Verwenden Sie ein Assembliertools, um beim Konfigurieren des Servers für die Signatur von Antworten
die Nachrichtenabschnitte anzugeben, die signiert werden sollen.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte
ausführen, sollten
Sie die folgenden Artikel lesen, um sich mit den Registerkarten
Extension und
Binding des Web-Service-Editors
in den IBM® Assembliertools vertraut zu machen:
Auf diesen beiden Registerkarten werden die Sicherheitserweiterungen bzw. die Sicherheitsbindungen für Web Services
konfiguriert.
Informationen zu diesem Vorgang
Führen Sie beim Konfigurieren des Servers für die Signatur von Antworten
die folgenden Schritte aus, um anzugeben, welche Nachrichtenabschnitte signiert werden
sollen:
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die
Java™ EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf
die Datei webservices.xml, und klicken Sie anschließend auf .
- Klicken Sie auf das Register Erweiterungen, das sich unten im Web-Service-Editor im Assembliertool
befindet.
- Erweitern Sie den Abschnitt . Integrität
bezieht sich auf die digitale Signatur, wohingegen sich Vertraulichkeit auf die Verschlüsselung bezieht. Integrität
verringert das Risiko der Datenmanipulation, während die Daten im Internet übertragen werden. Weitere Informationen zur digitalen Signatur von SOAP-Nachrichten finden Sie im Abschnitt "Digitale XML-Signaturen".
- Wählen Sie die zu signierenden Teile der Nachricht aus. Klicken Sie dazu
auf Hinzufügen, und wählen Sie Hauptteil, Zeitmarke oder SecurityToken (Sicherheitstoken) aus.
Die folgende Liste enthält Beschreibungen der Nachrichtenabschnitte:
- Body
- Der Abschnitt der Nachricht, der die Benutzerdaten enthält.
- Timestamp
- Die Zeitmarke bestimmt, ob die Nachricht basierend auf der Sende- und Empfangszeit gültig ist. Wenn diese Option
ausgewählt ist, fahren Sie mit dem nächsten Schritt fort, und klicken Sie auf
Erstellte Zeitmarke hinzufügen. Diese Option gibt an, dass die Zeitmarke der Nachricht hinzugefügt werden soll.
- SecurityToken
- Das Sicherheitstoken wird für die Authentifizierung verwendet. Wenn Sie diese Option auswählen,
werden der Nachricht Authentifizierungsdaten hinzugefügt.
- Optional: Erweitern Sie den Abschnitt Erstellte Zeitmarke hinzufügen.
Wählen Sie diese Option aus, wenn Sie der Nachricht eine Zeitmarke hinzufügen möchten. Sie können eine Verfallszeit für die Zeitmarke als weiteren Schutz vor Angriffen durch Nachrichtenaufzeichnung und -wiederholung angeben. Die lexikalische Darstellung der Dauer ist das erweiterte ISO-8601-Format PnYnMnDTnHnMnS:
- nY gibt die Anzahl der Jahre an.
- nM gibt die Anzahl der Monate an.
- nD gibt die Anzahl der Tage an.
- T ist das Trennzeichen zwischen Datum und Uhrzeit.
- nH gibt die Anzahl der Stunden an.
- nM gibt die Anzahl der Minuten an.
- nS gibt die Anzahl der Sekunden an. Die Anzahl Sekunden kann Dezimalstellen für
beliebige Genauigkeit enthalten.
Wenn Sie beispielsweise eine Dauer von 1 Jahr, 2 Montagen, 3 Tagen, 10 Stunden
und 30 Minuten angeben möchten, ist das Format P1Y2M3DT10H30M. In der Regel
wird eine eine Nachrichtenzeitmarke mit einer Verfallszeit von 10 bis 30 Minuten konfiguriert.
10 Minuten werden wie folgt dargestellt:
P0Y0M0DT0H10M0S. Der Uhrzeit und dem Datum wird das Zeichen P vorangestellt.
Ergebnisse
Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers
richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler
Soap body not
signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise
den Actor konfigurieren. Sie können den Actor an den folgenden Positionen konfigurieren:
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld Actor-URI an.
- Klicken Sie auf , und geben Sie die Actor-Informationen im Feld Actor an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der
die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Konfigurieren Sie den Actor an den folgenden Stellen:
- Klicken Sie auf .
- Klicken Sie auf ,
und geben Sie die Actor-Informationen im Feld Actor an.
Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe
Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird
die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server
weitergeleitet.
Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen
anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und
Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht
derselbe Actor
konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird,
verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden
diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess,
der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung.
Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob
die Actor-Felder des Clients und des Servers synchronisiert sind.
Damit haben Sie die Nachrichtenabschnitte
angegeben, die digital zu signieren sind, wenn der Server eine Antwort an den Client sendet.
Nächste Schritte
Nachdem Sie die die digital zu unterzeichnenden Nachrichtenabschnitte angegeben haben, müssen Sie
die für die digitale Signatur zu verwendende Methode angeben.
Nähere Informationen enthält der Artikel
Server für Signatur der Antworten konfigurieren: Methode für digitale Signatur auswählen.