Server für Entschlüsselung der Anforderungen konfigurieren: Entschlüsselungsmethode auswählen

Sie können ein Assembliertool oder die Administrationskonsole verwenden, um die Erweiterungen und Bindungen für Web Services Security zu konfigurieren.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten Sie die folgenden Artikel lesen, um sich mit den Konfigurationsregisterkarten WS-Erweiterung und WS-Binding vertraut zu machen:

Auf diesen beiden Registerkarten werden die Sicherheitserweiterungen bzw. die Sicherheitsbindungen für Web Services konfiguriert.

Informationen zu diesem Vorgang

Mit dieser Task legen Sie die Entschlüsselungsmethode fest, die der Server zum Entschlüsseln der Anforderungsnachricht verwenden soll. Dazu müssen Sie wissen, welche Entschlüsselungsmethode der Client verwendet, weil der Server dieselbe Methode verwenden muss.

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™-EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > J2EE.
  3. Klicken Sie auf EJB-Projekte > Anwendungsname > ejbModule > META_INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und wählen Sie anschließend Öffnen mit > Web-Service-Editor aus.
  5. Klicken Sie auf das Register Bindungskonfigurationen unten im Web-Service-Editor des Assembliertools.
  6. Erweitern Sie den Abschnitt Konfigurationsdetails zur Anforderungsempfängerbindung > Verschlüsselungsinformationen.
  7. Klicken Sie auf Bearbeiten, um die Verschlüsselungsdaten anzuzeigen. Die folgende Tabelle beschreibt den Zweck der einzelnen Auswahlmöglichkeiten. Einige Definitionen stammen aus der Spezifikation XML-Encryption, die Sie unter der folgenden Adresse finden: http://www.w3.org/TR/xmlenc-core
    Verschlüsselungsname
    Der Verschlüsselungsname ist der Name des Informationseintrags für diese Verschlüsselung; Es ist der Aliasname für den Eintrag.
    Algorithmus der Datenverschlüsselungsmethode
    Ver- und entschlüsseln Daten fester Größe in mehreren Oktettblöcken. Dieser Algorithmus muss mit dem Algorithmus, der in der Konfiguration des Senders der Clientanforderung ausgewählt wurde, identisch sein.
    Algorithmus der Schlüsselverschlüsselungsmethoden
    In diesem Feld wird der Algorithmus für die Verschlüsselungs- und Entschlüsselungsschlüssel angegeben. Dieser Algorithmus muss mit dem Algorithmus, der in der Konfiguration des Senders der Clientanforderung ausgewählt wurde, identisch sein.
    Name des Chiffrierschlüssels
    Der Name des Chiffrierschlüssels ist ein Subject aus einem persönlichen Zertifikat, in der Regel ein definierter Name (DN), der vom Key-Locator für Verschlüsselung ermittelt wird. Das Subject wird vom Methodenalgorithmus für Chiffrierschlüssel zum Entschlüsseln des geheimen Schlüssels verwendet. Mit dem geheimen Schlüssel werden die Daten entschlüsselt.

    Der ausgewählte Schlüssel muss ein privater Schlüssel in dem vom Key-Locator konfigurierten Keystore sein. Der Schlüssel erfordert dasselbe Subject, das vom Client zum Verschlüsseln der Daten verwendet wird. Die Verschlüsselung muss mit dem öffentlichen Schlüssel und die Entschlüsselung mit dem privaten Schlüssel (persönliches Zertifikat) vorgenommen werden. Um sicherzustellen, dass der Client die Daten mit dem richtigen öffentlichen oder privaten Schlüssel verschlüsselt, müssen Sie den öffentlichen Schlüssel aus dem Server-Keystore extrahieren und dem Keystore hinzufügen, der in der Verschlüsselungskonfiguration für den Sender der Clientanforderung angegeben ist.

    Beispiel für das persönliche Zertifikat eines Servers: CN=Bob, O=IBM, C=US. Deshalb besitzt der Server das Paar aus öffentlichem und privatem Schlüssel. Der Client, der die Anforderung sendet, muss die Daten mit dem öffentlichen Schlüssel für CN=Bob, O=IBM, C=US verschlüsseln. Der Server entschlüsselt die Daten mit dem privaten Schlüssel für CN=Bob, O=IBM, C=US verschlüsseln.

    Key-Locator für Verschlüsselung
    Der Key-Locator für Signatur verweist auf die Implementierungsklasse, die den richtigen Keystore sucht, in dem Aliasname und Zertifikat enthalten sind. Weitere Informationen zur Key-Locator-Konfiguration finden Sie in den Artikeln Key-Locator mit einem Assembliertool konfigurieren und Key-Locator mit der Administrationskonsole konfigurieren.
  8. Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus, wenn in den Dropdown-Listen "Algorithmus der Datenverschlüsselungsmethode" und "Algorithmus der Chiffrierschlüsselmethode" nur FIPS-konforme Algorithmen angezeigt werden sollen. Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere Application Server eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" der WebSphere Application Server-Administrationskonsole ausgewählt ist.

Ergebnisse

Bei der Entschlüsselung ist unbedingt zu beachten, dass der Name des Chiffrierschlüssels auf ein persönliches Zertifikat verweisen muss, das vom Key-Locator des Servers, der in den Verschlüsselungsdaten angegeben ist, gefunden werden kann. Geben Sie hier das Subject des persönlichen Zertifikats ein, normalerweise handelt es sich dabei um einen DN (Distinguished Name). Das Subject verwendet den Standard-Key-Locator, um den Schlüssel zu suchen. Wenn Sie einen eigenen Key-Locator schreiben, können Sie jeden Chiffrierschlüsselnamen verwenden, mit dem der Key-Locator in der Lage ist, den richtigen Chiffrierschlüssel zu finden. Der Key-Locator für Verschlüsselung verweist auf die Implementierungsklasse, die den richtigen Keystore findet, in dem Aliasname und Zertifikat enthalten sind. Weitere Informationen finden Sie in den Artikel Key-Locator mit einem Assembliertool konfigurieren und Key-Locator mit der Administrationskonsole konfigurieren.

Nächste Schritte

Sie müssen die Teile der Anforderungsnachricht angeben, die entschlüsselt werden sollen. Lesen Sie den Artikel Server für Entschlüsselung von Anforderungen konfigurieren: Nachrichtenabschnitte entschlüsseln, falls Sie diese Informationen noch nicht angegeben haben.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdecryptmeth
Dateiname:twbs_confsvrreqdecryptmeth.html