Server für Signatur der Antworten konfigurieren: Nachrichtenabschnitte digital unterzeichnen

Verwenden Sie ein Assembliertools, um beim Konfigurieren des Servers für die Signatur von Antworten die Nachrichtenabschnitte anzugeben, die signiert werden sollen.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten Sie die folgenden Artikel lesen, um sich mit den Registerkarten Extension und Binding des Web-Service-Editors in den IBM® Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Sicherheitserweiterungen bzw. die Sicherheitsbindungen für Web Services konfiguriert.

Informationen zu diesem Vorgang

Führen Sie beim Konfigurieren des Servers für die Signatur von Antworten die folgenden Schritte aus, um anzugeben, welche Nachrichtenabschnitte signiert werden sollen:

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™ EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf EJB-Projekte > Anwendungsname > ejbModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend auf Öffnen mit > Web-Service-Editor.
  5. Klicken Sie auf das Register Erweiterungen, das sich unten im Web-Service-Editor im Assembliertool befindet.
  6. Erweitern Sie den Abschnitt Konfigurationsdetails zum Antwortsenderservice > Integrität. Integrität bezieht sich auf die digitale Signatur, wohingegen sich Vertraulichkeit auf die Verschlüsselung bezieht. Integrität verringert das Risiko der Datenmanipulation, während die Daten im Internet übertragen werden. Weitere Informationen zur digitalen Signatur von SOAP-Nachrichten finden Sie im Abschnitt "Digitale XML-Signaturen".
  7. Wählen Sie die zu signierenden Teile der Nachricht aus. Klicken Sie dazu auf Hinzufügen, und wählen Sie Hauptteil, Zeitmarke oder SecurityToken (Sicherheitstoken) aus.
    Die folgende Liste enthält Beschreibungen der Nachrichtenabschnitte:
    Body
    Der Abschnitt der Nachricht, der die Benutzerdaten enthält.
    Timestamp
    Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn diese Option ausgewählt ist, fahren Sie mit dem nächsten Schritt fort, und klicken Sie auf Erstellte Zeitmarke hinzufügen. Diese Option gibt an, dass die Zeitmarke der Nachricht hinzugefügt werden soll.
    SecurityToken
    Das Sicherheitstoken wird für die Authentifizierung verwendet. Wenn Sie diese Option auswählen, werden der Nachricht Authentifizierungsdaten hinzugefügt.
  8. Optional: Erweitern Sie den Abschnitt Erstellte Zeitmarke hinzufügen. Wählen Sie diese Option aus, wenn Sie der Nachricht eine Zeitmarke hinzufügen möchten. Sie können eine Verfallszeit für die Zeitmarke als weiteren Schutz vor Angriffen durch Nachrichtenaufzeichnung und -wiederholung angeben. Die lexikalische Darstellung der Dauer ist das erweiterte ISO-8601-Format PnYnMnDTnHnMnS:
    • nY gibt die Anzahl der Jahre an.
    • nM gibt die Anzahl der Monate an.
    • nD gibt die Anzahl der Tage an.
    • T ist das Trennzeichen zwischen Datum und Uhrzeit.
    • nH gibt die Anzahl der Stunden an.
    • nM gibt die Anzahl der Minuten an.
    • nS gibt die Anzahl der Sekunden an. Die Anzahl Sekunden kann Dezimalstellen für beliebige Genauigkeit enthalten.

    Wenn Sie beispielsweise eine Dauer von 1 Jahr, 2 Montagen, 3 Tagen, 10 Stunden und 30 Minuten angeben möchten, ist das Format P1Y2M3DT10H30M. In der Regel wird eine eine Nachrichtenzeitmarke mit einer Verfallszeit von 10 bis 30 Minuten konfiguriert. 10 Minuten werden wie folgt dargestellt: P0Y0M0DT0H10M0S. Der Uhrzeit und dem Datum wird das Zeichen P vorangestellt.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld Actor-URI an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders > Details, und geben Sie die Actor-Informationen im Feld Actor an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Konfigurieren Sie den Actor an den folgenden Stellen:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld Actor an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Damit haben Sie die Nachrichtenabschnitte angegeben, die digital zu signieren sind, wenn der Server eine Antwort an den Client sendet.

Nächste Schritte

Nachdem Sie die die digital zu unterzeichnenden Nachrichtenabschnitte angegeben haben, müssen Sie die für die digitale Signatur zu verwendende Methode angeben. Nähere Informationen enthält der Artikel Server für Signatur der Antworten konfigurieren: Methode für digitale Signatur auswählen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrrespsignmsg
Dateiname:twbs_confsvrrespsignmsg.html