Sie können die Überprüfung digitaler Signaturen in Anforderungen für den Server konfigurieren,
indem Sie in den Erweiterungen die Teile der Anforderung angeben, die geprüft werden sollen.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Lesen Sie vor der Ausführung dieser Schritte einen der folgenden Artikel, um sich mit den Einstellungen
auf der Registerkarten
Erweiterungen und
Binding-Konfigurationen des Web-Services-Editors eines Assembliertools vertraut zu machen:
Auf diesen beiden Registerkarten werden die
Erweiterungen bzw. Bindungen von Web Services Security konfiguriert. Außerdem müssen Sie angeben,
welche Abschnitte der vom Client gesendeten Nachricht digital signiert
werden müssen. Informationen zum Festlegen der digital zu signierenden
Nachrichtenabschnitte finden Sie im Artikel
Client für Signatur der Anforderungen konfigurieren: Nachrichtenabschnitte digital unterzeichnen. Die
Nachrichtenabschnitte, die für den Sender der Clientanforderung angegeben wurden,
müssen mit den Nachrichtenabschnitten, die für den Empfänger der Serveranforderung
angegeben wurden,
übereinstimmen.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um den Server für die Überprüfung der
digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird beschrieben,
wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche Abschnitte der
Anforderung überprüft werden sollen.
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die
Java™-EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend
auf .
- Klicken Sie im Web-Services-Editor auf das Register "Erweiterungen".
- Erweitern Sie den Abschnitt . Die erforderliche Integrität
bezieht sich auf die Abschnitte der Nachricht, deren digitale Signatur
überprüft werden muss. Die Überprüfung der digitalen Signatur soll sicherstellen, dass
die Nachrichtenabschnitte während der Übertragung im Internet nicht geändert wurden.
- Geben Sie die zu prüfenden Abschnitte der Nachricht an, indem Sie auf
Hinzufügen klicken und einen der folgenden drei Abschnitte auswählen:
body, Timestamp oder
SecurityToken. Sie können anhand der Konfiguration des
Senders der Web-Service-Anforderung in der Clientanwendung festlegen,
welche Abschnitte der Nachricht überprüft werden sollen. Wenn Sie die
Konfigurationsdaten des Senders der Web-Service-Anforderung im Editor für Web-Service-Clients anzeigen möchten,
klicken Sie auf das Register "Sicherheitserweiterungen", und erweitern Sie den Abschnitt
. Die folgende Liste enthält Beschreibungen der Nachrichtenabschnitte:
- Body
- Der Teil der Nachricht, der die Benutzerdaten enthält.
- Timestamp
- Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn
Timestamp ausgewählt ist, fahren Sie mit dem nächsten
Schritt fort, um der Nachricht die erstellte Zeitmarke hinzuzufügen.
- SecurityToken
- Das Sicherheitstoken authentifiziert den Client. Wenn
SecurityToken ausgewählt ist, wird die Nachricht signiert.
- Optional: Erweitern Sie den Abschnitt Empfangene Zeitmarke hinzufügen. Der Wert für "Empfangene Zeitmarke hinzufügen"
zeigt an, dass der vom Client konfigurierte
Wert für "Erstellte Zeitmarke hinzufügen" validiert werden soll.
Sie müssen diese Option
auswählen, wenn Sie auf dem Client "Erstellte Zeitmarke hinzufügen" ausgewählt haben. Die
Zeitmarke stellt die Nachrichtenintegrität sicher, indem Sie die Aktualität der
Anforderung anzeigt. Diese Option hilft, Angriffe durch Nachrichtenaufzeichnung und -wiederholung abzuwehren.
Ergebnisse
Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers
richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler
Soap body not
signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise
den Actor konfigurieren. Sie können den Actor an den folgenden Positionen konfigurieren:
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld Actor-URI an.
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld Actor an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der
die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Konfigurieren Sie den Actor an den folgenden Stellen:
- Klicken Sie auf .
- Klicken Sie auf ,
und geben Sie die Actor-Informationen im Feld Actor an.
Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe
Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird
die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server
weitergeleitet.
Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen
anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und
Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht
derselbe Actor
konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird,
verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden
diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess,
der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung.
Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob
die Actor-Felder des Clients und des Servers synchronisiert sind.
Sie haben
angegeben, welche Nachrichtenabschnitte digital signiert sind und vom Server überprüft
werden müssen, wenn der Client eine Nachricht an den Server sendet.
Nächste Schritte
Wenn Sie angegeben haben, welche Nachrichtenabschnitte eine vom Server zu
überprüfende digitale Signatur enthalten, müssen Sie den Server so konfigurieren,
dass er die Methode für die digitale Signatur erkennt, die verwendet wird, um die
Nachricht digital zu signieren. Weitere Informationen finden Sie im Artikel
Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Prüfmethode auswählen.