Bei der Authentifizierung mit Signatur wird ein X.509-Zertifikat vom Client an den Server gesendet.
Das Zertifikat wird für die Authentifizierung bei der auf dem Server konfigurierten Benutzerregistry verwendet.
Der Client erfasst die Authentifizierungsdaten für die Signaturauthentifizierung.
Informationen zu diesem Vorgang
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6.0.x und höher. Die Informationen
in diesem Artikel
gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Sie können die Signaturauthentifizierung konfigurieren.
Eine Signatur
verweist auf die Verwendung eines X.509-Zertifikats für die Anmeldung beim Zielserver.
Legen Sie wie folgt fest, wie der Client
die Authentifizierungsdaten für die Authentifizierung mit Signatur erfassen soll:
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java™ EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie anschließend aus.
- Klicken Sie im Assembliertool unten im Editor für Implementierungsdeskriptor
auf das Register "WS-Bindung".
- Erweitern Sie den Abschnitt , und klicken Sie auf Bearbeiten, um den Namen des Signierschlüssels
und den Key-Locator für die Signatur zu ändern. Wenn Sie neue Signaturdaten erstellen möchten, klicken Sie auf Aktivieren. Das Zertifikat, dass an die Anmeldung beim Server gesendet wird, ist das im Abschnitt
"Signaturdaten" konfigurierte Zertifikat. Lesen Sie die Informationen über Key Locator, um
die Zuordnung zwischen dem für die Signatur verwendeten Schlüsselnamen
und einem Schlüssel im Key-Locator-Eintrag zu verstehen.
Die Informationen sind in der folgenden Liste erläutert. Einige dieser Definitionen
basieren auf der Spezifikation "XML-Signature", die Sie unter der folgenden Webadresse finden:
http://www.w3.org/TR/xmldsig-core.
- Algorithmus der Kanonisierungsmethode
- Kanonisiert das Element <SignedInfo>, bevor es im Rahmen der Signaturoperation verarbeitet wird.
- Algorithmus der Digestmethode
- Stellt den Algorithmus dar, der, sofern angegeben, nach der Umsetzung auf die Daten angewendet wird,
um das Element <DigestValue> zu erzeugen. Die Signatur des Elements
<DigestValue> bindet den Ressourceninhalt an den Unterzeichnerschlüssel.
Der Algorithmus, der für die
Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem
Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde,
übereinstimmen.
- Algorithmus der Signaturmethode
- Gibt den Algorithmus an, der verwendet wird, um den kanonisierten Wert des Elements
<SignedInfo>
in den <SignatureValue>-Wert zu konvertieren. Der Algorithmus, der für die
Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem
Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde,
übereinstimmen.
- Name des Signierschlüssels
- Der Name des Signierschlüssels ist der Schlüsseleintrag, der dem
Key Locator für Signatur zugeordnet ist. Der Schlüsseleintrag verweist auf einen Alias des Schlüssels, der für die
Unterzeichnung der Anforderung verwendet wird.
- Suchfunktion des Signierschlüssels
- Verweist auf eine Key-Locator-Implementierung.
- Erweitern Sie den Abschnitt .
- Klicken Sie auf Bearbeiten, um die Bindungsdaten für die Anmeldung anzuzeigen. Geben Sie die folgenden Informationen ein:
- Authentifizierungsmethode
- Gibt den Typ der durchzuführenden Authentifizierung an. Wählen Sie Signatur aus, wenn Sie die Authentifizierung mit Signatur verwenden möchten.
- Tokenwerttypen "URI" und "Lokaler Name"
- Wenn Sie Signature auswählen, können Sie die Werte der Tokenwerttypen "URI" und "Lokaler Name" nicht bearbeiten. Gibt angepasste Authentifizierungstypen an. Für
die Authentifizierung mit Signatur lassen Sie diese Felder leer.
- Callback-Handler
- Gibt die JAAS-Callback-Handler-Implementierung für die Erfassung der Signaturdaten an.
Geben Sie für die Authentifizierung mit Signatur den folgenden Callback-Handler ein: com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler.
Dieser Callback-Handler
wird verwendet, weil bei der Authentifizierungsmethode "Signature" keine Benutzerinteraktion erforderlich ist.
- Benutzer-ID und Kennwort für Basisauthentifizierung
- Lassen Sie die Felder für die Basisauthentifizierung (BasicAuth) leer, wenn Sie die Authentifizierung mit Signatur ausgewählt haben.
- Eigenschaftsname und Eigenschaftswert
- In diesem Feld können Sie Eigenschaften und Name/Wert-Paare für eigene Callback-Handler eingeben. Für die Authentifizierung durch Signatur müssen Sie keine Informationen eingeben.
Nächste Schritte
Weitere Anpassungseinträge:: Der Abschnitt "Details für die portqualifizierte Namensbindung" enthält einen Eintrag für die Basisauthentifizierung. Dieser Eintrag
wird für die Authentifizierung von HTTP-Transporten verwendet, die erforderlich sein kann, wenn das Router-Servlet geschützt ist.
Die Angaben im Abschnitt
Web Services Security-Signaturauthentifizierung
setzen Sie Angaben zur Basisauthentifizierung außer Kraft, die im Abschnitt "Details für die portqualifizierte Namensbindung"
für die Berechtigung des Web-Service enthalten sind.
Wenn Sie
die Authentifizierungsmethode mit Signatur verwenden möchten, müssen Sie die
Authentifizierungsmethode im Abschnitt "Anmeldekonfiguration" eines Assembliertools angeben.