Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Nachrichtenabschnitte überprüfen

Sie können die Überprüfung digitaler Signaturen in Anforderungen für den Server konfigurieren, indem Sie in den Erweiterungen die Teile der Anforderung angeben, die geprüft werden sollen.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Lesen Sie vor der Ausführung dieser Schritte einen der folgenden Artikel, um sich mit den Einstellungen auf der Registerkarten Erweiterungen und Binding-Konfigurationen des Web-Services-Editors eines Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Erweiterungen bzw. Bindungen von Web Services Security konfiguriert. Außerdem müssen Sie angeben, welche Abschnitte der vom Client gesendeten Nachricht digital signiert werden müssen. Informationen zum Festlegen der digital zu signierenden Nachrichtenabschnitte finden Sie im Artikel Client für Signatur der Anforderungen konfigurieren: Nachrichtenabschnitte digital unterzeichnen. Die Nachrichtenabschnitte, die für den Sender der Clientanforderung angegeben wurden, müssen mit den Nachrichtenabschnitten, die für den Empfänger der Serveranforderung angegeben wurden, übereinstimmen.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Server für die Überprüfung der digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird beschrieben, wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche Abschnitte der Anforderung überprüft werden sollen.

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™-EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf EJB-Projekte > Anwendungsname > ejbModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, und klicken Sie anschließend auf Öffnen mit > Web-Services-Editor.
  5. Klicken Sie im Web-Services-Editor auf das Register "Erweiterungen".
  6. Erweitern Sie den Abschnitt Konfigurationsdetails zum Anforderungsempfängerservice > Erforderliche Integrität. Die erforderliche Integrität bezieht sich auf die Abschnitte der Nachricht, deren digitale Signatur überprüft werden muss. Die Überprüfung der digitalen Signatur soll sicherstellen, dass die Nachrichtenabschnitte während der Übertragung im Internet nicht geändert wurden.
  7. Geben Sie die zu prüfenden Abschnitte der Nachricht an, indem Sie auf Hinzufügen klicken und einen der folgenden drei Abschnitte auswählen: body, Timestamp oder SecurityToken. Sie können anhand der Konfiguration des Senders der Web-Service-Anforderung in der Clientanwendung festlegen, welche Abschnitte der Nachricht überprüft werden sollen. Wenn Sie die Konfigurationsdaten des Senders der Web-Service-Anforderung im Editor für Web-Service-Clients anzeigen möchten, klicken Sie auf das Register "Sicherheitserweiterungen", und erweitern Sie den Abschnitt Konfiguration des Anforderungssenders > Integrität. Die folgende Liste enthält Beschreibungen der Nachrichtenabschnitte:
    Body
    Der Teil der Nachricht, der die Benutzerdaten enthält.
    Timestamp
    Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn Timestamp ausgewählt ist, fahren Sie mit dem nächsten Schritt fort, um der Nachricht die erstellte Zeitmarke hinzuzufügen.
    SecurityToken
    Das Sicherheitstoken authentifiziert den Client. Wenn SecurityToken ausgewählt ist, wird die Nachricht signiert.
  8. Optional: Erweitern Sie den Abschnitt Empfangene Zeitmarke hinzufügen. Der Wert für "Empfangene Zeitmarke hinzufügen" zeigt an, dass der vom Client konfigurierte Wert für "Erstellte Zeitmarke hinzufügen" validiert werden soll. Sie müssen diese Option auswählen, wenn Sie auf dem Client "Erstellte Zeitmarke hinzufügen" ausgewählt haben. Die Zeitmarke stellt die Nachrichtenintegrität sicher, indem Sie die Aktualität der Anforderung anzeigt. Diese Option hilft, Angriffe durch Nachrichtenaufzeichnung und -wiederholung abzuwehren.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld Actor-URI an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders > Details, und geben Sie die Actor-Informationen im Feld Actor an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Konfigurieren Sie den Actor an den folgenden Stellen:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld Actor an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Sie haben angegeben, welche Nachrichtenabschnitte digital signiert sind und vom Server überprüft werden müssen, wenn der Client eine Nachricht an den Server sendet.

Nächste Schritte

Wenn Sie angegeben haben, welche Nachrichtenabschnitte eine vom Server zu überprüfende digitale Signatur enthalten, müssen Sie den Server so konfigurieren, dass er die Methode für die digitale Signatur erkennt, die verwendet wird, um die Nachricht digital zu signieren. Weitere Informationen finden Sie im Artikel Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Prüfmethode auswählen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmsg
Dateiname:twbs_confsvrreqdigsignmsg.html