Trust-Anchor für die Konsumentenbindung auf Anwendungsebene konfigurieren

Sie können Trust-Anchor für die Konsumentenbindung auf Anwendungsebene konfigurieren.

Informationen zu diesem Vorgang

Trust-Anchor, die auf Anwendungsebene definiert werden, haben Priorität vor denen, die auf Server- oder Zellenebene definiert werden. Weitere Informationen zum Erstellen und Konfigurieren eines Trust-Anchors auf Server- oder Zellenebene finden Sie im Artikel Trust-Anchor auf Server- oder Zellenebene konfigurieren.

Mit einem Assembliertool oder mit der Administrationskonsole können Sie einen Trust-Anchor auf Anwendungsebene konfigurieren. Diese Prozedur beschreibt die Konfiguration eines Trust-Anchors auf Anwendungsebene über die Administrationskonsole.

Ein Trust-Anchor gibt Keystores an, die Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungskonsumenten (der in der Datei ibm-webservices-bnd.xmi definiert ist) und vom Antwortkonsumenten (der in der Datei ibm-webservicesclient-bnd.xmi definiert ist, wenn ein Web-Service als Client auftritt), um das X.509-Zertifikat in der SOAP-Nachricht zu validieren. Die Keystores sind für die Integrität der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden, ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die Bindungskonfiguration, die für den Anforderungskonsumenten in der Datei ibm-webservices-bnd.xmi angegeben ist, muss mit der Bindungskonfiguration für den Antwortkonsumenten in der Datei ibm-webservicesclient-bnd.xmi konform sein. Die Trust-Anchor-Konfiguration für den Anforderungskonsumenten auf der Serverseite muss mit der Konfiguration des Anforderungsgenerators auf der Clientseite übereinstimmen. Außerdem muss die Trust-Anchor-Konfiguration für den Antwortkonsumenten auf der Clientseite mit der Konfiguration des Antwortgenerators auf der Serverseite übereinstimmen.

Führen Sie die folgenden Schritte aus, um Trust-Anchor für die Konsumentenbindung auf Anwendungsebene zu konfigurieren:

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Anzeige für Trust-Anchor auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Eigenschaften von Web Services Security" können Sie auf die Trust-Anchor-Konfiguration für die folgenden Bindungen zugreifen:
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
    5. Klicken Sie auf eine der folgenden Optionen, um die Trust-Anchor-Konfiguration zu bearbeiten:
      Neu
      Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Trust-Anchor-Konfiguration erstellen. Geben Sie im Feld "Name des Trust-Anchors" einen eindeutigen Namen ein.
      Löschen
      Wenn Sie auf diesen Eintrag klicken, wird die ausgewählte vorhandene Konfiguration gelöscht.
      Vorhandene Trust-Anchor-Konfiguration bearbeiten
      Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer vorhandenen Trust-Anchor-Konfiguration bearbeiten.
  2. Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Die Keystore-Datei für einen Trust-Anchor enthält die Trusted-Root-Zertifikate, die für die Validierung des X.509-Zertifikats für digitale Signatur oder XML-Verschlüsselung verwendet werden.
    1. Geben Sie im Feld "Kennwort für Keystore" ein Kennwort ein. Dieses Kennwort wird für den Zugriff auf die Keystore-Datei verwendet.
    2. Geben Sie im Feld "Pfad des Keystore" den Pfadnamen für den Zugriff auf den Keystore ein.
    3. Wählen Sie im Feld "Keystore-Typ" einen Typ aus. Die von IBM® verwendete JCE (Java™ Cryptography Extension) unterstützt die folgenden Keystore-Typen:
      JKS
      Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE) nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
      JCEKS
      Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
      [z/OS]JCERACFKS
      [z/OS]Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
      PKCS11KS (PKCS11)
      Verwenden Sie dieses Format, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
      PKCS12KS (PKCS12)
      Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#12-Dateiformat verwenden.

      WebSphere Application Server stellt einige Beispiel-Keystore-Dateien in dem folgenden Verzeichnis bereit. Die Variable USER_INSTALL_ROOT steht für das Installationsstammverzeichnis des Benutzers: [Windows]c:\{USER_INSTALL_ROOT}\etc\ws-security\samples[AIX HP-UX Solaris][Linux]${USER_INSTALL_ROOT}/etc/ws-security/samples

      Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist storepass, und der Typ ist JCEKS.

      Einschränkung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.

Ergebnisse

Sie haben Trust-Anchor für die Konsumentenbindung auf Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen analog eine Trust-Anchor-Konfiguration für den Generator erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_conftrancconsapp
Dateiname:twbs_conftrancconsapp.html