den richtigen Benutzer einstellen. Der Key-Locator SampleResponseSenderEncryptionKeyLocator kann auch einen Standardschlüssel für die Verschlüsselung festlegen. Standardmäßig ist dieser Key-Locator so konfiguriert, dass er den öffentlichen Schlüssel alice verwendet.
SampleGeneratorSignatureKeyStoreKeyLocator
Mit diesem Key-Locator signiert der Generator die SOAP-Nachricht. Der Name des Signierschlüssels ist SOAPRequester, und er wird in den Signaturdaten referenziert. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
SampleConsumerSignatureKeyStoreKeyLocator
Mit diesem Key-Locator verifiziert der Konsument die digitale Signatur in der SOAP-Nachricht. Der Signierschlüssel ist SOAPProvider und wird in den Signaturdaten referenziert. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
SampleGeneratorEncryptionKeyStoreKeyLocator
Mit diesem Key-Locator verschlüsselt der Generator die SOAP-Nachricht. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
SampleConsumerEncryptionKeyStoreKeyLocator
Mit diesem Key-Locator entschlüsselt der Konsument eine verschlüsselte SOAP-Nachricht. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
SampleX509TokenKeyLocator
Mit diesem Key-Locator verifiziert der Konsument ein digitales Zertifikat in einem X.509-Zertifikat. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.

Beispiel eines Zertifikatssammelspeichers

Mit Zertifikatssammelspeichern wird der Zertifikatspfad validiert. Nähere Informationen zum Ändern dieses Beispiels eines Zertifikatssammelspeichers finden Sie in den folgenden Artikeln:
SampleCollectionCertStore
Dieser Zertifikatssammelspeicher wird von dem Antwortkonsumenten und dem Anforderungsgenerator verwendet, um den Zertifikatspfad des Unterzeichners zu validieren.

Beispiel-Trust-Anchor

Trust-Anchor werden verwendet, um die Vertrauenswürdigkeit (Trust) des Ausstellerzertifikats zu validieren. Nähere Informationen zum Ändern dieser Beispiele für Trust-Anchor-Konfigurationen finden Sie in den folgenden Artikeln:
SampleClientTrustAnchor
Dieser Trust-Anchor wird vom Antwortkonsumenten zum Validieren des Ausstellerzertifikats verwendet. Dieser Trust-Anchor ist für den Zugriff auf den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks konfiguriert.
SampleServerTrustAnchor
Dieser Trust-Anchor wird vom Anforderungskonsumenten zum Validieren des Ausstellerzertifikats verwendet. Dieser Trust-Anchor ist für den Zugriff auf den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks konfiguriert.

Beispiel eines Trusted-ID-Evaluator

Trusted-ID-Evaluator werden verwendet, um eine Vertrauensbasis zu schaffen, bevor die Identität zugesichert wird. Nähere Informationen zum Ändern dieser Beispielkonfiguration eines Trusted-ID-Evaluator finden Sie im Artikel Trusted-ID-Evaluator auf Server- oder Zellenebene konfigurieren.
SampleTrustedIDEvaluator
Dieser Trusted-ID-Evaluator verwendet die Implementierung com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. Die Standardimplementierung com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator enthält eine Liste der vertrauenswürdigen Identitäten. Diese Liste, die für die Zusicherung der Identität (IDAssertion) verwendet wird, definiert Schlüsselname/Wert-Paar für die vertrauenswürdige Identität. Der Schlüsselname hat das Format trustedId_*, und der Wert ist die vertrauenswürdige Identität. Nähere Informationen finden Sie in dem Beispiel im Artikel Trusted-ID-Evaluator auf Server- oder Zellenebene konfigurieren.
Führen Sie die folgenden Schritte aus, um diese Informationen mit der Administrationskonsole für die Zellenebene zu definieren:
  1. Klicken Sie auf Sicherheit > Web-Services.
  2. Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluators > SampleTrustedIDEvaluator.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxrpc
Dateiname:cwbs_defaultconfigjaxrpc.html