Client für Überprüfung der digitalen Signatur von Antworten konfigurieren: Prüfmethode auswählen

Sie können die Erweiterungen und Bindungen für Web Services Security auf den Registerkarten WS-Erweiterung und WS-Bindung im Web-Service-Editor eines Assembliertools konfigurieren.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Bevor Sie diese Schritte ausführen, sollten Sie die folgenden Artikel lesen, um sich mit den Registerkarten WS-Erweiterung und WS-Bindung des Web-Service-Editors in den IBM Assembliertools vertraut zu machen: Auf diesen beiden Registerkarten werden die Erweiterungen bzw. Bindungen von Web Services Security konfiguriert. Außerdem müssen Sie angeben, welche Nachrichtenabschnitte digitale Signaturdaten enthalten, die vom Client überprüft werden müssen. Verwenden Sie den Artikel Client für Überprüfung der digitalen Signatur von Antworten konfigurieren: Nachrichtenabschnitte überprüfen, um die vom Server digital zu signierenden und vom Client zu prüfenden Nachrichtenabschnitte anzugeben. Die Nachrichtenabschnitte, die für den Sender der Serverantwort angegeben wurden, müssen mit den Nachrichtenabschnitten, die für den Empfänger der Serverantwort angegeben wurden, übereinstimmen. Analog dazu muss die für den Server ausgewählte Methode für die digitale Signatur mit der vom Client verwendeten Methode für die digitale Signatur übereinstimmen.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Client für die Überprüfung der digitalen Signatur von Anforderungen zu konfigurieren. In den Schritten wird beschrieben, wie die Erweiterungen geändert werden müssen, um anzuzeigen, welche Methoden für die digitale Signatur der Client bei der Überprüfung verwendet.

Vorgehensweise

  1. Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Wechseln Sie in die Java™ EE-Perspektive (Java Platform, Enterprise Edition). Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
  3. Klicken Sie auf Anwendungsclientprojekte > Anwendungsname > appClientModule > META-INF.
  4. Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie anschließend Öffnen mit > Editor für Implementierungsdeskriptor aus.
  5. Klicken Sie auf das Register WS-Bindung.
  6. Erweitern Sie den Abschnitt Sicherheitskonfiguration der Antwortempfängerbindungen > Signaturdaten.
  7. Klicken Sie auf Bearbeiten, um eine Methode für die digitale Signatur auszuwählen. Daraufhin erscheint der Dialog für die Signaturdaten, in dem Sie die folgenden Daten auswählen oder eingeben können:
    • Algorithmus der Kanonisierungsmethode
    • Algorithmus der Digestmethode
    • Algorithmus der Signaturmethode
    • Name des Signierschlüssels
    • Suchfunktion des Signierschlüssels
    Weitere Informationen zum Konzept der digitalen Signatur von SOAP-Nachrichten finden Sie im Artikel "Digitale XML-Signatur". Die folgende Tabelle beschreibt den Zweck der einzelnen Auswahlmöglichkeiten. Einige der folgenden Definitionen basieren auf der Spezifikation "XML-Signature", die Sie unter der folgenden Webadresse finden: http://www.w3.org/TR/xmldsig-core.
    Tabelle 1. Digitale Signaturmethoden. Verwenden Sie die Methoden, um den Client für die Überprüfung der digitalen Signatur von Anforderungen zu konfigurieren.
    Name Zweck
    Algorithmus der Kanonisierungsmethode Der Algorithmus für die Kanonisierungsmethode wird verwendet, um das Element <SignedInfo> zu kanonisieren, bevor es im Rahmen der Signaturoperation verarbeitet wird.
    Algorithmus der Digestmethode Gibt den Algorithmus für die Digest-Methode an, der nach den Umsetzungen auf die Daten angewendet wird, um das Element <DigestValue> zu erzeugen. Durch die Signatur des Elements <DigestValue> wird der Ressourceninhalt an den Unterzeichnerschlüssel gebunden. Der Algorithmus, der für die Konfiguration des Empfängers der Clientantwort ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Senders der Serverantwort ausgewählt wurde, übereinstimmen.
    Algorithmus der Signaturmethode Die Signaturmethode ist der Algorithmus, der verwendet wird, um das kanonisierte Element <SignedInfo> in das Element <SignatureValue> zu konvertieren. Der Algorithmus, der für die Konfiguration des Empfängers der Clientantwort ausgewählt wurde, muss mit dem Algorithmus, der in der Konfiguration des Senders der Serverantwort ausgewählt wurde, übereinstimmen.
    Referenz des Zertifikatspfads verwenden oder Jedes Zertifikat anerkennen Wenn eine Nachricht signiert wird, wird der öffentliche Schlüssel, der für die Signatur verwendet wird, mit der Nachricht übertragen. Soll dieser öffentliche Schlüssel auf der Empfängerseite validiert werden, konfigurieren Sie eine Referenz auf den Zertifikatspfad. Bei Auswahl von Referenz des Zertifikatspfads verwenden müssen Sie eine Trust-Anchor-Referenz und eine Zertifikatsspeicherreferenz konfigurieren, um das mit der Nachricht gesendete Zertifikat zu validieren. Bei Auswahl von Jedes Zertifikat anerkennen wird die Signatur durch das mit der Nachricht gesendete Zertifikat validiert, ohne dass das Zertifikat selbst validiert wird.
    Referenz des Zertifikatspfads verwenden: Trust-Anchor-Referenz Ein Trust-Anchor ist eine Konfiguration, die auf einen Keystore mit anerkannten, selbst signierten Zertifikaten und CA-Zertifikaten (Certificate Authority) verweist. Diese Zertifikate sind anerkannte Zertifikate, die Sie mit allen Anwendungen in Ihrer Implementierung verwenden können.
    Referenz des Zertifikatspfads verwenden: Zertifikatspeicherreferenz Ein Zertifikatsspeicher ist eine Konfiguration, die eine Sammlung von X.509-Zertifikaten enthält. Diese Zertifikate sind nicht für alle Anwendungen in der Implementierung anerkannt, können jedoch als Vermittler bei der Validierung von Zertifikaten für eine Anwendung verwendet werden.
  8. Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus, wenn nur die FIPS-konformen Algorithmen in den Listen "Algorithmus der Signaturmethode" und "Algorithmus der Digestmethode" angezeigt werden sollen. Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere Application Server eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" der Administrationskonsole von WebSphere Application Server ausgewählt ist.

Ergebnisse

Wichtig: Wenn Sie die Signaturdaten des Clients und des Servers richtig konfigurieren, bei der Ausführung des Clients jedoch den Fehler Soap body not signed (SOAP-Body nicht signiert) empfangen, müssen Sie möglicherweise den Actor konfigurieren. Sie können den Actor an den folgenden Positionen auf dem Client im Editor für Web-Service-Clients des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Client-Service, und geben Sie die Actor-Informationen im Feld "Actor-URI" an.
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Anforderungssenders > Details, und geben Sie die Actor-Informationen im Feld "Actor" an.
Sie müssen dieselben Actor-Zeichenfolgen für den Web-Service auf dem Server, der die Anforderung verarbeitet und die Antwort zurücksendet, konfigurieren. Sie können den Actor an den folgenden Positionen im Web-Service-Editor des Assembliertools konfigurieren:
  • Klicken Sie auf Sicherheitserweiterungen > Konfiguration des Server-Service.
  • Klicken Sie auf Sicherheitserweiterungen > Konfigurationsdetails zum Antwortsenderservice > Details, und geben Sie die Actor-Informationen im Feld Actor an.

Die Actor-Informationen auf dem Client und dem Server müssen auf exakt dieselbe Zeichenfolge verweisen. Wenn die Actor-Felder auf Client und Server übereinstimmen, wird die Anforderung bzw. Antwort verarbeitet und nicht an einen Downstream-Server weitergeleitet. Möglicherweise unterscheiden sich die Actor-Felder, wenn Sie Web-Services verwenden, die als Gateway zu anderen Web-Services fungieren. In allen anderen Fällen müssen Sie jedoch sicherstellen, dass die Actor-Daten auf Client und Server übereinstimmen. Wenn Web-Services als Gateway fungieren und für sie nicht derselbe Actor konfiguriert ist wie für die Anforderung, die durch das Gateway weitergeleitet wird, verarbeiten Web-Services die Nachricht von einem Client nicht. Stattdessen senden diese Web-Services die Anforderung an einen Downstream-Server. Der Downstream-Prozess, der die richtige Actor-Zeichenfolge enthält, verarbeitet die Anforderung. Für die Antwort ergibt sich dieselbe Situation. Daher müssen Sie unbedingt überprüfen, ob die Actor-Felder des Clients und des Servers synchronisiert sind.

Sie haben angegeben, welche Methode der Client verwendet, um die digitale Signatur in den Nachrichtenabschnitten zu überprüfen.

Nächste Schritte

Vergewissern Sie sich, nachdem Sie den Server für das Signieren der Antwort und den Client für die Überprüfung der digitalen Signatur von Anforderungen konfiguriert haben, dass die Konfiguration des Clients und des Servers die Verarbeitung der Nachrichtenanforderung vorsieht.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmeth
Dateiname:twbs_confclrespdigsignmeth.html