Schlüsseldaten für die Generatorbindung mit JAX-RPC auf Server- oder Zellenebene konfigurieren
Verwenden Sie die Schlüsseldaten für den Standardgenerator, um den Schlüssel anzugeben, der von der Signaturdaten- bzw. Verschlüsselungsdatenkonfiguration verwendet wird, wenn diese Bindungen nicht auf Anwendungsebene definiert sind.
Informationen zu diesem Vorgang
Die Konfigurationen für die Signatur- und Verschlüsselungsdaten können dieselben Schlüsseldaten enthalten. Daher werden beide auf derselben Ebene definiert. WebSphere Application Server stellt Standardwerte für diese Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden.
Sie können die Schlüsseldaten für die Generatorbindung auf der Server- und Zellenebene konfigurieren. In den nachfolgenden Schritten erstellen Sie zunächst die Schlüsseldatenkonfiguration auf der Serverebene. Anschließend erstellen Sie in einem weiteren Schritt die Schlüsseldatenkonfiguration auf der Zellenebene:
Vorgehensweise
- Greifen Sie auf die Standardbindungen für die Serverebene zu.
- Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
- Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
- Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
- Klicken Sie unter "Standardgeneratorbindung" auf Schlüsseldaten.
- Klicken Sie auf Neu, um eine Konfiguration für Schlüsseldaten zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für Schlüsseldaten, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name der Schlüsseldaten" einen Namen für die Schlüsselkonfiguration ein. Beispielsweise können Sie den Namen sig_keyinfo angeben.
- Wählen Sie im Feld "Typ der Schlüsseldaten" einen Typ für die Schlüsseldaten aus. WebSphere Application Server unterstützt die folgenden Arten von Schlüsseldaten:
- Schlüssel-ID
- Dieser Schlüsseldatentyp wird verwendet, wenn zwei Parteien vereinbaren, wie eine Schlüssel-ID erstellt wird. Beispielsweise kann die Option "X.509-Zertifikate" für Schlüssel-IDs für das X.509-Profil verwendet werden.
- Schlüsselname
- Dieser Schlüsseldatentyp wird verwendet, wenn der Sender und der Empfänger den Namen des Schlüssels vereinbaren.
- Sicherheitstokenreferenz
- Dieser Schlüsseldatentyp wird verwendet, wenn ein X.509-Zertifikat für die digitale Signatur verwendet wird.
- Integriertes Token
- Dieser Schlüsseldatentyp wird verwendet, um ein Sicherheitstoken in ein eingebettetes Element zu integrieren.
- Name und Seriennummer des X509-Zertifikatausstellers
- Dieser Schlüsseldatentyp gibt ein X.509-Zertifikat mit dem Namen und der Seriennummer des Zertifikatausstellers an.
Wenn Sie ein X.509-Zertifikat für die digitale Signatur verwenden, wählen Sie Referenz auf Sicherheitstoken aus. In den nächsten Schritten wird davon ausgegangen, dass Referenz auf Sicherheitstoken ausgewählt wurde.Wichtig: Dieser Schlüsseldatentyp muss mit dem Schlüsseldatentyp übereinstimmen, der für den Konsumenten angegeben ist. - Wählen Sie im Menü "Key-Locator-Referenz" eine Referenz auf den Key-Locator aus. In diesen Schritten wird davon ausgegangen, dass die Key-Locator-Referenz den Namen sig_klocator hat. Die Referenz auf den Key-Locator ist der Name des Key-Locator, der verwendet wird, um den Schlüssel für die digitale Signatur zu generieren. Sie müssen einen Key-Locator konfigurieren, bevor Sie ihn in diesem Feld auswählen können. Weitere Informationen zum Konfigurieren des Key-Locators finden Sie im Artikel Key-Locator mit JAX-RPC auf Server- oder Zellenebene konfigurieren.
- Klicken Sie auf Schlüssel abrufen, um eine Liste der Schlüsselnamenreferenzen anzuzeigen. Nachdem Sie auf Schlüssel abrufen geklickt haben, werden die Schlüsselnamen, die im Element <sig_klocator> definiert sind, im Menü "Referenz auf Schlüsselnamen" angezeigt. Wenn Sie die Referenz auf den Key-Locator ändern, müssen Sie erneut auf Schlüssel abrufen klicken, um die Liste mit den Schlüsselnamen anzuzeigen, die dem neuen Key-Locator zugeordnet sind.
- Wählen Sie im Menü "Referenz auf Schlüsselname" eine Referenz aus. Die Referenz auf den Schlüsselnamen gibt den Namen des Schlüssels an, der für die Generierung der digitalen Signatur und für die Verschlüsselung verwendet wird. Im Menü "Referenz auf Schlüsselnamen" wird eine Liste mit Schlüsselnamen angezeigt, die für den im Feld "Key-Locator-Referenz" ausgewählten Key-Locator definiert sind. Wählen Sie beispielsweise signerkeyaus. Es wird vorausgesetzt, dass der Unterzeichnerschlüssel einen für den Key-Locator sig_klocator definierten Schlüsselnamen hat.
- Wählen Sie im Feld "Tokenreferenz" eine Tokenreferenz aus. Die Tokenreferenz bezieht sich auf den Namen eines konfigurierten Tokengenerators. Wenn ein Sicherheitstoken im Implementierungsdeskriptor erforderlich ist, muss das Attribut für die Tokenreferenz angegeben werden. Wenn Sie im Feld "Schlüsseldatentyp" die Option Sicherheitstokenreferenz auswählen, ist die Tokenreferenz erforderlich, und Sie können einen X.509-Tokengenerator angeben. Wenn Sie einen X.509-Tokengenerator angeben möchten, muss ein X.509-Tokengenerator konfiguriert sein. Informationen zum Konfigurieren eines X.509-Tokengenerators finden Sie im Artikel Tokengeneratoren mit JAX-RPC für den Schutz der Nachrichtenauthentizität auf Server- oder Zellenebene konfigurieren. Für die nachfolgenden Schritte wird davon ausgegangen, dass ein X.509-Tokengenerator mit dem Namen gen_tcon bereits konfiguriert wurde.
- Optional: Wählen Sie im Feld "Codierungsmethode" eine Codierungsmethode aus. Gibt das Codierungsformat für die Schlüssel-ID an. Dieses Attribut ist gültig, wenn als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. WebSphere Application
Server unterstützt die folgenden Codierungsmethoden:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- Optional: Wählen Sie im Feld "Berechnungsmethode" eine Berechnungsmethode aus. Die Berechnungsmethode gibt den Berechnungsalgorithmus an, der für die
Schlüssel-ID verwendet wird. Dieses Attribut ist gültig,
wenn als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. WebSphere Application
Server unterstützt die folgenden Berechnungsmethoden:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- Optional: Geben Sie im Feld "Namespace-URI" einen URI des Wertetyps für ein Sicherheitstoken an. Der Namespace-URI wird von der Schlüssel-ID referenziert. Dieses Attribut ist gültig, wenn als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. Wenn Sie das Token mit X.509-Zertifikat angeben, müssen Sie den Namespace-URI nicht angeben. Falls ein anderer Token angeben ist, müssen Sie den Namespace-URI angeben. Sie können beispielsweise für das LTPA-Token den Wert http://www.ibm.com/websphere/appserver/tokentype/5.0.2 und für das LTPA_PROPAGATION-Token den Wert http://www.ibm.com/websphere/appserver/tokentype angeben.
- Optional: Geben Sie im Feld Lokaler Name den lokalen Namen des Wertetyps für ein Sicherheitstoken ein. Der lokale Name wird von der Schlüssel-ID referenziert. Dieses Attribut ist gültig,
wenn als Schlüsseldatentyp Schlüssel-ID ausgewählt wird. WebSphere Application
Server unterstützt die folgenden lokalen Namen:
- Token mit X.509-Zertifikat
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- X.509-Zertifikate im Format PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste von X.509-Zertifikaten und CRLs im Format PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Für LTPA
- LTPA
- Für LTPA_PROPAGATION
- LTPA_PROPAGATION
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfogensvrcell
Dateiname:twbs_configkeyinfogensvrcell.html