Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Prüfmethode auswählen

Wenn Sie die Überprüfung digitaler Signaturen von Anforderungen im Server konfigurieren möchten, müssen Sie mit einem Assembliertool die Erweiterungen ändern und angeben, welche Methode für digitale Signatur der Server während der Überprüfung verwenden soll.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten Sie die folgenden Artikel lesen, um sich mit den Registerkarten "Erweiterungen" und "Binding-Konfigurationen" des Web-Service-Editors in den IBM Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Erweiterungen bzw. Bindungen von Web Services Security konfiguriert. Außerdem müssen Sie angeben, welche Nachrichtenabschnitte digitale Signaturdaten enthalten, die vom Server überprüft werden müssen. Nähere Informationen hierzu finden Sie im Artikel Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Nachrichtenabschnitte überprüfen.Die Nachrichtenabschnitte, die für den Sender der Clientanforderung angegeben wurden, müssen mit den Nachrichtenabschnitten, die für den Empfänger der Serveranforderung angegeben wurden, übereinstimmen. Analog dazu muss die für den Client ausgewählte Methode für die digitale Signatur mit der vom Server verwendeten Methode für die digitale Signatur übereinstimmen.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Server für die Überprüfung der digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird beschrieben, wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche Methoden für die digitale Signatur der Server bei der Überprüfung verwendet.

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™ EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf EJB-Projekte > Anwendungsname > ejbModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend auf Öffnen mit > Web-Service-Editor.
  5. Klicken Sie auf das Register Binding-Konfigurationen.
  6. Erweitern Sie den Abschnitt Konfigurationsdetails zur Anforderungsempfängerbindung > Signaturdaten.
  7. Klicken Sie auf Bearbeiten, um die Verschlüsselungsdaten zu bearbeiten. Daraufhin erscheint der Dialog für die Signaturdaten, in dem Sie die folgenden Daten auswählen oder eingeben können:
    • Algorithmus der Kanonisierungsmethode
    • Algorithmus der Digestmethode
    • Algorithmus der Signaturmethode
    • Referenz des Zertifikatspfads verwenden
    • Trust-Anchor-Referenz
    • Zertifikatspeicherreferenz
    • Jedes Zertifikat anerkennen
    Weitere Informationen zum Konzept der digitalen Signatur von SOAP-Nachrichten finden Sie im Artikel "Digitale XML-Signatur". Die folgende Tabelle beschreibt den Zweck der einzelnen Auswahlmöglichkeiten. Einige der folgenden Definitionen basieren auf der Spezifikation "XML-Signature", die Sie unter der folgenden Webadresse finden: http://www.w3.org/TR/xmldsig-core.
    Tabelle 1. Digitale Signaturmethoden. Die digitale Signaturmethode ist Teil der Bindungskonfiguration.
    Name Zweck
    Algorithmus der Kanonisierungsmethode Kanonisiert das Element <SignedInfo>, bevor die Informationen im Rahmen der Signaturoperation verarbeitet werden. Der Algorithmus, der für die Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Senders der Clientanforderung ausgewählt wurde, übereinstimmen.
    Algorithmus der Digestmethode Der Algorithmus für die Digest-Methode wird, sofern angegeben, nach den Umsetzungen auf die Daten angewendet, um das Element <DigestValue> zu erzeugen. Durch die Signatur des Elements <DigestValue> wird der Ressourceninhalt an den Unterzeichnerschlüssel gebunden. Der Algorithmus, der für die Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Senders der Clientanforderung ausgewählt wurde, übereinstimmen.
    Algorithmus der Signaturmethode Konvertiert das kanonisierte Element <SignedInfo> in das Element <SignatureValue>. Der Algorithmus, der für die Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Senders der Clientanforderung ausgewählt wurde, übereinstimmen.
    Referenz des Zertifikatspfads verwenden oder Jedes Zertifikat anerkennen Validiert ein Zertifikat oder eine Signatur, das bzw. die mit der Nachricht gesendet wird. Wenn eine Nachricht signiert wird, wird der öffentliche Schlüssel, der für die Signatur verwendet wird, mit der Nachricht übertragen. Dieser öffentliche Schlüssel wird auf der Empfängerseite möglicherweise nicht validiert. Bei Auswahl von Referenz des Zertifikatspfads verwenden müssen Sie eine Trust-Anchor-Referenz und eine Zertifikatsspeicherreferenz konfigurieren, um das mit der Nachricht gesendete Zertifikat zu validieren. Bei Auswahl von Jedes Zertifikat anerkennen wird die Signatur durch das mit der Nachricht gesendete Zertifikat validiert, ohne dass das Zertifikat selbst validiert wird.
    Referenz des Zertifikatspfads verwenden: Trust-Anchor-Referenz Ein Keystore, der vertrauenswürdige, selbst signierte Zertifikate und CA-Zertifikate enthält. Diese Zertifikate sind anerkannte Zertifikate, die Sie mit allen Anwendungen in Ihrer Implementierung verwenden können.
    Referenz des Zertifikatspfads verwenden: Zertifikatspeicherreferenz Enthält eine Sammlung von X.509-Zertifikaten. Diese Zertifikate sind nicht für alle Anwendungen in der Implementierung anerkannt, können jedoch als Vermittler bei der Validierung von Zertifikaten für eine Anwendung verwendet werden.
  8. Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus, wenn nur die FIPS-konformen Algorithmen in den Listen "Algorithmus der Signaturmethode" und "Algorithmus der Digestmethode" angezeigt werden sollen. Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere Application Server eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden in der Anzeige "Verwaltung von Zertifikaten und Schlüsseln" der Administrationskonsole ausgewählt ist.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen im Client konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld "Actor-URI" an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders> Details, und geben Sie die Actor-Informationen im Feld "Actor" an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Konfigurieren Sie den Actor an den folgenden Stellen:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld "Actor" an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Sie haben angegeben, welche Methode der Server verwendet, um die digitale Signatur in den Nachrichtenabschnitten zu überprüfen.

Nächste Schritte

Vergewissern Sie sich, nachdem Sie den Client für das Signieren der Anforderung und den Server für die Überprüfung der digitalen Signatur von Anforderungen konfiguriert haben, dass die Konfiguration des Servers und des Clients die Verarbeitung der Antwort vorsieht. Geben Sie anschließend die Signatur der Antwort für den Server an. Weitere Informationen hierzu finden Sie im Artikel Server für Signatur der Antworten konfigurieren: Nachrichtenabschnitte digital unterzeichnen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
Dateiname:twbs_confsvrreqdigsignmeth.html