Die Key-Locator-Daten für die Standardgeneratorbindungen geben an, welche
Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Signatur- und Verschlüsselungsdaten zu ermitteln, wenn diese Bindungen nicht auf Anwendungsebene definiert sind.
Informationen zu diesem Vorgang
Die Key-Locator-Daten für die Standardkonsumentenbindungen geben an, welche Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Validierung der Signatur bzw. Entschlüsselung zu finden, wenn diese Bindungen nicht auf Anwendungsebene
definiert sind. WebSphere Application
Server stellt Standardwerte für diese Bindungen bereit. Sie müssen diese Standardwerte jedoch für eine Produktionsumgebung ändern.
Sie
können den Key-Locator auf Server- und Zellenebene konfigurieren. Verwenden Sie bei den nachfolgend
genannten Schritten die Anweisungen im ersten Schritt für den Zugriff auf die Standardbindungen auf Serverebene und die Anweisungen im zweiten Schritt für
den Zugriff auf die Bindungen auf Zellenebene.
Vorgehensweise
- Greifen Sie auf die Standardbindungen für die Serverebene zu.
- Klicken Sie auf .
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der
WebSphere Application Server Version 6.1 oder früher auf
Web-Services:
Standardbindungen für Web Services Security.
mixv
- Klicken Sie auf , um auf die Standardbindungen auf Zellenebene
zuzugreifen.
- Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator. Auf dieser Seite können Sie die Einstellungen für den Key-Locator für den Standardgenerator und
den Standardkonsumenten konfigurieren.
- Klicken Sie auf einen der folgenden Einträge, um die Key-Locator-Konfigurationen zu bearbeiten:
- Neu
- Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Key-Locator-Konfiguration erstellen.
Geben Sie im Feld Name des Key-Locators einen eindeutigen Namen
für die Key-Locator-Konfiguration ein. Beispielsweise können Sie den Namen sig_klocator angeben.
- Löschen
- Wenn Sie auf diesen Eintrag klicken, können Sie eine vorhandene Konfiguration löschen.
- Vorhandene Key-Locator-Konfiguration bearbeiten
- Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer vorhandenen Konfiguration bearbeiten.
- Geben Sie im Feld Klassenname des Key-Locators
einen Namen für die Implementierung der Key-Locator-Klasse ein. Die Key-Locator, die Anwendungen der Version 6.0.x
zugeordnet sind, müssen die Schnittstelle com.ibm.wsspi.wssecurity.keyinfo.KeyLocator implementieren.
Anmerkung: Diese Schnittstelle ist nur für JAX-RPC-Anwendungen gültig.
Für JAX-WS-Anwendungen
wird die Implementierung des JAAS-Anmeldemoduls (Java™
Authentication and Authorization Service) verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen und
das Sicherheitstoken auf Konsumentenseite zu validieren (authentifizieren).
WebSphere
Application Server stellt die folgenden Key-Locator-Klassenimplementierungen für Anwendungen der
Version 6.0.x bereit:- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
- Diese Implementierung sucht und ruft die Schlüssel aus der angegebenen Keystore-Datei ab.
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- Diese Implementierung verwendet den öffentlichen Schlüssel aus dem Zertifikat des Unterzeichners.
Diese Klassenimplementierung wird vom Antwortgenerator verwendet.
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- Diese Implementierung verwendet das X.509-Sicherheitstoken aus der Sendernachricht für
die Validierung der digitalen Signatur und für Verschlüsselung. Diese Klassenimplementierung wird vom Anforderungskonsumenten
und Antwortkonsumenten verwendet.
Beispielsweise können Sie die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
angeben, wenn die Konfiguration der Key-Locator für Signaturdaten sein muss.
- Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator
die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort,
einen Keystore-Pfad und einen Keystore-Typ angeben.
- Geben Sie im Feld Kennwort für Keystore
ein Kennwort an. Dieses Kennwort wird für den Zugriff
auf die Keystore-Datei verwendet.
- Geben Sie im Feld Keystore-Pfad die Position der Keystore-Datei ein.
- Wählen Sie im Feld Keystore-Typ einen Keystore-Typ aus. Die verwendete JCE (Java Cryptography Extension)
unterstützt die folgenden Keystore-Typen:
- JKS
- Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE)
nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
- JCEKS
- Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
JCERACFKS
Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
- PKCS11
- Verwenden Sie dieses Format, wenn Ihre Keystore-Dateien das PKCS#11-Dateiformat verwenden. Keystore-Dateien,
die dieses Format verwenden, können RSA-Schlüssel (Rivest Shamir Adleman) auf der Verschlüsselungshardware
enthalten oder Schlüssel chiffrieren, die für die Gewährleistung des Zugriffsschutzes
Schlüssel chiffrieren.
- PKCS12
- Verwenden Sie diese Option, wenn Ihre Keystore-Dateien das PKCS#12-Dateiformat verwenden.
WebSphere Application Server
stellt im Verzeichnis ${USER_INSTALL_ROOT}/etc/ws-security/samples einige Beispiel-Keystore-Dateien bereit.
Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist
storepass,
und der Typ ist JCEKS.
Einschränkung: Verwenden Sie diese Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie unter "Weitere Eigenschaften" auf Schlüssel.
- Klicken Sie auf einen der folgenden Einträge, um die Schlüsselkonfigurationen zu bearbeiten:
- Neu
- Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Schlüsselkonfiguration erstellen.
Geben Sie im Feld Schlüsselname einen eindeutigen Namen ein.
Sie müssen
für den Schlüsselnamen einen vollständig qualifizierten DN angeben. Beispiel: CN=Bob,O=IBM,C=US.
- Löschen
- Wenn Sie auf diesen Eintrag klicken, können Sie eine vorhandene Konfiguration löschen.
- Vorhandene Schlüsselkonfiguration bearbeiten
- Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer vorhandenen Konfiguration bearbeiten.
Gibt den Namen des in der Keystore-Datei gespeicherten Schlüsselobjekts an.
- Geben Sie im Feld Schlüsselalias
einen Aliasnamen an. Der Schlüsselalias wird vom Key-Locator verwendet, um nach Schlüsselobjekten in der Keystore-Datei zu suchen.
- Geben Sie im Feld Schlüsselkennwort
ein Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Sie
haben den Key-Locator für die Server- oder Zellenebene konfiguriert.
Nächste Schritte
Konfigurieren Sie die Schlüsseldaten für die Standardgenerator- und Standardkonsumentenbindungen, die sich auf diesen Key-Locator beziehen.