Sie können die Schlüsseldaten für den Anforderungskonsumenten (Serverseite) und den Antwortkonsumenten (Clientseite) auf Anwendungsebene
konfigurieren.
Vorbereitende Schritte
Konfigurieren Sie die Key-Locator und die Tokenkonsumenten, auf die in den Feldern
"Key-Locator-Referenz" und "Tokenreferenz" in der Anzeige "Schlüsseldaten" verwiesen wird.
Informationen zu diesem Vorgang
Diese Task beschreibt, wie Sie die Schlüsseldaten für die Bindungen für den Anforderungskonsumenten (Serverseite) und für den Antwortkonsumenten (Clientseite) auf Anwendungsebene konfigurieren. Auf der Konsumentenseite enthalten die Schlüsseldaten
die Informationen zum Schlüssel, die für die Validierung der digitalen Signatur in der empfangenen Nachricht bzw. für die Entschlüsselung der verschlüsselten Nachrichtenabschnitte benötigt werden. Führen Sie die folgenden Schritte aus, um die Schlüsseldaten für
die Konsumentenbindung auf Anwendungsebene zu konfigurieren.
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige für das Konfigurieren der Schlüsseldaten auf.
- Klicken Sie auf .
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungskonsumenten
und den Antwortkonsumenten zugreifen.
- Klicken Sie für die Anforderungskonsumentenbindung (Empfänger) auf Web-Services: Serversicherheitsbindungen. Klicken
Sie unter "Anforderungskonsumentenbindung (Empfänger)" auf Angepasste
Bindungen bearbeiten.
- Klicken Sie für die Antwortkonsumentenbindung (Empfänger) auf Web-Services:
Clientsicherheitsbindungen. Klicken Sie unter "Antwortkonsumentenbindung (Empfänger)" auf Angepasste
Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf Schlüsseldaten.
- Klicken Sie auf eine der folgenden Optionen, um die Schlüsseldatenkonfiguration zu bearbeiten:
- Neu
- Wenn Sie auf diesen Eintrag klicken, können Sie eine neue Schlüsseldatenkonfiguration erstellen.
Geben Sie im Feld "Name der Schlüsseldaten" einen Namen ein.
Beispielsweise
können Sie den Namen con_signkeyinfo angeben.
- Löschen
- Klicken Sie auf diesen Eintrag, um eine ausgewählte Konfiguration zu löschen.
- Vorhandene Schlüsseldatenkonfiguration bearbeiten
- Wenn Sie auf diesen Eintrag klicken, können Sie die Einstellungen einer Schlüsseldatenkonfiguration bearbeiten.
- Wählen Sie im Feld "Typ der Schlüsseldaten" einen Typ für die Schlüsseldaten aus. Die Schlüsseldatentypen geben unterschiedliche Mechanismen für die Referenzierung von Sicherheitstoken
mit dem Element <wsse:SecurityTokenReference> im Element <ds:KeyInfo> an.
WebSphere Application Server unterstützt
die folgenden Schlüsseldatentypen:
- Schlüssel-ID
- Das Sicherheitstoken wird mit einem nicht transparenten Wert referenziert, der das
Token eindeutig identifiziert.
Der Algorithmus, der für die Generierung des Werts von <KeyIdentifier> verwendet wird, richtet sich nach dem
Tokentyp.
Sie können die Kennung beispielsweise für öffentliche Schlüssel verwenden, die in Internet Engineering Task Force (IETF) Request for Comment
(RFC) 3280 definiert sind.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
/oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
/62wXO...
</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Schlüsselname
- Das Sicherheitstoken wird mit einem Namen referenziert, der der Zusicherung einer Identität (IDAssertion) im Token entspricht.
Verwenden Sie diesen Schlüsseltyp nicht, da
er dazu führen kann, dass mehrere Sicherheitstoken dem angegebenen Namen entsprechen.
Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
Im Allgemeinen verwenden Sie einen Schlüsselnamen, wenn Sie einen digitalen Key-HMAC-Signaturalgorithmus
(Hashed Message Authentication Code) für digitale Signatur wie http://www.w3.org/2000/09/xmldsig#hmac-sha1 verwenden.
- Referenz des Sicherheitstokens
- Das Sicherheitstoken wird mithilfe der URIs direkt referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI='#SomeCert'
ValueType="http://docs.oasis-open.org/wss/2004/01/
oasis-200401-wss-x509-token-profile-1.0#X509v3" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Integriertes Token
- Das Sicherheitstoken wird direkt in das Element <SecurityTokenReference>
eingebettet. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Name und Seriennummer des X509-Zertifikatausstellers
- Das Sicherheitstoken wird durch den Namen und die Seriennummer eines X.509-Zertifikats referenziert. Das folgende Element <KeyInfo> wird in der SOAP-Nachricht für diesen Schlüsseldatentyp generiert:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
Alle Schlüsseldatentypen sind im OASIS-Standard
"Web Services
Security: SOAP Message Security 1.0 (WS-Security 2004)" beschrieben, den Sie auf der Webseite
http://www.oasis-open.org/home/index.php unter "Web Services Security" finden.
- Wählen Sie im Feld "Key-Locator-Referenz" eine Referenz auf den Key-Locator aus. Der Wert dieses Feldes ist eine Referenz auf einen Key-Locator, mit dem
WebSphere Application Server
die Schlüssel sucht, die für die digitale Signatur und für die Verschlüsselung verwendet werden.
Bevor Sie einen Key-Locator auswählen können, müssen Sie einen Key-Locator konfigurieren.
Weitere Informationen zum Konfigurieren eines Key-Locator finden Sie im Artikel Key-Locator für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren.
- Wählen Sie im Feld "Tokenreferenz" eine Tokenreferenz aus. Die Tokenreferenz gibt eine Referenz auf einen Tokenkonsumenten an, die für die Verarbeitung des Sicherheitstoken in der Nachricht verwendet wird. WebSphere Application Server benötigt dieses Feld jedoch nur dann,
wenn Sie im Feld "Typ der Schlüsseldaten" den Wert "Referenz auf Sicherheitstoken" oder "Integriertes Token" angeben. Bevor Sie eine Tokenreferenz angeben,
müssen Sie einen Tokenkonsumenten konfigurieren. Weitere Informationen zum Konfigurieren eines Tokenkonsumenten
finden Sie im Artikel Tokenkonsumenten zum Schutz der Nachrichtenauthentizität auf Anwendungsebene mit JAX-RPC konfigurieren.
Wählen Sie (Ohne)
aus, wenn kein Tokenkonsument für die Konfiguration dieser Schlüsseldaten erforderlich ist.
- Klicken Sie auf OK und Speichern, um diese Konfiguration zu speichern.
Ergebnisse
Sie haben die Schlüsseldaten für die Anforderungskonsumenten- und/oder Antwortkonsumentenbindung auf Anwendungsebene konfiguriert.
Nächste Schritte
Falls Sie die Schlüsseldaten für die Generatorbindung noch nicht konfiguriert haben,
müssen Sie eine ähnliche Konfiguration für die Generatorschlüsseldaten erstellen. Nachdem Sie
die Schlüsseldaten für den Konsumenten und den Generator konfiguriert haben, konfigurieren
Sie die Signaturdaten oder Verschlüsselungsdaten, die auf die hier angegebenen Schlüsseldaten verweisen.