Sie können die Signaturdaten für die serverseitigen Anforderungskonsumenten-
und clientseitigen Antwortkonsumentenbindungen auf Anwendungsebene konfigurieren.
Vorbereitende Schritte
Anmerkung: Nur in WebSphere Application Server Version
6.x und früher müssen Sie in der serverseitigen Erweiterungsdatei und in der clientseitigen Erweiterungsdatei für den Implementierungsdeskriptor
angeben, welche
Nachrichtenabschnitte signiert sind.
Informationen zu diesem Vorgang
Konfigurieren Sie die Schlüsseldaten, auf die in den Schlüsseldatenreferenzen
in der Anzeige "Signaturdaten" in der Administrationskonsole verwiesen wird.
WebSphere Application Server
verwendet die Signaturdaten auf der Konsumentenseite, um die Integrität der empfangenen SOAP-Nachrichten
durch Validierung der signierten Nachrichtenabschnitte zu überprüfen. Führen Sie die folgenden
Schritte durch, um die Signaturdaten
für die serverseitigen Anforderungskonsumentenabschnitte und die clientseitigen Antwortkonsumentenabschnitte der Bindungsdateien auf Anwendungsebene zu
konfigurieren.
Vorgehensweise
- Rufen Sie die Administrationskonsole auf.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Geben Sie zum Aufrufen der Administrationskonsole in einem Web-Browser
http://localhost:Portnummer/ibm/console, es sei denn, Sie haben die Portnummer geändert.
Geben Sie zum Aufrufen der Administrationskonsole in einem Web-Browser
http://Servername:Portnummer/ibm/console ein, es sei denn, Sie haben die Portnummer geändert.
- Klicken Sie auf .
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Signaturdaten
der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie zum Konfigurieren der Signaturdaten des Anforderungskonsumenten auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anforderungskonsumentenbindung (Empfänger)"
auf Angepasste Bindungen bearbeiten.
- Klicken Sie zum Konfigurieren der Signaturdaten des Antwortkonsumenten auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anwortkonsumentenbindung (Empfänger)" auf Angepasste
Bindungen bearbeiten.
- Klicken Sie unter "Erforderliche Eigenschaften" auf Signaturdaten.
- Klicken Sie auf Neu, um eine Signaturdatenkonfiguration zu erstellen,
auf Löschen, um eine vorhandene Konfiguration zu löschen, oder auf den Namen einer
vorhandenen Konfiguration, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie einen Namen im Feld "Signaturdaten" ein.
- Wählen Sie im Feld "Signaturmethode" einen Algorithmus für die Signaturmethode aus. Die Signaturmethode ist der Algorithmus, der verwendet wird, um das kanonisierte Element
<SignedInfo> in der Bindungsdatei in das Element <SignatureValue> zu konvertieren.
Der für die Anforderungskonsumenten- bzw. Antwortkonsumentenkonfiguration angegebene Algorithmus muss mit dem für die Anforderungsgenerator- bzw. Antwortgeneratorkonfiguration übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- Wählen Sie eine Kanonisierungsmethode aus dem Feld "Kanonisierungsmethode" aus. Der Algorithmus für die Kanonisierungsmethode
wird verwendet, um das Element <SignedInfo>
zu kanonisieren, bevor es im Rahmen der digitalen Signaturoperation integriert wird.
Der Kanonisierungsalgorithmus, den Sie für den Generator auswählen, muss mit dem Algorithmus für den Konsumenten übereinstimmen. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- Wählen Sie im Feld "Signaturtyp für Schlüsseldaten" einen Signaturtyp für die Schlüsseldaten aus. Der Signaturtyp für die Schlüsseldaten
gibt an, wie das Element <KeyInfo> in der SOAP-Nachricht digital signiert wird. WebSphere Application
Server unterstützt die folgenden Signaturtypen:
- None
- Gibt an, dass der Schlüssel nicht signiert wird.
- Keyinfo
- Gibt an, dass das gesamte Element KeyInfo signiert wird.
- Keyinfochildelements
- Gibt an, dass die untergeordneten Elemente des KeyInfo-Elements signiert werden.
Wenn Sie keinen der genannten Signaturtypen angeben, verwendet
WebSphere Application
Server standardmäßig den Wert keyinfo. Der Signaturtyp für Schlüsseldaten für den Konsumenten muss mit dem Signaturtyp für den Generator übereinstimmen.
- Klicken Sie unter
"Weitere Eigenschaften" auf Referenz der Schlüsseldaten.
- Klicken Sie auf Neu, um eine Referenz auf Schlüsseldaten zu erstellen, oder klicken Sie auf den Namen eines
vorhandenen Eintrags, um seine Konfiguration zu ändern. Die Anzeige "Referenzen auf
Schlüsseldaten" wird angezeigt.
- Geben Sie im Feld "Name" einen Namen ein.
- Wählen Sie im Feld "Referenz auf Schlüsseldaten" eine Referenz aus. Diese Referenz ist der Name der Schlüsseldatenkonfiguration, die die Schlüsseldaten enthält, die für diese Signaturdatenkonfiguration verwendet werden.
- Kehren Sie zur Anzeige "Signaturdaten" zurück. Klicken Sie unter "Weitere Eigenschaften" auf Referenzen auf Nachrichtenabschnitte. In der Anzeige "Referenzen auf Nachrichtenabschnitte"
können Sie Referenzen auf die Nachrichtenabschnitte angeben, die in der Erweiterungsdatei für den Implementierungsdeskriptor definiert sind.
- Klicken Sie auf Neu, um eine neue Abschnittsreferenz zu erstellen, oder klicken Sie auf den Namen einer vorhandenen Abschnittsreferenz,
um ihre Konfiguration zu ändern. Die
Anzeige "Referenz auf Nachrichtenabschnitte" wird angezeigt.
- Geben Sie im Feld "Name des Nachrichtenabschnitts" einen Namen ein. Dieser Name ist
der Name der erforderlichen Integritätskonfiguration in der Erweiterungsdatei für den Implementierungsdeskriptor
und gibt die Nachrichtenabschnitte an, die digital signiert werden müssen.
- Wählen Sie im Feld "Algorithmus für Digest-Methode" einen Algorithmus für die Digest-Methode aus.
WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
Wenn Sie einen eigenen
Algorithmus angeben möchten, müssen Sie diesen Algorithmus in der Anzeige "Algorithmus-URI" konfigurieren,
bevor Sie den Algorithmus für die Digest-Methode festlegen.
- Klicken Sie unter "Weitere Eigenschaften" auf Umsetzungen.
- Klicken Sie auf Neu, um eine neue Umsetzung zu erstellen,
oder klicken Sie auf den Namen einer vorhandenen Umsetzung, um ihre Konfiguration zu ändern.
- Geben Sie im Feld "Umsetzungsname" einen Namen ein.
- Wählen Sie im Feld "Umsetzungsalgorithmus" einen Umsetzungsalgorithmus aus. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
Der Umsetzungsalgorithmus, den Sie für den Konsumenten angeben, muss mit dem Umsetzungsalgorithmus für den Generator übereinstimmen. Geben Sie für jede Referenz auf Nachrichtenabschnitte in den Signaturdaten einen Algorithmus für die Digest-Methode und einen Umsetzungsalgorithmus an.
- Klicken Sie auf OK.
- Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Ergebnisse
Sobald Sie diese Schritte durchgeführt haben, ist die Konfiguration der Signaturdaten für den Konsumenten abgeschlossen.
Nächste Schritte
Sie müssen analog eine Konfiguration für die Signaturdaten für den Generator erstellen.