Standardbeispielkonfigurationen für JAX-RPC
Zu Testzwecken können Sie in der Administrationskonsole Beispielkonfigurationen verwenden. Die Konfigurationen, die Sie festlegen, werden auf der Zellen- oder Serverebene reflektiert.
In diesem Artikel werden die Beispielstandardbindungen, Keystores, Key-Locator, Zertifikatssammelspeicher, Trust-Anchor und Trusted-ID-Evaluator für WebSphere Application Server mit der API für das Programmiermodell JAX-RPC beschrieben. Sie können Web-Services mit dem Programmiermodell Java™ API for XML-based RPC (JAX-RPC) oder für WebSphere Application Server ab Version 7 mit dem Programmiermodell Java API for XML-Based Web Services (JAX-WS) entwickeln. Die Beispiele für die Standardbindungen, Keystores, Key-Locator, Zertifikatssammelspeicher, Trust-Anchor und Trusted-ID-Evaluator können je nach verwendetem Programmiermodell unterschiedlich sein.
Verwenden Sie diese Konfigurationen nicht in einer Produktionsumgebung, weil sie lediglich als Beispiel und zu Testzwecken dienen. Wenn Sie Änderungen an diesen Beispielkonfigurationen vornehmen möchten, wird empfohlen, die von WebSphere Application Server bereitgestellte Administrationskonsole zu verwenden.
Für eine Anwendung mit aktivierter Web Services Security müssen Sie einen Implementierungsdeskriptor und eine Bindung ordnungsgemäß konfigurieren. In WebSphere Application Server verwenden die Anwendungen zur Vereinfachung der Anwendungsimplementierung einen gemeinsamen Satz allgemeiner Standardbindungen. Die Standardbindungsinformationen für die Zellenebene und die Serverebene werden von den auf der Anwendungsebene festgelegten Bindungsinformationen außer Kraft gesetzt. Der Anwendungsserver sucht die Bindungsinformationen für die Anwendung zunächst auf der Anwendungsebene, bevor er auf der Serverebene und dann auf der Zellenebene nach diesen Informationen sucht.
Die folgenden Beispielkonfigurationen beziehen sich auf WebSphere Application Server mit der API für das Programmiermodell JAX-RPC.
Standardgeneratorbindungen
WebSphere Application Server stellt einen Beispielsatz mit Standardgeneratorbindungen bereit. Standardgeneratorbindungen enthalten sowohl die Signaturdaten als auch die Verschlüsselungsinformationen.
- Verwendet die folgenden Algorithmen für die Konfiguration von
gen_signinfo:
- Signaturmethode: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode: http://www.w3.org/2001/10/xml-exc-c14n#
- Referenziert die Signierschlüsseldaten von gen_signkeyinfo. Die folgenden Angaben betreffen die
Konfiguration von gen_signkeyinfo:
- Enthält eine Teilereferenzkonfiguration mit dem Namen gen_signpart.
Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten
gelten für alle Integrity- oder Required-Integrity-Elemente innerhalb
der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet.
Die folgenden Angaben gelten für die gen_signpart-Konfiguration:
- Verwendet die Umsetzungskonfiguration mit dem Namen transform1. Die folgenden
Umsetzungen sind für die Standardsignaturdaten konfiguriert:
- Verwendet den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#.
- Verwendet die Digest-Methode http://www.w3.org/2000/09/xmldsig#sha1.
- Verwendet die Umsetzungskonfiguration mit dem Namen transform1. Die folgenden
Umsetzungen sind für die Standardsignaturdaten konfiguriert:
- Verwendet die Sicherheitstokenreferenz, bei der es sich um die konfigurierten Standardschlüsseldaten handelt.
- Verwendet den Key-Locator SampleGeneratorSignatureKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
- Verwendet den Tokengenerator
gen_signtgen, der die folgende Konfiguration enthält:
- Enthält den X.509-Tokengenerator, der das X.509-Token des Unterzeichners generiert.
- Enthält den URI für den Werttyp gen_signtgen_vtype.
- Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den Keystore
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks auf.
- Das Keystore-Kennwort ist client.
- Der Aliasname des anerkannten Zertifikats ist soapca.
- Der Aliasname des persönlichen Zertifikats ist soaprequester.
- Der Schlüsselkennwortclient wird von der zwischengeschalteten Zertifizierungsstelle Int CA2 ausgestellt, die wiederum von soapca ausgestellt wird.
- Enthält eine Teilereferenzkonfiguration mit dem Namen gen_signpart.
Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten
gelten für alle Integrity- oder Required-Integrity-Elemente innerhalb
der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet.
Die folgenden Angaben gelten für die gen_signpart-Konfiguration:
- Verwendet die folgenden Algorithmen für die Konfiguration von
gen_encinfo:
- Verschlüsselungsverfahren für Daten: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Verschlüsselungsverfahren für Schlüssel: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Referenziert die Informationen zum Chiffrierschlüssel gen_enckeyinfo. Die folgenden Angaben gelten für die gen_enckeyinfo-Konfiguration:
- Verwendet die Schlüsselkennung als Standardschlüsseldaten.
- Enthält eine Referenz auf den Key-Locator SampleGeneratorEncryptionKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
- Verwendet den Tokengenerator
gen_signtgen, der folgende Konfiguration enthält:
- Enthält den X.509-Tokengenerator, der das X.509-Token des Unterzeichners generiert.
- Enthält den URI für den Werttyp gen_enctgen_vtype.
- Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Verwendet den X.509-Callback-Handler. Der Callback-Handler ruft den Keystore
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks auf.
- Das Keystore-Kennwort ist storepass.
- Der geheime Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
- Der öffentliche Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
- Der private Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.
Standardkonsumentenbindung
WebSphere Application Server stellt einen Beispielsatz mit Standardkonsumentenbindungen bereit. Standardkonsumentenbindungen enthalten sowohl die Signaturdaten als auch die Verschlüsselungsinformationen.
- Verwendet die folgenden Algorithmen für die Konfiguration von
con_signinfo:
- Signaturmethode: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierungsmethode: http://www.w3.org/2001/10/xml-exc-c14n#
- Verwendet die Referenz auf die Signierschlüsseldaten mit dem Namen
con_signkeyinfo. Die folgenden Angaben gelten für die con_signkeyinfo-Konfiguration:
- Enthält eine Teilereferenzkonfiguration mit dem Namen
con_signpart.
Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten
gelten für alle Integrity- oder RequiredIntegrity-Elemente innerhalb
der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet.
Die folgenden Angaben gelten für die con_signpart-Konfiguration:
- Verwendet die Umsetzungskonfiguration mit dem Namen reqint_body_transform1.
Die folgenden
Umsetzungen sind für die Standardsignaturdaten konfiguriert:
- Verwendet den Algorithmus http://www.w3.org/2001/10/xml-exc-c14n#.
- Verwendet die Digest-Methode http://www.w3.org/2000/09/xmldsig#sha1.
- Verwendet die Umsetzungskonfiguration mit dem Namen reqint_body_transform1.
Die folgenden
Umsetzungen sind für die Standardsignaturdaten konfiguriert:
- Verwendet die Sicherheitstokenreferenz, bei der es sich um die konfigurierten Standardschlüsseldaten handelt.
- Verwendet den Key-Locator SampleX509TokenKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
- Referenziert die Tokenkonsumentenkonfiguration con_signtcon. Die folgenden Angaben gelten für die con_signtcon-Konfiguration:
- Verwendet den X.509-Tokenkonsumenten, der als Konsument für die Standardsignaturdaten konfiguriert ist.
- Enthält den URI für den Werttyp signtconsumer_vtype.
- Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Enthält eine JAAS-Konfiguration mit dem Namen
system.wssecurity.X509BST, die die folgenden Informationen referenziert:
- Trust-Anchor: SampleClientTrustAnchor
- Zertifikatssammelspeicher: SampleCollectionCertStore
- Enthält eine Teilereferenzkonfiguration mit dem Namen
con_signpart.
Die Teilereferenz wird in der Standardbindung nicht verwendet. Die Signaturdaten
gelten für alle Integrity- oder RequiredIntegrity-Elemente innerhalb
der Implementierungsdeskriptoren, und die Daten werden nur zum Zweck der Namensfestlegung verwendet.
Die folgenden Angaben gelten für die con_signpart-Konfiguration:
- Verwendet die folgenden Algorithmen für die Konfiguration von
con_encinfo:
- Verschlüsselungsverfahren für Daten: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Verschlüsselungsverfahren für Schlüssel: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Referenziert die Informationen zum Chiffrierschlüssel con_enckeyinfo. Mit diesem Schlüssel
wird die Nachricht tatsächlich entschlüsselt. Die folgenden Angaben gelten für die con_enckeyinfo-Konfiguration:
- Verwendet die Schlüsselkennung, die für die Standardverschlüsselungsinformationen konfiguriert ist.
- Enthält eine Referenz auf den Key-Locator SampleConsumerEncryptionKeyStoreKeyLocator. Nähere Informationen zu diesem Key-Locator finden Sie im Artikel Beispiel-Key-Locator.
- Referenziert die Tokenkonsumentenkonfiguration con_enctcon. Die folgenden Angaben gelten für die con_enctcon-Konfiguration:
- Verwendet den X.509-Tokenkonsumenten, der für die Standardverschlüsselungsinformationen konfiguriert ist.
- Enthält den URI für den Werttyp enctconsumer_vtype.
- Enthält den lokalen Namen für den Werttyp http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Enthält eine JAAS-Konfiguration mit dem Namen system.wssecurity.X509BST.
Beispielkonfigurationen für Keystores
![[Windows]](../images/windows.gif)
- Das Dienstprogramm iKeyman befindet sich in dem folgenden Verzeichnis: Stammverzeichnis_des_Anwendungsservers/bin/ikeyman.
- Das Key Tool befindet sich in dem folgenden Verzeichnis: Stammverzeichnis_des_Anwendungsservers/java/jre/bin/keytool.
![[AIX HP-UX Solaris]](../images/unix.gif)
![[Linux]](../images/linux.gif)
- Das Dienstprogramm iKeyman befindet sich in dem folgenden Verzeichnis: Stammverzeichnis_des_Anwendungsservers\bin\ikeyman.sh.
- Das Key Tool befindet sich in dem folgenden Verzeichnis: Stammverzeichnis_des_Anwendungsservers\java\jre\bin\keytool.sh.
Folgende Beispiel-Keystores sind nur für Testzwecke vorgesehen. Verwenden Sie diese Keystores nicht in einer Produktionsumgebung:
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- Das Keystore-Format ist JKS.
- Das Keystore-Kennwort ist client.
- Das anerkannte Zertifikat hat den Aliasnamen soapca.
- Das persönliche Zertifikat mit dem Aliasnamen soaprequester und dem Schlüsselkennwort client, das von der zwischengeschalteten Zertifizierungsstelle (Certificate Authority, CA) Int CA2 ausgestellt wurde, die wiederum ihr Zertifikat von der Zertifizierungsstelle soapca erhielt.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- Das Keystore-Format ist JKS.
- Das Keystore-Kennwort ist server.
- Das anerkannte Zertifikat hat den Aliasnamen soapca.
- Das persönliche Zertifikat mit dem Aliasnamen soapprovider und dem Schlüsselkennwort server, das von der zwischengeschalteten Zertifizierungsstelle (Certificate Authority, CA) Int CA2 ausgestellt wurde, die wiederum ihr Zertifikat von der Zertifizierungsstelle soapca erhielt.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- Das Keystore-Format ist JCEKS.
- Das Keystore-Kennwort ist storepass.
- Der geheime DES-Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
- Der öffentliche Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
- Der private Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- Das Keystore-Format ist JCEKS.
- Das Keystore-Kennwort ist storepass.
- Der geheime DES-Schlüssel CN=Group1 hat den Aliasnamen Group1 und das Schlüsselkennwort keypass.
- Der private Schlüssel CN=Bob, O=IBM, C=US hat den Aliasnamen bob und das Schlüsselkennwort keypass.
- Der öffentliche Schlüssel CN=Alice, O=IBM, C=US hat den Aliasnamen alice und das Schlüsselkennwort keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- Das Zwischenzertifikat wurde von soapca signiert und es signiert sowohl soaprequester als auch soapprovider.
Beispiel-Key-Locator
- Key-Locator für die Generatorbindung auf Anwendungsebene mit JAX-RPC konfigurieren
- Key-Locator für die Konsumentenbindung auf Anwendungsebene mit JAX-RPC konfigurieren
- Key-Locator mit JAX-RPC auf Server- oder Zellenebene konfigurieren
- SampleClientSignerKey
- Mit diesem Key-Locator signiert der Anforderungsabsender die SOAP-Nachricht für eine Anwendung der Version 5.x. Der Name des Signierschlüssels ist clientsignerkey, und er wird in den Signaturdaten referenziert.
- SampleServerSignerKey
- Mit diesem Key-Locator signiert ein Antwortsender die SOAP-Nachricht für eine Anwendung der Version 5.x. Der Name des Signaturschlüssels ist serversignerkey, und er kann in den Signaturdaten referenziert werden.
- SampleSenderEncryptionKeyLocator
- Mit diesem Key-Locator verschlüsselt der Sender die SOAP-Nachricht für eine Anwendung der Version 5.x. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator verwendet. Die Implementierung ist für den geheimen DES-Schlüssel konfiguriert. Um asymmetrische Verschlüsselung (RSA) zu verwenden, müssen Sie die geeigneten RSA-Schlüssel hinzufügen.
- SampleReceiverEncryptionKeyLocator
- Mit diesem Key-Locator entschlüsselt der Empfänger eine verschlüsselte SOAP-Nachricht für eine Anwendung der Version 5.x. Die Implementierung ist so konfiguriert, dass der Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und der Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator verwendet werden. Außerdem ist symmetrische Verschlüsselung (DES oder TRIPLEDES) konfiguriert. Zur Verwendung der asymmetrischen Verschlüsselung (RSA) müssen Sie den privaten Schlüssel CN=Bob, O=IBM, C=US, den Aliasnamen bob und das Schlüsselkennwort keypass hinzufügen.
- SampleResponseSenderEncryptionKeyLocator
- Mit diesem Key-Locator verschlüsselt der Antwortsender die SOAP-Antwortnachricht für eine Anwendung der Version 5.x. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator verwendet. Dieser Key-Locator ordnet eine authentifizierte Identität (des aktuellen Thread) für Verschlüsselung einem öffentlichen Schlüssel zu. Standardmäßig ist WebSphere Application Server so konfiguriert, dass die Identität dem öffentlichen Schlüssel alice zugeordnet wird, und Sie müssen WebSphere Application Server auf den richtigen Benutzer einstellen. Der Key-Locator SampleResponseSenderEncryptionKeyLocator kann auch einen Standardschlüssel für die Verschlüsselung festlegen. Standardmäßig ist dieser Key-Locator so konfiguriert, dass er den öffentlichen Schlüssel alice verwendet.
- SampleGeneratorSignatureKeyStoreKeyLocator
- Mit diesem Key-Locator signiert der Generator die SOAP-Nachricht. Der Name des Signierschlüssels ist SOAPRequester, und er wird in den Signaturdaten referenziert. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
- SampleConsumerSignatureKeyStoreKeyLocator
- Mit diesem Key-Locator verifiziert der Konsument die digitale Signatur in der SOAP-Nachricht. Der Signierschlüssel ist SOAPProvider und wird in den Signaturdaten referenziert. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
- SampleGeneratorEncryptionKeyStoreKeyLocator
- Mit diesem Key-Locator verschlüsselt der Generator die SOAP-Nachricht. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
- SampleConsumerEncryptionKeyStoreKeyLocator
- Mit diesem Key-Locator entschlüsselt der Konsument eine verschlüsselte SOAP-Nachricht. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
- SampleX509TokenKeyLocator
- Mit diesem Key-Locator verifiziert der Konsument ein digitales Zertifikat in einem X.509-Zertifikat. Er ist so konfiguriert, dass er den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks und den Keystore-Key-Locator com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator verwendet.
Beispiel eines Zertifikatssammelspeichers
- Zertifikatssammelspeicher für die Generatorbindung auf Anwendungsebene konfigurieren
- Zertifikatssammelspeicher für die Konsumentenbindung auf Anwendungsebene konfigurieren
- Zertifikatssammelspeicher auf Server- oder Zellenebene konfigurieren
- SampleCollectionCertStore
- Dieser Zertifikatssammelspeicher wird von dem Antwortkonsumenten und dem Anforderungsgenerator verwendet, um den Zertifikatspfad des Unterzeichners zu validieren.
Beispiel-Trust-Anchor
- Trust-Anchor für die Generatorbindung auf Anwendungsebene konfigurieren
- Trust-Anchor für die Konsumentenbindung auf Anwendungsebene konfigurieren
- Trust-Anchor auf Server- oder Zellenebene konfigurieren
- SampleClientTrustAnchor
- Dieser Trust-Anchor wird vom Antwortkonsumenten zum Validieren des Ausstellerzertifikats verwendet. Dieser Trust-Anchor ist für den Zugriff auf den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks konfiguriert.
- SampleServerTrustAnchor
- Dieser Trust-Anchor wird vom Anforderungskonsumenten zum Validieren des Ausstellerzertifikats verwendet. Dieser Trust-Anchor ist für den Zugriff auf den Keystore ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks konfiguriert.
Beispiel eines Trusted-ID-Evaluator
- SampleTrustedIDEvaluator
- Dieser Trusted-ID-Evaluator verwendet die Implementierung
com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl.
Die Standardimplementierung com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator enthält eine Liste der vertrauenswürdigen Identitäten.
Diese Liste, die für die Zusicherung der Identität (IDAssertion) verwendet wird, definiert Schlüsselname/Wert-Paar für die vertrauenswürdige Identität.
Der Schlüsselname hat das Format trustedId_*, und der Wert ist die vertrauenswürdige Identität.
Nähere Informationen finden Sie in dem Beispiel im Artikel Trusted-ID-Evaluator auf Server- oder Zellenebene konfigurieren.
Führen Sie die folgenden Schritte aus, um diese Informationen mit der Administrationskonsole für die Zellenebene zu definieren:
- Klicken Sie auf Sicherheit > Web-Services.
- Klicken Sie unter "Weitere Eigenschaften" auf Trusted-ID-Evaluators > SampleTrustedIDEvaluator.