Mit JAX-RPC Tokengeneratoren zum Schutz der Nachrichtenauthentizität auf Anwendungsebene konfigurieren
Wenn Sie die Tokengeneratoren auf Anwendungsebene definieren, werden diese Informationen auf Generatorseite zum Generieren des Sicherheitstoken verwendet.
Vorbereitende Schritte
Machen Sie sich bewusst, dass die Keystore- und Aliasinformationen, die Sie für den Generator angeben, sowie die Keystore- und Aliasinformationen, die Sie für den Konsumenten angeben, für verschiedene Zwecke verwendet werden. Der Hauptunterschied liegt beim Alias für einen X.509-Callback-Handler.
Wenn diese Information zusammen mit einem Verschlüsselungsgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den öffentlichen Schlüssel für die Verschlüsselung der Nachricht abzurufen. Ein Kennwort ist nicht erforderlich. Der Alias, der für einen Callback-Handler angegeben wird, der einem Verschlüsselungsgenerator zugeordnet ist, muss ohne Kennwort zugänglich sein. Das bedeutet, dass der Alias keine zugehörigen privaten Schlüsseldaten im Keystore haben darf. Wenn diese Information zusammen mit einem Signaturgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den privaten Schlüssel für die Unterzeichnung der Nachricht abzurufen. Es ist ein Kennwort erforderlich.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um den Tokengenerator auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige "Tokengenerator" aus.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Web-Services-Security-Eigenschaften" können Sie auf die Tokengenerator für die folgenden Bindungen zugreifen:
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator.
- Klicken Sie auf Neu, um eine Tokengeneratorkonfiguration zu erstellen, oder wählen Sie eine vorhandene Konfiguration aus. Klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Tokengeneratorkonfiguration, um ihre Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Tokengenerators einen eindeutigen Namen ein. Beispielsweise können Sie den Namen gen_signtgen angeben.
- Geben Sie im Feld Klassenname für Tokengenerator einen Klassennamen ein. Die Klasse des Tokengenerators muss die Schnittstelle "com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent" implementieren. Der Klassenname des Tokengenerators für den Anforderungsgenerator und Antwortgenerator muss ähnlich wie der Klassenname des Tokenkonsumenten für den Anforderungskonsumenten und den Antwortkonsumenten sein. Wenn Ihre Anwendung beispielsweise einen Konsumenten für Benutzernamenstoken erfordert, können Sie in der Anzeige "Tokenkonsument" auf Anwendungsebene den Klassennamen com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer und den Klassennamen "com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator" in diesem Feld eingeben.
- Optional: Wählen Sie im Feld Referenz auf Nachrichtenabschnitt
eine Referenz aus. Die Referenz gibt den Namen des Sicherheitstokens an, das im Implementierungsdeskriptor definiert ist.
Wichtig: Wenn Sie auf Anwendungsebene in Ihrem Implementierungsdeskriptor kein Sicherheitstoken angeben, wird das Feld Abschnittsreferenz nicht angezeigt. Sollte in Ihrem Implementierungsdeskriptor ein Sicherheitstoken mit dem Namen user_tgen definiert sein, wird user_tgen als Option im Feld Abschnittsreferenz angezeigt. Sie können im Implementierungsdeskriptor ein Sicherheitstoken angeben, wenn Sie Ihre Anwendung mit einem Assembliertool assemblieren.
- Wählen Sie für den Zertifikatspfad entweder Ohne oder Dedizierte Signaturdaten aus. Wählen Sie Ohne aus, wenn der Tokengenerator den Tokentyp PKCS#7 nicht verwendet wird. Wenn der Tokengenerator für den Tokentyp PKCS#7 bestimmt ist und Sie Zertifikatswiderruflisten
(Certificate Revocation Lists, CRL) in das Sicherheitstoken aufnehmen möchten, wählen Sie Dedizierte Signaturdaten aus und geben Sie einen
Zertifikatsspeicher an. Führen Sie die folgenden Schritte aus, um einen
Zertifikatssammelspeicher und Zertifikatswiderruflisten für die Generatorbindungen auf Anwendungsebene zu konfigurieren:
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Zugehörige Elemente" auf EJB-Module bzw. Webmodule > URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Konfiguration des
Zertifikatssammelspeichers für die folgenden Bindungen zugreifen:
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
Sehen Sie sich auch die Informationen zum Konfigurieren eines Zertifikatssammelspeichers an.
- Optional: Wählen Sie die Option Nonce hinzufügen aus. Mit dieser Option können Sie angeben, ob ein Nonce in das Benutzernamenstoken für den Tokengenerator aufgenommen wird. "Nonce" ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hacker-Attacken auf
Benutzernamenstoken zu verhindern.
Die Option Nonce hinzufügen ist nur gültig, wenn der generierte Tokentyp ein Benutzernamenstoken
und nur für die Anforderungsgeneratorbindung verfügbar ist.Bei Auswahl der Option Nonce hinzufügen können Sie unter "Weitere Eigenschaften" die folgenden Eigenschaften auswählen. Diese Eigenschaften werden von Anforderungskonsumenten verwendet.
Tabelle 1. Weitere Nonce-Eigenschaften. Verwenden Sie die Nonce-Eigenschaften, um einen Nonce in das Benutzernamenstoken einzufügen. Eigenschaftsname Standardwert Erläuterung com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout 600 Sekunden Das Zeitlimit (in Sekunden) für den auf dem Server zwischengespeicherten Nonce-Wert. com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew 0 Sekunden Verfallsdatum für Nonce-Zeitmarke. com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge 300 Sekunden Gibt die zeitliche Abweichung an, die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird. Sie können auf Zellen- und Serverebene weitere Eigenschaften für einen Nonce in der Administrationskonsole auf der Seite mit den Standardbindungen für Web Services Security angeben.- Klicken Sie auf Zellenebene auf Sicherheit > Web-Services.
- Klicken Sie auf Serverebene auf
Server > Servertypen > WebSphere-Anwendungsserver > Servername. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Optional: Wählen Sie die Option Zeitmarke hinzufügen aus. Diese Option gibt an, ob eine Zeitmarke im Benutzernamenstoken eingefügt wird. Die Option Zeitmarke hinzufügen ist nur gültig, wenn der generierte Tokentyp ein Benutzernamenstoken (UsernameToken) und nur für die Anforderungsgeneratorbindung verfügbar ist.
- Geben Sie im Feld Lokaler Name den lokalen Namen des Wertetyps an. Für die Sicherheitstoken des
Typs "Benutzernamenstoken" und "X.509-Zertifikat" stellt WebSphere
Application Server vordefinierte lokale Namen für Wertetypen bereit. Wenn Sie einen der folgenden lokalen
Namen angeben, müssen Sie keinen URI für den Wertetyp angeben:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- Dieser lokale Name gibt ein Benutzernamenstoken an.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Dieser lokale Name gibt ein Token mit X.509-Zertifikat an.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Dieser lokale Name gibt X.509-Zertifikate in einem PKI-Pfad (Public Key Infrastructure) an.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Dieser lokale Name gibt eine Liste mit X.509-Zertifikaten und Zertifikatswiderruflisten im PKCS#7-Format an.
Geben Sie LTPA als lokalen Namen für den Wertetyp und http://www.ibm.com/websphere/appserver/tokentype/5.0.2 als Wertetyp für URI (Uniform Resource Identifier) an. Für die Weitergabe von LTPA-Token können Sie LTPA_PROPAGATION als lokalen Namen für den Wertetyp und http://www.ibm.com/websphere/appserver/tokentype für den URI des Wertetyps angeben.
- Optional: Geben Sie den URI für den Wertetyp im Feld URI an. Dieser Eintrag gibt den Namespace-URI des Wertetyps für das generierte Token an.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der Tokengeneratorkonfiguration.
- Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
- Geben Sie die Einstellungen für den Callback-Handler an.
- Geben Sie einen Klassennamen im Feld Klassenname für Callback-Handler an. Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framework implementiert wird. Die angegebene Callback-Handler-Klasse muss die
Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren und einen Konstruktor mit der folgenden Syntax
bereitstellen.
MyCallbackHandler(String Benutzername, char[] Kennwort, java.util.Map Eigenschaften)
Für diese Angaben gilt Folgendes:- Benutzername
- Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
- Kennwort
- Gibt das Kennwort an, das an die Konfiguration übergeben wird.
- Eigenschaften
- Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
Dieser Konstruktor ist erforderlich, wenn der Callback-Handler einen Benutzernamen und ein Kennwort benötigt. Falls Sie jedoch einen Callback-Handler verwenden, der keinen Benutzernamen und kein Kennwort benötigt, wie z. B. der Callback-Handler X509CallbackHandler, verwenden Sie einen Konstruktor mit der folgenden Syntax:MyCallbackHandler(java.util.Map properties)
WebSphere Application Server stellt die folgenden Standardimplementierungen für Callback-Handler bereit:- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. WebSphere Application Server gibt den angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Dieser Callback-Handler ruft keine Eingabeaufforderung auf und gibt den Benutzernamen und das Kennwort zurück, die in dieser Anzeige angegeben wurden. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients hat. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt WebSphere Application Server jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert WebSphere Application Server diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver die Rolle eines Clients hat. Sie sollten diesen Callback-Handler nicht für einen Java EE-Anwendungsclient verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie können im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.
Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framework. Service-Provider können ihre eigene Implementierung bereitstellen. Diese muss jedoch die Schnittstelle "com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent" verwenden.
- Optional: Wählen Sie die Option Zusicherung der Identität verwenden aus. Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben. Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. WebSphere Application Server sendet beispielsweise nur den Benutzernamen des ursprünglichen Callers für einen Generator von Benutzernamenstoken. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.
- Optional: Wählen Sie die Option RunAs-Identität verwenden aus. Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf an Stelle der ID des ursprünglichen Callers die RunAs-ID verwenden möchten. Diese Option ist nur gültig, wenn Sie den Generator für Benutzernamenstoken als Tokengenerator konfiguriert haben.
- Optional: Geben Sie im Feld Benutzer-ID für Basisauthentifizierung die entsprechende
Benutzer-ID an. Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.
Der Benutzername und das Kennwort für die Basisauthentifizierung werden verwendet, wenn Sie eine der folgenden Standard-Callback-Handler-Implementierungen im Feld
Klassenname für Callback-Handler angegeben haben:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Optional: Geben Sie im Feld Kennwort für Basisauthentifizierung das entsprechende Kennwort an. Gibt das Kennwort an, das an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.
- Optional: Geben Sie im Feld Kennwort für Keystore das entsprechende Kennwort an. Gibt das Kennwort für den Zugriff auf die Keystore-Datei an. Der Keystore und die zugehörige Konfiguration
werden verwendet, wenn Sie eine der folgenden von
WebSphere Application Server bereitgestellten
Standard-Callback-Handler-Implementierungen auswählen:
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.
- Optional: Geben Sie im Feld Pfad den Pfad für den Keystore an. Es wird empfohlen, für die Angabe des Pfadnamens die Variable ${USER_INSTALL_ROOT} zu verwenden, da diese Variable auf Ihrer Maschine durch den Pfad von WebSphere Application Server ersetzt wird. Wenn Sie den von dieser Variablen verwendeten Pfad ändern möchten, klicken Sie auf Umgebung > WebSphere-Variablen und anschließend auf USER_INSTALL_ROOT. Dieses Feld ist erforderlich, wenn Sie die folgenden Callback-Handler-Implementierungen verwenden: com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler, com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler oder com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Optional: Geben Sie im Feld Typ den Keystore-Typ an. Gibt das von der Keystore-Datei verwendete Format an. Für dieses Feld können Sie einen der folgenden Werte auswählen:
- JKS
- Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore Store) verwendet wird.
- JCEKS
- Geben Sie diese Option an, wenn die Java™ Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist in WebSphere Application Server konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
- JCERACFKS
- Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
- PKCS11KS (PKCS11)
- Geben Sie dieses Format an, wenn Ihr Keystore das Dateiformat PKCS#11 hat. Keystores mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
- PKCS12KS (PKCS12)
- Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.
- Geben Sie einen Klassennamen im Feld Klassenname für Callback-Handler an. Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framework implementiert wird. Die angegebene Callback-Handler-Klasse muss die
Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren und einen Konstruktor mit der folgenden Syntax
bereitstellen.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der Tokengeneratorkonfiguration.
- Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler > Schlüssel.
- Geben Sie den Schlüsselnamen, Schlüsselalias und das Schlüsselkennwort an.
- Klicken Sie auf Neu, um eine Schlüsselkonfiguration zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Schlüsselkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Schlüsselname einen eindeutigen Namen ein. Für digitale Signaturen wird der Schlüsselname von den Signaturdaten des Anforderungsgenerators oder Antwortgenerators verwendet, um den für die digitale Signatur der Nachricht verwendeten Schlüssel zu bestimmen. Für die Verschlüsselung wird der Schlüsselname verwendet, um den für die Verschlüsselung verwendeten Schlüssel zu bestimmen. Der Schlüsselname muss ein vollständig qualifizierter definierter Name (DN) sein. Beispiel: CN=Bob,O=IBM,C=US.
- Geben Sie im Feld Schlüsselalias den Aliasnamen des Schlüssels an. Der Schlüsselalias wird vom Key-Locator verwendet, um den Schlüssel in der Keystore-Datei zu suchen.
- Geben Sie im Feld Schlüsselkennwort das Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Konfigurationseinstellungen für die Anforderungsgeneratorbindung (Sender)
Verwenden Sie diese Seite, um die Bindungskonfiguration für den Anforderungsgenerator festzulegen.Konfigurationseinstellungen für die Antwortgeneratorbindung (Sender)
Verwenden Sie diese Seite, um die Bindungskonfiguration für den Antwortgenerator oder Antwortsender festzulegen.Callback-Handler-Konfigurationseinstellungen für JAX-RPC
Auf dieser Seite können Sie angeben, wie das in den Web-Services-Security-Header für JAX-RPC von SOAP-Nachrichten eingefügte Sicherheitstoken abgerufen wird. Für die Tokenbeschaffung gibt es ein modular aufgebautes Framework, das die Schnittstelle javax.security.auth.callback.CallbackHandler von JAAS (Java Authentication and Authorization Service) nutzt, um das Sicherheitstoken anzufordern.Schlüssel
Verwenden Sie diese Seite, um eine Liste der logischen Namen anzuzeigen, die einem Schlüsselalias in der Keystore-Datei zugeordnet sind.Konfigurationseinstellungen des Schlüssels
Verwenden Sie diese Seite, um die Zuordnung eines logischen Namens zu einem Schlüsselalias in einer Keystore-Datei zu definieren.Web-Services: Clientsicherheitsbindungen
Verwenden Sie diese Seite, um eine Liste der Clientbindungskonfigurationen für Web Services Security auf Anwendungsebene anzuzeigen. Diese Bindungen werden verwendet, wenn ein Web-Service ein Client eines anderen Web-Service ist.Web-Services: Serversicherheitsbindungen
Verwenden Sie diese Seite, um eine Liste der serverseitigen Bindungskonfigurationen für Web Services Security anzuzeigen.Konfigurationseinstellungen für die Anforderungsgeneratorbindung (Sender)
Verwenden Sie diese Seite, um die Bindungskonfiguration für den Anforderungsgenerator festzulegen.Konfigurationseinstellungen für die Antwortgeneratorbindung (Sender)
Verwenden Sie diese Seite, um die Bindungskonfiguration für den Antwortgenerator oder Antwortsender festzulegen.Callback-Handler-Konfigurationseinstellungen für JAX-RPC
Auf dieser Seite können Sie angeben, wie das in den Web-Services-Security-Header für JAX-RPC von SOAP-Nachrichten eingefügte Sicherheitstoken abgerufen wird. Für die Tokenbeschaffung gibt es ein modular aufgebautes Framework, das die Schnittstelle javax.security.auth.callback.CallbackHandler von JAAS (Java Authentication and Authorization Service) nutzt, um das Sicherheitstoken anzufordern.Schlüssel
Verwenden Sie diese Seite, um eine Liste der logischen Namen anzuzeigen, die einem Schlüsselalias in der Keystore-Datei zugeordnet sind.Konfigurationseinstellungen des Schlüssels
Verwenden Sie diese Seite, um die Zuordnung eines logischen Namens zu einem Schlüsselalias in einer Keystore-Datei zu definieren.Web-Services: Clientsicherheitsbindungen
Verwenden Sie diese Seite, um eine Liste der Clientbindungskonfigurationen für Web Services Security auf Anwendungsebene anzuzeigen. Diese Bindungen werden verwendet, wenn ein Web-Service ein Client eines anderen Web-Service ist.Web-Services: Serversicherheitsbindungen
Verwenden Sie diese Seite, um eine Liste der serverseitigen Bindungskonfigurationen für Web Services Security anzuzeigen.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengenapp
Dateiname:twbs_configtokengenapp.html