Signaturdaten für die Generatorbindung auf Anwendungsebene mit JAX-RPC konfigurieren
Sie können die Signaturdaten für die clientseitigen Anforderungsgenerator- und die serverseitigen Antwortgeneratorbindungen auf Anwendungsebene konfigurieren.
Vorbereitende Schritte
Informationen zu diesem Vorgang
In dieser Task werden die Schritte beschrieben, die für die Konfiguration der Signaturdaten für die clientseitigen Anforderungsgeneratorbindungen und die serverseitigen Antwortgeneratorbindungen auf Anwendungs erforderlich sind. WebSphere Application Server verwendet die Signaturdaten für den Standardgenerator, um Nachrichtenabschnitte wie den Hauptteil (Body) der Nachricht, Zeitmarke und Benutzernamenstoken zu signieren. WebSphere Application Server stellt Standardwerte für die Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden. Führen Sie die folgenden Schritte aus, um die Signaturdaten für die Generatorabschnitte in den Bindungsdateien auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige für das Konfigurieren der Signaturdaten auf.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Signaturdaten für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf Signaturdaten.
- Klicken Sie auf Neu, um eine Konfiguration für Signaturdaten zu erstellen, wählen Sie das Kontrollkästchen neben einer vorhandenen Konfiguration aus und klicken Sie auf Löschen, um diese vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für Signaturdaten, um die Einstellungen zu editieren. Wenn Sie eine neue Konfiguration erstellen, geben Sie einen Namen im Feld "Signaturdaten" ein. Beispielsweise können Sie den Namen gen_signinfo angeben.
- Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Der für die Anforderungsgenerator- bzw. Antwortgeneratorkonfiguration angegebene Algorithmus muss mit dem für die Anforderungskonsumenten- bzw.
Antwortkonsumentenkonfiguration übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1Einschränkung: Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.
Jedes Element ds:SignatureMethod/@Algorithm in einer Signatur, die auf einem symmetrischen Schlüssel basiert, muss den Wert http://www.w3.org/2000/09/xmldsig#rsa-sha1 oder http://www.w3.org/2000/09/xmldsig#hmac-sha1 haben.
- Wählen Sie im Feld Kanonisierungsmethode eine Kanonisierungsmethode aus. Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Wählen Sie im Feld "Signaturtyp für Schlüsseldaten" einen Signaturtyp für die Schlüsseldaten aus. WebSphere Application Server unterstützt die folgenden Signaturtypen:
- None
- Gibt an, dass das Element <KeyInfo> nicht signiert wird.
- Keyinfo
- Gibt an, dass das gesamte Element <KeyInfo> signiert wird.
- Keyinfochildelements
- Gibt an, dass die untergeordneten Elemente des Elements <KeyInfo> signiert werden.
Der Signaturtyp für Schlüsseldaten für den Generator muss mit dem Signaturtyp für den Konsumenten übereinstimmen. Es können folgende Fälle eintreten:- Wenn Sie keinen der genannten Signaturtypen angeben, verwendet WebSphere Application Server standardmäßig den Wert keyinfo.
- Wenn Sie "Keyinfo" oder "Keyinfochildelements" auswählen und in einem weiteren Schritt als Umsetzungsalgorithmus "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform" auswählen, signiert WebSphere Application Server das referenzierte Token.
- Wählen Sie im Feld "Informationen zum Signierschlüssel" eine Referenz auf die Informationen für den Signierschlüssel aus. Dieser Wert verweist auf den Signierschlüssel, den Application Server für die Generierung digitaler Signaturen verwendet.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Signaturdaten. Dies ist die Konfiguration, die Sie in einem früheren Schritt erstellt haben.
- Geben Sie die Referenzen auf Nachrichtenabschnitte, den Algorithmus für die Digest-Methode und den Umsetzungsalgorithmus an. Die Abschnittsreferenzen geben an, welche Abschnitte der Nachricht digital signiert werden.
- Klicken Sie unter "Weitere Eigenschaften" auf Abschnittsreferenzen > Neu, um eine neue Abschnittsreferenz zu erstellen. Klicken Sie auf Abschnittsreferenzen > Löschen, um eine vorhandene Abschnittsreferenz zu löschen. Klicken Sie auf einen Abschnittsnamen, um eine vorhandene Abschnittsreferenz zu bearbeiten.
- Geben Sie für die Referenz auf Nachrichtenabschnitte einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint angeben.
- Wählen Sie im Feld "Referenz auf Nachrichtenabschnitte" eine Referenz aus.
Diese Referenz verweist auf den Nachrichtenabschnitt, der digital signiert wird. Das Attribut "part" verweist auf den Namen des Elements <Integrity> im Implementierungsdeskriptor, wenn das Element <PartReference> für die Signatur angegeben ist. Sie können mehrere <PartReference>-Elemente im Element <SigningInfo> angeben. Das Element <PartReference> hat zwei untergeordnete Elemente, wenn es für die Signatur angegeben wird: <DigestTransform> und <Transform>.
- Wählen Sie aus dem Menü einen Algorithmus für die Digest-Methode aus. Der im Element
<DigestMethod> angegebene Algorithmus für die
Digest-Methode wird im Element <SigningInfo> verwendet. WebSphere Application Server unterstützt die folgenden Algorithmen:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Klicken Sie auf OK, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen der neuen Konfiguration für die Referenz auf Nachrichtenabschnitte. Dies ist die Konfiguration, die Sie in einem früheren Schritt erstellt haben.
- Klicken Sie unter "Weitere Eigenschaften" auf Umsetzungen > Neu, um eine neue Umsetzung zu erstellen. Klicken Sie auf Umsetzungen > Löschen, um eine Umsetzung zu löschen. Klicken Sie auf einen Umsetzungsnamen, um eine vorhandene Umsetzung zu bearbeiten. Geben Sie bei der Erstellung einer neuen Umsetzung einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint_body_transform1 angeben.
- Wählen Sie aus dem Menü einen Umsetzungsalgorithmus aus. Der im Element
<Transform> angegebene Umsetzungsalgorithmus wird für die Signatur verwendet. WebSphere Application Server unterstützt die folgenden Algorithmen:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116Einschränkung: Verwenden Sie diesen Umsetzungsalgorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll. Verwenden Sie stattdessen zur Gewährleistung der Kompatibilität http://www.w3.org/2002/06/xmldsig-filter2.
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
Der Umsetzungsalgorithmus, den Sie für den Generator angeben, muss mit dem Umsetzungsalgorithmus für den Konsumenten übereinstimmen.Wichtig: Wenn die beiden nachfolgend genannten Bedingungen zutreffen, signiert WebSphere Application Server den referenzierten Token:- Sie haben bereits in der Anzeige "Signaturdaten" die Option "Keyinfo" bzw. "Keyinfochildelements" im Feld "Signaturtyp für Schlüsseldaten" ausgewählt.
- Sie haben folgenden Umsetzungsalgorithmus ausgewählt: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
- Klicken Sie auf Anwenden.
- Optional: Legen Sie fest, ob die eingeschlossene Präfixliste für Namespaces
inaktiviert werden soll. Die Spezifikation Exclusive XML Canonicalization Version 1.0 empfiehlt, alle
Namespacedeklarationen, die dem Namespacepräfix im Kanonisierungsformat entsprechen,
einzuschließen.
Aus Sicherheitgründen schließt
WebSphere Application Server das Präfix standardmäßig in die digitale Signatur für Web Services
Security ein.
Einige Implementierungen von Web Services Security können diese Präfixliste jedoch nicht verarbeiten.
WebSphere Application Server kann digital signierte Nachrichten verarbeiten, die die Präfixliste enthalten oder auch nicht enthalten.
Sollte ein Fehler bei der Signaturvalidierung auftreten, wenn eine signierte
SOAP-Nachricht gesendet wird und Sie einen anderen Anbieter in Ihrer Umgebung verwenden, suchen Sie
zusammen mit Ihrem Service-Provider nach einer möglichen Korrektur der Implementierung, bevor Sie die
Eigenschaft inaktivieren.
Führen Sie zum Inaktivieren dieser Eigenschaft die folgenden Schritte aus:
- Klicken Sie unter "Weitere Eigenschaften" auf Eigenschaften > Neu.
- Geben Sie com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces im Feld "Eigenschaftsname" ein.
- Geben Sie im Feld "Eigenschaftswert" den Wert false ein.
- Klicken Sie auf OK.
Sie können diese Eigenschaft für die Anforderungsgenerator- und Antwortgeneratorkonfigurationen festlegen.
- Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Signaturdaten
Verwenden Sie diese Seite, um eine Liste der Signaturparameter anzuzeigen. Die Signaturdaten werden verwendet, um Teile einer Nachricht, die den Hauptteil (Body), die Zeitmarke und das Benutzernamenstoken enthalten, zu signieren und zu validieren. Sie können diese Parameter auch für die Validierung von X.509-Zertifikaten verwenden, wenn in der Konfiguration auf Serverebene als Authentifizierungsmethode IDAssertion und als ID-Typ X509Certificate definiert sind. In einem solchen Fall müssen Sie nur die Felder für den Zertifikatspfad ausfüllen.Konfigurationseinstellungen für Signaturdaten
Verwenden Sie diese Seite, um neue Signaturparameter zu konfigurieren.Referenzen auf Nachrichtenabschnitte
Verwenden Sie diese Seite, um die Referenzen auf die Nachrichtenabschnitte für Signatur und Verschlüsselung anzuzeigen, die in den Implementierungsdeskriptoren definiert sind.Einstellungen für die Konfiguration von Referenzen auf Nachrichtenabschnitte
Verwenden Sie diese Seite, um eine Referenz auf die Nachrichtenabschnitte für Signatur und Verschlüsselung anzugeben, die in den Implementierungsdeskriptoren definiert sind.Umsetzungen
Verwenden Sie diese Seite, um den Umsetzungsalgorithmus anzuzeigen, der für die Verarbeitung der Nachrichten von Web Services Security verwendet wird.Konfigurationseinstellungen für Umsetzung
Verwenden Sie diese Seite, um den Umsetzungsalgorithmus für die Verarbeitung der WS-Security-Nachricht festzulegen.Signaturdaten
Verwenden Sie diese Seite, um eine Liste der Signaturparameter anzuzeigen. Die Signaturdaten werden verwendet, um Teile einer Nachricht, die den Hauptteil (Body), die Zeitmarke und das Benutzernamenstoken enthalten, zu signieren und zu validieren. Sie können diese Parameter auch für die Validierung von X.509-Zertifikaten verwenden, wenn in der Konfiguration auf Serverebene als Authentifizierungsmethode IDAssertion und als ID-Typ X509Certificate definiert sind. In einem solchen Fall müssen Sie nur die Felder für den Zertifikatspfad ausfüllen.Konfigurationseinstellungen für Signaturdaten
Verwenden Sie diese Seite, um neue Signaturparameter zu konfigurieren.Referenzen auf Nachrichtenabschnitte
Verwenden Sie diese Seite, um die Referenzen auf die Nachrichtenabschnitte für Signatur und Verschlüsselung anzuzeigen, die in den Implementierungsdeskriptoren definiert sind.Einstellungen für die Konfiguration von Referenzen auf Nachrichtenabschnitte
Verwenden Sie diese Seite, um eine Referenz auf die Nachrichtenabschnitte für Signatur und Verschlüsselung anzugeben, die in den Implementierungsdeskriptoren definiert sind.Umsetzungen
Verwenden Sie diese Seite, um den Umsetzungsalgorithmus anzuzeigen, der für die Verarbeitung der Nachrichten von Web Services Security verwendet wird.Konfigurationseinstellungen für Umsetzung
Verwenden Sie diese Seite, um den Umsetzungsalgorithmus für die Verarbeitung der WS-Security-Nachricht festzulegen.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
Dateiname:twbs_configsigninfogenapp.html