Trust-Anchor mit einem Assembliertool konfigurieren

Verwenden Sie ein Assembliertool, um Trust-Anchor (die Keystores angeben, die anerkannte Stammzertifikate für die Validierung des Unterzeichnerzertifikats enthalten) oder Truststores auf Anwendungsebene zu konfigurieren.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.

In diesem Dokument wird beschrieben, wie Trust-Anchor und Truststores auf Anwendungsebene konfiguriert werden. Die Trust-Anchor- und Truststore-Konfiguration auf Server- und Zellenebene wird nicht beschrieben. Trust-Anchor, die auf Anwendungsebene definiert werden, haben Priorität vor denen, die auf Server- oder Zellenebene definiert werden. Für die Konfiguration eines Trust-Anchor auf Anwendungsebene kann ein Assembliertool oder die Administrationskonsole verwendet werden. Dieses Dokument beschreibt die Konfiguration eines Trust-Anchor auf Zellenebene mit einem Assembliertool. Weiter Informationen zum Erstellen und Konfigurieren eines Trust-Anchors auf Server- und Zellenebene finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. Serversicherheitsbindungen über die Administrationskonsole konfigurieren.

Informationen zu diesem Vorgang

Ein Trust-Anchor gibt Keystores an, die Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsempfänger (gemäß Definition in der Datei ibm-webservices-bnd.xmi) und vom Empfänger (gemäß Definition in der Datei application-client.xml, falls Web-Services als Client auftreten) verwendet, um das Unterzeichnerzertifikat der digitalen Signatur zu validieren. Die Keystores sind für die Integrität der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden, ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die Bindungskonfiguration, die für den Anforderungsempfänger in der Datei ibm-webservices-bnd.xmi angegeben ist, muss mit der Bindungskonfiguration für den Antwortempfänger in der Datei application-client.xml konform sein.

Führen Sie die folgenden Schritte aus, um Trust-Anchor mit einem Assembliertool zu konfigurieren.

Vorgehensweise

  1. Konfigurieren Sie ein Assembliertool für die Arbeit mit Java™ EE-Anwendungen (Java Platform, Enterprise Edition). Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Erstellen Sie eine Web-Service-fähige Java EE-Unternehmensanwendung. Eine Einführung in die Verwaltung von Bindungsinformationen für Web Services Security auf dem Server finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
  3. Antwortempfänger auf Clientseite konfigurieren, der in der erweiterten Bindungsdatei ibm-webservicesclient-bnd.xmi definiert ist.
    1. Verwenden Sie ein Assembliertool für den Import Ihrer Java EE-Anwendung.
    2. Klicken Sie auf Fenster > Perspektive öffnen > Andere > J2EE.
    3. Klicken Sie auf Anwendungsclientprojekte > Anwendungsname > appClientModule > META-INF.
    4. Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, wählen Sie Öffnen mit > Editor für Implementierungsdeskriptor aus, und klicken Sie anschließend auf das Register WS-Bindung. Die Anzeige "Clientimplementierungsdeskriptor" erscheint.
    5. Suchen Sie den Abschnitt "Portqualifizierte Namensbindung", und wählen Sie einen vorhandenen Eintrag aus, oder klicken Sie auf Hinzufügen, um eine neue Portbindung hinzuzufügen. Daraufhin wird für den ausgewählten Port der Editor für Web-Service-Client-Port-Bindungen angezeigt.
    6. Suchen Sie den Abschnitt "Trust-Anchor", und klicken Sie auf Hinzufügen. Daraufhin erscheint das Fenster "Trust-Anchor".
      1. Geben Sie für Name des Trust-Anchor einen eindeutigen Namen innerhalb der Portbindung ein.

        Mit dem Namen wird auf den definierten Trust-Anchor verwiesen.

      2. Geben Sie Kennwort, Pfad und Typ des Keystore ein.

        Die unterstützten Keystore-Typen sind Java Cryptography Extension (JCE) und Java Cryptography Extension Keystores (JCEKS).

      Klicken Sie auf Bearbeiten, um den ausgewählten Trust-Anchor zu bearbeiten.

      Klicken Sie auf Entfernen, um den ausgewählten Trust-Anchor zu entfernen.

      Wenn Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die Bindungsinformationen geladen werden.

    7. Speichern Sie die Änderungen.
  4. Anforderungsempfänger auf Serverseite konfigurieren, der in der erweiterten Bindungsdatei ibm-webservices-bnd.xmi definiert ist.
    1. Klicken Sie auf Fenster > Perspektive öffnen > J2EE.
    2. Wählen Sie das Web-Service-fähige EJB- bzw. Webmodul aus.
    3. Klicken Sie im Fenster "Paketexplorer" für ein EJB-Modul auf das Verzeichnis META-INF bzw. für ein Webmodul auf das Verzeichnis WEB-INF.
    4. Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, wählen Sie Öffnen mit > Web-Service-Editor aus, und klicken Sie dann auf das Register "Bindings". Daraufhin wird der Editor für Web-Service-Bindungen angezeigt.
    5. Suchen Sie den Abschnitt "Web-Service-Beschreibungsbindungen", und wählen Sie einen Eintrag aus, oder klicken Sie auf Hinzufügen, um einen neuen Web-Service-Deskriptor hinzuzufügen.
    6. Klicken Sie auf Bindungskonfigurationen. Der Editor für Web-Service-Bindungskonfigurationen für den ausgewählten Web-Service-Deskriptor wird angezeigt.
    7. Suchen Sie den Abschnitt "Trust-Anchor", und klicken Sie auf Hinzufügen. Daraufhin wird das Dialogfenster "Trust-Anchor" angezeigt.
      1. Geben Sie für Name des Trust-Anchor einen eindeutigen Namen innerhalb der Bindung ein.

        Mit diesem eindeutigen Namen wird auf den definierten Trust-Anchor verwiesen.

      2. Geben Sie Kennwort, Pfad und Typ des Keystore ein. Die unterstützten Keystore-Typen sind JCE und JCEKS.

      Klicken Sie auf Bearbeiten, um den ausgewählten Trust-Anchor zu bearbeiten.

      Klicken Sie auf Entfernen, um den ausgewählten Trust-Anchor zu entfernen.

      Wenn Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die Bindungsinformationen geladen werden.

    8. Speichern Sie die Änderungen.

Ergebnisse

Diese Prozedur definiert Trust-Anchor, die vom Anforderungs- und Antwortempfänger (wenn Web-Services als Client auftreten) verwendet werden können, um das Ausstellerzertifikat zu prüfen.

Beispiel

Der Anforderungsempfänger und der Antwortempfänger (wenn Web-Services als Client auftreten) verwenden den definierten Trust-Anchor, um das Ausstellerzertifikat zu prüfen. Es wird mit dem Trust-Anchor-Namen auf den Trust-Anchor verwiesen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_conftrancastk
Dateiname:twbs_conftrancastk.html