Schlüsseldaten für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren

Sie können die Schlüsseldaten für den Anforderungskonsumenten (Serverseite) und den Antwortkonsumenten (Clientseite) auf Anwendungsebene konfigurieren.

Vorbereitende Schritte

Konfigurieren Sie die Key-Locator und die Tokenkonsumenten, auf die in den Feldern "Key-Locator-Referenz" und "Tokenreferenz" in der Anzeige "Schlüsseldaten" verwiesen wird.

Informationen zu diesem Vorgang

Diese Task beschreibt, wie Sie die Schlüsseldaten für die Bindungen für den Anforderungskonsumenten (Serverseite) und für den Antwortkonsumenten (Clientseite) auf Anwendungsebene konfigurieren. Auf der Konsumentenseite enthalten die Schlüsseldaten die Informationen zum Schlüssel, die für die Validierung der digitalen Signatur in der empfangenen Nachricht bzw. für die Entschlüsselung der verschlüsselten Nachrichtenabschnitte benötigt werden. Führen Sie die folgenden Schritte aus, um die Schlüsseldaten für die Konsumentenbindung auf Anwendungsebene zu konfigurieren.

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Anzeige für das Konfigurieren der Schlüsseldaten auf.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungskonsumenten und den Antwortkonsumenten zugreifen.
      • Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Antwortkonsumentenbindung (Empfänger)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Erforderliche Eigenschaften" auf Schlüsseldaten.
    5. Klicken Sie auf eine der folgenden Optionen, um die Schlüsseldatenkonfiguration zu bearbeiten:
      Neu
      Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Schlüsseldatenkonfiguration erstellen. Geben Sie im Feld "Name der Schlüsseldaten" einen Namen ein. Beispielsweise können Sie den Namen con_signkeyinfo angeben.
      Löschen
      Klicken Sie auf diesen Eintrag, um eine ausgewählte Konfiguration zu löschen.
      Vorhandene Schlüsseldatenkonfiguration bearbeiten
      Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer Schlüsseldatenkonfiguration bearbeiten.
  2. Wählen Sie im Feld "Typ der Schlüsseldaten" einen Typ für die Schlüsseldaten aus. Die Schlüsseldatentypen geben unterschiedliche Mechanismen für die Referenzierung von Sicherheitstoken mit dem Element <wsse:SecurityTokenReference> im Element <ds:KeyInfo> an. WebSphere Application Server unterstützt die folgenden Schlüsseldatentypen:
    Schlüssel-ID
    Das Sicherheitstoken wird mit einem nicht transparenten Wert referenziert, der das Token eindeutig identifiziert. Der Algorithmus, der für die Generierung des Werts von <KeyIdentifier> verwendet wird, richtet sich nach dem Tokentyp. Sie können die Kennung beispielsweise für öffentliche Schlüssel verwenden, die in Internet Engineering Task Force (IETF) Request for Comment (RFC) 3280 definiert sind. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
          /oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
          /62wXO...
          </wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    Schlüsselname
    Das Sicherheitstoken wird mit einem Namen referenziert, der der Zusicherung einer Identität (IDAssertion) im Token entspricht. Verwenden Sie diesen Schlüsseltyp nicht, da er dazu führen kann, dass mehrere Sicherheitstoken dem angegebenen Namen entsprechen. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>

    Im Allgemeinen verwenden Sie einen Schlüsselnamen, wenn Sie einen digitalen Key-HMAC-Signaturalgorithmus (Hashed Message Authentication Code) für digitale Signatur wie http://www.w3.org/2000/09/xmldsig#hmac-sha1 verwenden.

    Referenz des Sicherheitstokens
    Das Sicherheitstoken wird mithilfe der URIs direkt referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI='#SomeCert'
           ValueType="http://docs.oasis-open.org/wss/2004/01/
              oasis-200401-wss-x509-token-profile-1.0#X509v3" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    Achtung: Wie in Web Services Interoperability Organization (WS-I) Basic Security Profile Version 1 Draft angegeben und im vorherigen Beispiel gezeigt, muss das Element "wsse:Reference" in einem Element SECURE_ENVELOPE ein Attribut "ValueType" haben.
    Integriertes Token
    Das Sicherheitstoken wird direkt in das Element <SecurityTokenReference> eingebettet. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             …
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    Name und Seriennummer des X509-Zertifikatausstellers
    Das Sicherheitstoken wird durch den Namen und die Seriennummer eines X.509-Zertifikats referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    Alle Schlüsseldatentypen sind im OASIS-Standard "Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)" beschrieben, den Sie auf der Webseite http://www.oasis-open.org/home/index.php unter "Web Services Security" finden.
  3. Wählen Sie im Feld "Key-Locator-Referenz" eine Referenz auf den Key-Locator aus. Der Wert dieses Feldes ist eine Referenz auf einen Key-Locator, mit dem WebSphere Application Server die Schlüssel sucht, die für die digitale Signatur und für die Verschlüsselung verwendet werden. Bevor Sie einen Key-Locator auswählen können, müssen Sie einen Key-Locator konfigurieren. Weitere Informationen zum Konfigurieren eines Key-Locator finden Sie im Artikel Key-Locator für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren.
  4. Wählen Sie im Feld "Tokenreferenz" eine Tokenreferenz aus. Die Tokenreferenz gibt eine Referenz auf einen Tokenkonsumenten an, die für die Verarbeitung des Sicherheitstoken in der Nachricht verwendet wird. WebSphere Application Server benötigt dieses Feld jedoch nur dann, wenn Sie im Feld "Typ der Schlüsseldaten" den Wert "Referenz auf Sicherheitstoken" oder "Integriertes Token" angeben. Bevor Sie eine Tokenreferenz angeben, müssen Sie einen Tokenkonsumenten konfigurieren. Weitere Informationen zum Konfigurieren eines Tokenkonsumenten finden Sie im Artikel Tokenkonsumenten zum Schutz der Nachrichtenauthentizität auf Anwendungsebene mit JAX-RPC konfigurieren.

    Wählen Sie (Ohne) aus, wenn kein Tokenkonsument für die Konfiguration dieser Schlüsseldaten erforderlich ist.

  5. Klicken Sie auf OK und Speichern, um diese Konfiguration zu speichern.

Ergebnisse

Sie haben die Schlüsseldaten für die Anforderungskonsumenten- und/oder Antwortkonsumentenbindung auf Anwendungsebene konfiguriert.

Nächste Schritte

Falls Sie die Schlüsseldaten für die Generatorbindung noch nicht konfiguriert haben, müssen Sie eine ähnliche Konfiguration für die Generatorschlüsseldaten erstellen. Nachdem Sie die Schlüsseldaten für den Konsumenten und den Generator konfiguriert haben, konfigurieren Sie die Signaturdaten oder Verschlüsselungsdaten, die auf die hier angegebenen Schlüsseldaten verweisen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfoconsapp
Dateiname:twbs_configkeyinfoconsapp.html