Mit JAX-RPC Tokengeneratoren zum Schutz der Nachrichtenauthentizität auf Anwendungsebene konfigurieren

Wenn Sie die Tokengeneratoren auf Anwendungsebene definieren, werden diese Informationen auf Generatorseite zum Generieren des Sicherheitstoken verwendet.

Vorbereitende Schritte

Machen Sie sich bewusst, dass die Keystore- und Aliasinformationen, die Sie für den Generator angeben, sowie die Keystore- und Aliasinformationen, die Sie für den Konsumenten angeben, für verschiedene Zwecke verwendet werden. Der Hauptunterschied liegt beim Alias für einen X.509-Callback-Handler.

Wenn diese Information zusammen mit einem Verschlüsselungsgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den öffentlichen Schlüssel für die Verschlüsselung der Nachricht abzurufen. Ein Kennwort ist nicht erforderlich. Der Alias, der für einen Callback-Handler angegeben wird, der einem Verschlüsselungsgenerator zugeordnet ist, muss ohne Kennwort zugänglich sein. Das bedeutet, dass der Alias keine zugehörigen privaten Schlüsseldaten im Keystore haben darf. Wenn diese Information zusammen mit einem Signaturgenerator verwendet wird, wird der für den Generator angegebene Alias verwendet, um den privaten Schlüssel für die Unterzeichnung der Nachricht abzurufen. Es ist ein Kennwort erforderlich.

Informationen zu diesem Vorgang

Führen Sie die folgenden Schritte aus, um den Tokengenerator auf Anwendungsebene zu konfigurieren:

Vorgehensweise

  1. Rufen Sie in der Administrationskonsole die Anzeige "Tokengenerator" aus.
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Module verwalten" auf URI-Name.
    3. Unter "Web-Services-Security-Eigenschaften" können Sie auf die Tokengenerator für die folgenden Bindungen zugreifen:
      • Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Tokengenerator.
    5. Klicken Sie auf Neu, um eine Tokengeneratorkonfiguration zu erstellen, oder wählen Sie eine vorhandene Konfiguration aus. Klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Tokengeneratorkonfiguration, um ihre Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Tokengenerators einen eindeutigen Namen ein. Beispielsweise können Sie den Namen gen_signtgen angeben.
  2. Geben Sie im Feld Klassenname für Tokengenerator einen Klassennamen ein. Die Klasse des Tokengenerators muss die Schnittstelle "com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent" implementieren. Der Klassenname des Tokengenerators für den Anforderungsgenerator und Antwortgenerator muss ähnlich wie der Klassenname des Tokenkonsumenten für den Anforderungskonsumenten und den Antwortkonsumenten sein. Wenn Ihre Anwendung beispielsweise einen Konsumenten für Benutzernamenstoken erfordert, können Sie in der Anzeige "Tokenkonsument" auf Anwendungsebene den Klassennamen com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer und den Klassennamen "com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator" in diesem Feld eingeben.
  3. Optional: Wählen Sie im Feld Referenz auf Nachrichtenabschnitt eine Referenz aus. Die Referenz gibt den Namen des Sicherheitstokens an, das im Implementierungsdeskriptor definiert ist.
    Wichtig: Wenn Sie auf Anwendungsebene in Ihrem Implementierungsdeskriptor kein Sicherheitstoken angeben, wird das Feld Abschnittsreferenz nicht angezeigt. Sollte in Ihrem Implementierungsdeskriptor ein Sicherheitstoken mit dem Namen user_tgen definiert sein, wird user_tgen als Option im Feld Abschnittsreferenz angezeigt. Sie können im Implementierungsdeskriptor ein Sicherheitstoken angeben, wenn Sie Ihre Anwendung mit einem Assembliertool assemblieren.
  4. Wählen Sie für den Zertifikatspfad entweder Ohne oder Dedizierte Signaturdaten aus. Wählen Sie Ohne aus, wenn der Tokengenerator den Tokentyp PKCS#7 nicht verwendet wird. Wenn der Tokengenerator für den Tokentyp PKCS#7 bestimmt ist und Sie Zertifikatswiderruflisten (Certificate Revocation Lists, CRL) in das Sicherheitstoken aufnehmen möchten, wählen Sie Dedizierte Signaturdaten aus und geben Sie einen Zertifikatsspeicher an. Führen Sie die folgenden Schritte aus, um einen Zertifikatssammelspeicher und Zertifikatswiderruflisten für die Generatorbindungen auf Anwendungsebene zu konfigurieren:
    1. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
    2. Klicken Sie unter "Zugehörige Elemente" auf EJB-Module bzw. Webmodule > URI-Name.
    3. Unter "Weitere Eigenschaften" können Sie auf die Konfiguration des Zertifikatssammelspeichers für die folgenden Bindungen zugreifen:
      • Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
      • Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.

    Sehen Sie sich auch die Informationen zum Konfigurieren eines Zertifikatssammelspeichers an.

  5. Optional: Wählen Sie die Option Nonce hinzufügen aus. Mit dieser Option können Sie angeben, ob ein Nonce in das Benutzernamenstoken für den Tokengenerator aufgenommen wird. "Nonce" ist eine eindeutige verschlüsselte Nummer, die in eine Nachricht eingebettet wird, um wiederholte, unbefugte Hacker-Attacken auf Benutzernamenstoken zu verhindern. Die Option Nonce hinzufügen ist nur gültig, wenn der generierte Tokentyp ein Benutzernamenstoken und nur für die Anforderungsgeneratorbindung verfügbar ist.
    Bei Auswahl der Option Nonce hinzufügen können Sie unter "Weitere Eigenschaften" die folgenden Eigenschaften auswählen. Diese Eigenschaften werden von Anforderungskonsumenten verwendet.
    Tabelle 1. Weitere Nonce-Eigenschaften. Verwenden Sie die Nonce-Eigenschaften, um einen Nonce in das Benutzernamenstoken einzufügen.
    Eigenschaftsname Standardwert Erläuterung
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout 600 Sekunden Das Zeitlimit (in Sekunden) für den auf dem Server zwischengespeicherten Nonce-Wert.
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew 0 Sekunden Verfallsdatum für Nonce-Zeitmarke.
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge 300 Sekunden Gibt die zeitliche Abweichung an, die WebSphere Application Server berücksichtigen muss, wenn die Aktualität der Nachricht geprüft wird.
    Sie können auf Zellen- und Serverebene weitere Eigenschaften für einen Nonce in der Administrationskonsole auf der Seite mit den Standardbindungen für Web Services Security angeben.
    • Klicken Sie auf Zellenebene auf Sicherheit > Web-Services.
    • Klicken Sie auf Serverebene auf Server > Servertypen > WebSphere-Anwendungsserver > Servername. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  6. Optional: Wählen Sie die Option Zeitmarke hinzufügen aus. Diese Option gibt an, ob eine Zeitmarke im Benutzernamenstoken eingefügt wird. Die Option Zeitmarke hinzufügen ist nur gültig, wenn der generierte Tokentyp ein Benutzernamenstoken (UsernameToken) und nur für die Anforderungsgeneratorbindung verfügbar ist.
  7. Geben Sie im Feld Lokaler Name den lokalen Namen des Wertetyps an. Für die Sicherheitstoken des Typs "Benutzernamenstoken" und "X.509-Zertifikat" stellt WebSphere Application Server vordefinierte lokale Namen für Wertetypen bereit. Wenn Sie einen der folgenden lokalen Namen angeben, müssen Sie keinen URI für den Wertetyp angeben:
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    Dieser lokale Name gibt ein Benutzernamenstoken an.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    Dieser lokale Name gibt ein Token mit X.509-Zertifikat an.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Dieser lokale Name gibt X.509-Zertifikate in einem PKI-Pfad (Public Key Infrastructure) an.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    Dieser lokale Name gibt eine Liste mit X.509-Zertifikaten und Zertifikatswiderruflisten im PKCS#7-Format an.

    Geben Sie LTPA als lokalen Namen für den Wertetyp und http://www.ibm.com/websphere/appserver/tokentype/5.0.2 als Wertetyp für URI (Uniform Resource Identifier) an. Für die Weitergabe von LTPA-Token können Sie LTPA_PROPAGATION als lokalen Namen für den Wertetyp und http://www.ibm.com/websphere/appserver/tokentype für den URI des Wertetyps angeben.

  8. Optional: Geben Sie den URI für den Wertetyp im Feld URI an. Dieser Eintrag gibt den Namespace-URI des Wertetyps für das generierte Token an.
  9. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  10. Klicken Sie auf den Namen der Tokengeneratorkonfiguration.
  11. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler.
  12. Geben Sie die Einstellungen für den Callback-Handler an.
    1. Geben Sie einen Klassennamen im Feld Klassenname für Callback-Handler an. Gibt den Namen der Implementierungsklasse für den Callback-Handler an, mit der ein Sicherheitstoken-Framework implementiert wird. Die angegebene Callback-Handler-Klasse muss die Schnittstelle "javax.security.auth.callback.CallbackHandler" implementieren und einen Konstruktor mit der folgenden Syntax bereitstellen.
      MyCallbackHandler(String Benutzername, char[] Kennwort, java.util.Map Eigenschaften)
      Für diese Angaben gilt Folgendes:
      Benutzername
      Gibt den Benutzernamen an, der an die Konfiguration übergeben wird.
      Kennwort
      Gibt das Kennwort an, das an die Konfiguration übergeben wird.
      Eigenschaften
      Gibt die übrigen Konfigurationseigenschaften an, die an die Konfiguration übergeben werden.
      Dieser Konstruktor ist erforderlich, wenn der Callback-Handler einen Benutzernamen und ein Kennwort benötigt. Falls Sie jedoch einen Callback-Handler verwenden, der keinen Benutzernamen und kein Kennwort benötigt, wie z. B. der Callback-Handler X509CallbackHandler, verwenden Sie einen Konstruktor mit der folgenden Syntax:
      MyCallbackHandler(java.util.Map properties)
      WebSphere Application Server stellt die folgenden Standardimplementierungen für Callback-Handler bereit:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      Dieser Callback-Handler fordert den Benutzernamen und das Kennwort in einem Anmeldedialog an. Wenn Sie in dieser Anzeige den Benutzernamen und das Kennwort angeben, wird jedoch keine Eingabeaufforderung angezeigt. WebSphere Application Server gibt den angegebenen Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      Dieser Callback-Handler ruft keine Eingabeaufforderung auf und gibt den Benutzernamen und das Kennwort zurück, die in dieser Anzeige angegeben wurden. Diesen Callback-Handler können Sie verwenden, wenn der Web-Service die Rolle eines Clients hat. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      Dieser Callback-Handler fordert den Benutzernamen und das Kennwort mit einer Stdin-Eingabeaufforderung an. Wenn der Benutzername und das Kennwort in dieser Anzeige angegeben sind, setzt WebSphere Application Server jedoch keine Eingabeaufforderung ab, sondern gibt den Benutzernamen und das Kennwort an den Tokengenerator zurück. Sie sollten diese Implementierung nur für einen Java EE-Anwendungsclient (Java Platform, Enterprise Edition) verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      Mit diesem Callback-Handler können Sie das LTPA-Sicherheitstoken aus dem Subjekt des RunAs-Aufrufs anfordern. Dieses Token wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Wenn der Benutzername und das Kennwort jedoch in dieser Anzeige angegeben sind, authentifiziert WebSphere Application Server diese beiden Angaben, um das LTPA-Sicherheitstoken anzufordern. Verwenden Sie diesen Callback-Handler nur, wenn der Web-Service für den Anwendungsserver die Rolle eines Clients hat. Sie sollten diesen Callback-Handler nicht für einen Java EE-Anwendungsclient verwenden. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige eine Benutzer-ID und ein Kennwort für die Basisauthentifizierung angeben.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Mit diesem Callback-Handler können Sie das X.509-Zertifikat erstellen, das als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. Für diesen Callback-Handler sind ein Keystore und eine Schlüsseldefinition erforderlich. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PKCS#7 codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Sie können im Zertifikatssammelspeicher eine Liste der entzogenen Zertifikate (CRL, Certificate Revocation List) angeben. Die CRL wird mit dem X.509-Zertifikat im Format PKCS#7 codiert. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Mit diesem Callback-Handler werden X.509-Zertifikate erstellt, die mit Format PkiPath codiert sind. Das Zertifikat wird als binäres Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt. Für diesen Callback-Handler ist ein Keystore erforderlich. Der Callback-Handler unterstützt keine CRL. Deshalb wird auch kein Zertifikatssammelspeicher benötigt oder verwendet. Wenn Sie diese Implementierung verwenden, müssen Sie in dieser Anzeige ein Keystore-Kennwort, einen Keystore-Pfad und -Typ angeben.

      Die Callback-Handler-Implementierung ruft das erforderliche Sicherheitstoken ab und übergibt es an den Tokengenerator. Der Tokengenerator fügt das Sicherheitstoken in den Web-Services-Security-Header einer SOAP-Nachricht ein. Der Tokengenerator ist gleichzeitig der Plug-in-Punkt für das modular aufgebaute Sicherheitstoken-Framework. Service-Provider können ihre eigene Implementierung bereitstellen. Diese muss jedoch die Schnittstelle "com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent" verwenden.

    2. Optional: Wählen Sie die Option Zusicherung der Identität verwenden aus. Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben. Diese Option gibt an, dass nur die Identität des ursprünglichen Senders erforderlich ist und in den Web-Services-Security-Header einer SOAP-Nachricht eingefügt wird. WebSphere Application Server sendet beispielsweise nur den Benutzernamen des ursprünglichen Callers für einen Generator von Benutzernamenstoken. Bei einem X.509-Tokengenerator sendet der Anwendungsserver nur das Originalausstellerzertifikat.
    3. Optional: Wählen Sie die Option RunAs-Identität verwenden aus. Wählen Sie diese Option aus, wenn Sie im erweiterten IBM Implementierungsdeskriptor die Zusicherung der Identität definiert haben und für die Zusicherung der Identität bei einem untergeordneten Aufruf an Stelle der ID des ursprünglichen Callers die RunAs-ID verwenden möchten. Diese Option ist nur gültig, wenn Sie den Generator für Benutzernamenstoken als Tokengenerator konfiguriert haben.
    4. Optional: Geben Sie im Feld Benutzer-ID für Basisauthentifizierung die entsprechende Benutzer-ID an. Gibt den Benutzernamen an, der an die Konstruktoren der Callback-Handler-Implementierung übergeben wird. Der Benutzername und das Kennwort für die Basisauthentifizierung werden verwendet, wenn Sie eine der folgenden Standard-Callback-Handler-Implementierungen im Feld Klassenname für Callback-Handler angegeben haben:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    5. Optional: Geben Sie im Feld Kennwort für Basisauthentifizierung das entsprechende Kennwort an. Gibt das Kennwort an, das an die Konstruktoren der Callback-Handler-Implementierung übergeben wird.
    6. Optional: Geben Sie im Feld Kennwort für Keystore das entsprechende Kennwort an. Gibt das Kennwort für den Zugriff auf die Keystore-Datei an. Der Keystore und die zugehörige Konfiguration werden verwendet, wenn Sie eine der folgenden von WebSphere Application Server bereitgestellten Standard-Callback-Handler-Implementierungen auswählen:
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Der Keystore wird verwendet, um das X.509-Zertifikat mit dem Zertifikatspfad zu erstellen.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Der Keystore wird verwendet, um das X.509-Zertifikat abzurufen.
    7. Optional: Geben Sie im Feld Pfad den Pfad für den Keystore an. Es wird empfohlen, für die Angabe des Pfadnamens die Variable ${USER_INSTALL_ROOT} zu verwenden, da diese Variable auf Ihrer Maschine durch den Pfad von WebSphere Application Server ersetzt wird. Wenn Sie den von dieser Variablen verwendeten Pfad ändern möchten, klicken Sie auf Umgebung > WebSphere-Variablen und anschließend auf USER_INSTALL_ROOT. Dieses Feld ist erforderlich, wenn Sie die folgenden Callback-Handler-Implementierungen verwenden: com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler, com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler oder com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
    8. Optional: Geben Sie im Feld Typ den Keystore-Typ an. Gibt das von der Keystore-Datei verwendete Format an. Für dieses Feld können Sie einen der folgenden Werte auswählen:
      JKS
      Geben Sie diese Option an, wenn für den Keystore das JKS-Format (Java Keystore Store) verwendet wird.
      JCEKS
      Geben Sie diese Option an, wenn die Java™ Cryptography Extension im SDK (Software Development Kit) konfiguriert ist. Die Standard-JCE von IBM ist in WebSphere Application Server konfiguriert. Diese Option bietet mit der 3DES-Verschlüsselung einen stärkeren Schutz für gespeicherte private Schlüssel.
      JCERACFKS
      Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
      PKCS11KS (PKCS11)
      Geben Sie dieses Format an, wenn Ihr Keystore das Dateiformat PKCS#11 hat. Keystores mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
      PKCS12KS (PKCS12)
      Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.
  13. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  14. Klicken Sie auf den Namen der Tokengeneratorkonfiguration.
  15. Klicken Sie unter "Weitere Eigenschaften" auf Callback-Handler > Schlüssel.
  16. Geben Sie den Schlüsselnamen, Schlüsselalias und das Schlüsselkennwort an.
    1. Klicken Sie auf Neu, um eine Schlüsselkonfiguration zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Schlüsselkonfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Schlüsselname einen eindeutigen Namen ein. Für digitale Signaturen wird der Schlüsselname von den Signaturdaten des Anforderungsgenerators oder Antwortgenerators verwendet, um den für die digitale Signatur der Nachricht verwendeten Schlüssel zu bestimmen. Für die Verschlüsselung wird der Schlüsselname verwendet, um den für die Verschlüsselung verwendeten Schlüssel zu bestimmen. Der Schlüsselname muss ein vollständig qualifizierter definierter Name (DN) sein. Beispiel: CN=Bob,O=IBM,C=US.
    2. Geben Sie im Feld Schlüsselalias den Aliasnamen des Schlüssels an. Der Schlüsselalias wird vom Key-Locator verwendet, um den Schlüssel in der Keystore-Datei zu suchen.
    3. Geben Sie im Feld Schlüsselkennwort das Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
  17. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.

Ergebnisse

Sie haben den Tokengenerator für die Anwendungsebene konfiguriert.

Nächste Schritte

Sie müssen eine ähnliche Tokenkonsumentenkonfiguration für die Anwendungsebene angeben.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengenapp
Dateiname:twbs_configtokengenapp.html