Trust-Anchor

Ein Trust-Anchor gibt die Keystores an, die Trusted-Root-Zertifikate enthalten. Diese Zertifikate werden zur Validierung des X.509-Zertifikats verwendet, das in die SOAP-Nachricht eingebettet ist.

Bei Verwendung von WebSphere Application Server mit dem Programmiermodell JAX-RPC werden Keystores von den folgenden Nachrichtenpunkten für die Validierung des X.509-Zertifikats verwendet, das für die digitale Signatur oder die XML-Verschlüsselung eingesetzt wird:
  • Der in der Datei ibm-webservices-bnd.xmi definierte Konsument (Empfänger) der Anforderung.
  • Der in der Datei ibm-webservicesclient-bnd.xmi definierte Konsument (Empfänger) der Antwort, wenn ein Web-Service als Client für einen anderen Web-Service fungiert.
Für WebSphere Application Server Version 7.0 mit Verwendung von JAX-WS werden Keystores von den folgenden Nachrichtenpunkten für die Validierung des X.509-Zertifikats verwendet, das für die digitale Signatur oder die XML-Verschlüsselung eingesetzt wird:
  • Der in den eingehenden Schlüsseln und Zertifikaten der WS-Security-Bindungen definierte Anforderungskonsument.
  • Der in den eingehenden Schlüsseln und Zertifikaten der WS-Security-Bindungen definierte Anforderungskonsument, wenn ein Web-Service als Client für einen anderen Web-Service fungiert.

Die Keystores sind für die Integrität der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden, ist das Ergebnis der Validierung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die für den Konsumenten definierte Bindungskonfiguration muss mit der Bindungskonfiguration für den Antwortgenerator übereinstimmen.

Der Trust-Anchor ist in der Java™ API CertPath als "java.security.cert.TrustAnchor" definiert. Die Java-API CertPath verwendet den Trust-Anchor und den Zertifikatsspeicher, um das ankommende X.509-Zertifikat zu validieren, das in die SOAP-Nachricht eingebettet ist. Die Implementierung von Web Services Security in WebSphere Application Server unterstützt diesen Trust-Anchor. In WebSphere Application Server wird der Trust-Anchor als Java-Keystore-Objekt dargestellt. Typ, Pfad und Kennwort des Keystore werden über die Administrationskonsole oder durch Scripts an die Implementierung übergeben.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_trustancv6
Dateiname:cwbs_trustancv6.html