Client für Signatur der Anforderungen konfigurieren: Methode für digitale Signatur auswählen

Wenn Sie die Anforderungssignatur im Client konfigurieren möchten, müssen Sie während der Konfiguration des Clients angeben, welche Nachrichtenabschnitte signiert werden sollen.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten Sie die folgenden Artikel lesen, um sich mit den Registerkarten Sicherheitserweiterungen und Port-Binding des Editors für Web-Service-Clients in den Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Erweiterungen für Web Services Security bzw. die Bindungen für Web Services Security konfiguriert.Außerdem müssen Sie angeben, welche Abschnitte der vom Client gesendeten Nachricht digital signiert werden müssen. Weitere Informationen finden Sie im Artikel Client für Signatur der Anforderungen konfigurieren: Nachrichtenabschnitte digital unterzeichnen.

Informationen zu diesem Vorgang

Führen Sie beim Konfigurieren des Clients für die Signatur von Anforderungen die folgenden Schritte aus, um anzugeben, welche Nachrichtenabschnitte signiert werden sollen:

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™-EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf Anwendungsclientprojekte > Anwendungsname > appClientModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, wählen Sie Öffnen mit > Editor für Implementierungsdeskriptor aus, und klicken Sie anschließend auf das Register WS-Bindung. Die Anzeige "Clientimplementierungsdeskriptor" erscheint.
  5. Erweitern Sie Sicherheitskonfiguration der Anforderungssenderbindungen > Signaturdaten.
  6. Wählen Sie Bearbeiten aus, um die Signaturdaten anzuzeigen, und wählen Sie dann im Feld Algorithmus der Signaturmethode eine Methode für digitale Signatur aus. Die folgende Tabelle beschreibt den Zweck dieser Informationen. Einige dieser Definitionen basieren auf der Spezifikation "XML-Signature", die Sie auf der folgenden Website finden: http://www.w3.org/TR/xmldsig-core.
    Tabelle 1. Digitale Signaturmethoden. Die Informationen für digitale Signaturmethoden werden im Clientimplementierungsdeskriptor beschrieben.
    Name Zweck
    Algorithmus der Kanonisierungsmethode Kanonisiert das Element <SignedInfo>, bevor die Informationen im Rahmen der Signaturoperation verarbeitet werden.
    Algorithmus der Digestmethode Der Algorithmus für die Digest-Methode wird, sofern angegeben, nach den Umsetzungen auf die Daten angewendet, um das Element <DigestValue> zu erzeugen. Durch die Signatur des Elements <DigestValue> wird der Ressourceninhalt an den Unterzeichnerschlüssel gebunden. Der Algorithmus, der für die Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, übereinstimmen.
    Algorithmus der Signaturmethode Konvertiert das kanonisierte Element <SignedInfo> in das Element <SignatureValue>. Der Algorithmus, der für die Konfiguration des Senders der Clientanforderung ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Empfängers der Serveranforderung ausgewählt wurde, übereinstimmen.
    Name des Signierschlüssels Der Name des Signierschlüssels ist der Schlüsseleintrag, der dem Key-Locator für Signatur zugeordnet ist. Der Schlüsseleintrag verweist auf einen Aliasnamen des Schlüssels, der zum Signieren der Anforderung verwendet wird.
    Suchfunktion des Signierschlüssels Die Suchfunktion (Key-Locator) für Signatur verweist auf die Implementierungsklasse, die den richtigen Keystore sucht, in dem Aliasname und Zertifikat enthalten sind.
  7. Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus, wenn nur die FIPS-konformen Algorithmen in den Dropdown-Listen Algorithmus der Digestmethode und Algorithmus der Signaturmethode angezeigt werden sollen. Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere-Anwendungsserver eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden in der Anzeige "Verwaltung von Zertifikaten und Schlüsseln" der WebSphere-Administrationskonsole ausgewählt ist.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen auf dem Client im Editor für Web-Service-Clients des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld Actor-URI an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders> Details, und geben Sie die Actor-Informationen im Feld Actor an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Sie können den Actor an den folgenden Positionen im Web-Services-Editor des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld Actor an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Damit haben Sie die Methode festgelegt, die für die digitale Signatur einer Nachricht zu verwenden ist, wenn der Client eine Nachricht an einen Server sendet.

Nächste Schritte

Nachdem Sie den Client für die digitale Signatur der Nachricht konfiguriert haben, müssen Sie den Server für die Prüfung der digitalen Signatur konfigurieren. Weitere Informationen finden Sie im Artikel Server für Überprüfung der digitalen Signatur von Anforderungen konfigurieren: Nachrichtenabschnitte überprüfen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclreqsignmeth
Dateiname:twbs_confclreqsignmeth.html