Signaturdaten mit JAX-RPC für die Konsumentenbindung auf Server- oder Zellenebene konfigurieren

Sie können die Signaturdaten für den clientseitigen Anforderungsgeneratorbindungen und serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene konfigurieren.

Vorbereitende Schritte

Anmerkung: Nur in WebSphere Application Server Version 6.x und früher müssen Sie in der serverseitigen Erweiterungsdatei (ibm-webservices-ext.xmi) und in der clientseitigen Erweiterungsdatei für den Implementierungsdeskriptor (ibm-webservicesclient-ext.xmi) angeben, welche Abschnitte der Nachricht signiert werden sollen. Außerdem müssen Sie die Schlüsseldaten konfigurieren, auf die in den Schlüsseldatenreferenzen in der Anzeige "Signaturdaten" in der Administrationskonsole verwiesen wird.

Informationen zu diesem Vorgang

In dieser Task werden die Schritte beschrieben, die Sie ausführen müssen, um die Signaturdaten für die clientseitigen Anforderungsgeneratorbindungen und die serverseitigen Antwortgeneratorbindungen auf Server- oder Zellenebene zu konfigurieren. WebSphere Application Server verwendet die Signaturdaten für den Standardgenerator, um Nachrichtenabschnitte wie Hauptteil der Nachricht, Zeitmarke und Benutzernamenstoken zu signieren, wenn diese Bindungen nicht auf Anwendungsebene definiert sind. WebSphere Application Server stellt Standardwerte für die Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden.

Sie können die Signaturdaten für die Konsumentenbindung auf der Server- und Zellenebene konfigurieren. Verwenden Sie bei den nachfolgend genannten Schritten die Anweisungen im ersten Schritt für den Zugriff auf die Standardbindungen auf Serverebene und die Anweisungen im zweiten Schritt für den Zugriff auf die Bindungen auf Zellenebene.

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Standardkonsumentenbindungen" auf Signaturdaten.
  4. Klicken Sie auf Neu, um eine Signaturdatenkonfiguration zu erstellen, auf Löschen, um eine vorhandene Konfiguration zu löschen, oder auf den Namen einer vorhandenen Signaturdatenkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Signaturdaten" einen eindeutigen Namen für diese Konfiguration ein. Beispielsweise können Sie den Namen gen_signinfo angeben.
    Fehler vermeiden Fehler vermeiden: Wenn Sie mehrere Signaturdatenkonfigurationen erstellen, berücksichtigt die WS-Security-Laufzeitumgebung nur erste in der Bindungsdatei aufgelistete Konfiguration.gotcha
  5. Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Der für den Standardkonsumenten angegebene Algorithmus muss mit dem für den Standardgenerator angegebenen Algorithmus übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
  6. Wählen Sie eine Kanonisierungsmethode aus dem Feld "Kanonisierungsmethode" aus. Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Kanonisierungsalgorithmen für kanonisches XML und exklusives XML:
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  7. Wählen Sie im Feld "Signaturtyp für Schlüsseldaten" einen Signaturtyp für die Schlüsseldaten aus. Mit dem Signaturtyp für die Schlüsseldaten wird die Art und Weise der digitalen Signatur des Schlüssels angegeben. WebSphere Application Server unterstützt die folgenden Signaturtypen:
    None
    Gibt an, dass das Element KeyInfo nicht signiert wird.
    Keyinfo
    Gibt an, dass das gesamte Element KeyInfo signiert wird.
    Keyinfochildelements
    Gibt an, dass die untergeordneten Elemente des KeyInfo-Elements signiert werden.
    Der Signaturtyp für Schlüsseldaten für den Konsumenten muss mit dem Signaturtyp für den Generator übereinstimmen. Es können folgende Fälle eintreten:
    • Wenn Sie keinen der genannten Signaturtypen angeben, verwendet WebSphere Application Server standardmäßig den Wert keyinfo.
    • Wenn Sie Keyinfo oder Keyinfochildelements auswählen und in einem weiteren Schritt als Umsetzungsalgorithmus http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform auswählen, signiert WebSphere Application Server auch das referenzierte Token.
  8. Klicken Sie auf OK, um die Konfiguration zu speichern.
  9. Klicken Sie auf den Namen der neuen Konfiguration für die Signaturdaten. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
  10. Geben Sie die Referenzen auf die Schlüsseldaten, die Referenzen auf Nachrichtenabschnitte, den Digest-Algorithmus und den Umsetzungsalgorithmus an.
    1. Klicken Sie unter "Weitere Eigenschaften" auf Referenzen auf Schlüsseldaten > Neu, um eine neue Referenz zu erstellen. Klicken Sie auf Referenzen auf Schlüsseldaten > Löschen, um eine vorhandene Referenz zu löschen. Klicken Sie auf einen Referenznamen, um eine vorhandene Referenz auf Schlüsseldaten zu bearbeiten.
    2. Geben Sie im Feld "Name" einen Namen für die Konfiguration ein. Geben Sie z. B. con_skeyinfo ein.
    3. Wählen Sie im Feld "Referenz auf Schlüsseldaten" eine Referenz aus. Die Referenz auf Schlüsseldaten verweist auf den Schlüssel, den WebSphere Application Server für die digitale Signatur verwendet. In den Bindungsdateien wird die Referenz im Element <signingKeyInfo> angegeben. Der für die Signatur verwendete Schlüssel wird mit dem Element für die Schlüsseldaten angegeben, das auf derselben Ebene wie die Signaturdaten definiert wird. Weitere Informationen finden Sie im Artikel Schlüsseldaten für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren.
    4. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
    5. Klicken Sie unter "Weitere Eigenschaften" auf Abschnittsreferenzen > Neu, um eine neue Abschnittsreferenz zu erstellen. Klicken Sie auf Abschnittsreferenzen > Löschen, um eine vorhandene Abschnittsreferenz zu löschen. Klicken Sie auf einen Abschnittsnamen, um eine vorhandene Abschnittsreferenz zu bearbeiten. Die Referenzen auf Nachrichtenabschnitte geben an, welche Teile der Nachricht digital signiert werden. Das Attribut "part" verweist auf den Namen des Elements <RequiredIntegrity> im Implementierungsdeskriptor, wenn das Element <PartReference> für die digitale Signatur angegeben ist. WebSphere Application Server bietet Ihnen die Möglichkeit, mehrere Elemente vom Typ <PartReference> für das Element <SigningInfo> anzugeben. Das Element <PartReference> hat zwei untergeordnete Elemente, <DigestMethod> und <Transform>.
    6. Geben Sie für die Referenz auf Nachrichtenabschnitte einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint angeben.
      Wichtig: Sie müssen im Feld "Referenz auf Nachrichtenabschnitte" keinen Wert angeben, wie dies der Fall auf der Anwendungsebene ist, da die Referenz auf Nachrichtenabschnitte auf der Anwendungsebene auf einen bestimmten Teil der Nachricht, die signiert wird, verweist. Sie können diesen Wert nicht angeben, da die Standardbindungen auf der Server- und Zellenebene für alle auf einem bestimmten Server definierten Services gültig sind.
    7. Wählen Sie im Feld Algorithmus für Digest-Methode einen Algorithmus für die Digest-Methode aus. Der im Element <DigestMethod> angegebene Algorithmus für die Digest-Methode wird im Element <SigningInfo> verwendet.
      WebSphere Application Server unterstützt die folgenden Algorithmen:
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    8. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
    9. Klicken Sie auf den Namen der neuen Konfiguration für die Referenz auf Nachrichtenabschnitte. Dies ist die Konfiguration, die Sie in den vorherigen Schritten erstellt haben.
    10. Klicken Sie unter "Weitere Eigenschaften" auf Umsetzungen > Neu, um eine neue Umsetzung zu erstellen. Klicken Sie auf Umsetzungen > Löschen, um eine Umsetzung zu löschen. Klicken Sie auf einen Umsetzungsnamen, um eine vorhandene Umsetzung zu bearbeiten. Geben Sie bei der Erstellung einer neuen Umsetzung einen eindeutigen Namen an. Beispielsweise können Sie den Namen reqint_body_transform1 angeben.
    11. Wählen Sie aus dem Menü einen Umsetzungsalgorithmus aus. Der Umsetzungsalgorithmus wird im Element <Transform> angegeben. Dieses Element gibt den Umsetzungsalgorithmus für die Signatur an. WebSphere Application Server unterstützt die folgenden Algorithmen:
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Einschränkung: Verwenden Sie diesen Umsetzungsalgorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll. Verwenden Sie stattdessen zur Gewährleistung der Kompatibilität http://www.w3.org/2002/06/xmldsig-filter2.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      Der Umsetzungsalgorithmus, den Sie für den Konsumenten angeben, muss mit dem Umsetzungsalgorithmus für den Generator übereinstimmen.

      Wichtig: Wenn die beiden nachfolgend genannten Bedingungen zutreffen, signiert WebSphere Application Server das referenzierte Token:
      • Sie haben bereits in der Anzeige "Signaturdaten" die Option "Keyinfo" bzw. "Keyinfochildelements" im Feld "Signaturtyp für Schlüsseldaten" ausgewählt.
      • Sie haben folgenden Umsetzungsalgorithmus ausgewählt: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
  11. Klicken Sie auf OK.
  12. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sobald Sie diese Schritte durchgeführt haben, ist die Konfiguration der Signaturdaten für den Konsumenten auf Server- oder Zellenebene abgeschlossen.

Nächste Schritte

Sie müssen analog eine Konfiguration für die Signaturdaten für den Generator erstellen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfoconssvrcell
Dateiname:twbs_configsigninfoconssvrcell.html