Verschlüsselung zum Schutz der Nachrichtenvertraulichkeit mit den WSS-APIs konfigurieren
Sie können Verschlüsselungsdaten für die clientseitigen Anforderungsgeneratorbindungen (Sender) konfigurieren. Verschlüsselungsdaten werden verwendet, um anzugeben, wie die Generatoren (Sender) abgehende SOAP-Nachrichten verschlüsseln. Zum Konfigurieren der Verschlüsselung geben Sie die Nachrichtenabschnitte, die verschlüsselt werden sollen, und die Algorithmusmethoden und Sicherheitstoken an, die für die Verschlüsselung verwendet werden sollen.
Vorbereitende Schritte
Vertraulichkeit bezieht sich auf Verschlüsselung, wohingegen sich Integrität auf digitale Signatur bezieht. Die Vertraulichkeit verringert das Risiko, dass jemand die Nachricht während des Transports durch das Internet verstehen kann. Wenn Angaben zur Vertraulichkeit gemacht wurden, wird die Nachricht vor dem Senden verschlüsselt und erst nach dem fehlerfreien Empfang am Ziel entschlüsselt. Machen Sie sich vor dem Konfigurieren der Verschlüsselung mit der XML-Verschlüsselung vertraut.
Informationen zu diesem Vorgang
- zu verschlüsselnde Abschnitte der Nachricht,
- anzugebende Verschlüsselungsalgorithmen.
Zum Konfigurieren der Verschlüsselung und der verschlüsselten Abschnitte auf Clientseite verwenden Sie die Anwendungsprogrammierschnittstellen "WSSEncryption" und "WSSEncryptPart", oder konfigurieren Sie Richtliniensätze über die Administrationskonsole.
WebSphere Application Server stellt Standardwerte für Bindungen bereit. Diese Standardwerte müssen jedoch vom Systemadministrator für die Produktionsumgebung geändert werden.
WebSphere Application Server verwendet Verschlüsselungsdaten für den Standardgenerator, um Abschnitte der SOAP-Nachricht zu verschlüsseln. Die Anwendungsprogrammierschnittstelle "WSSEncryption" konfiguriert die folgenden erforderlichen Abschnitte als verschlüsselte Abschnitte.
Verschlüsselungsabschnitte | Beschreibung |
---|---|
Schlüsselwörter | Es werden Schlüsselwörter verwendet, um die verschlüsselten Abschnitte zur SOAP-Nachricht hinzuzufügen. |
XPath-Ausdruck | Es wird ein XPath-Ausdruck verwendet, um die verschlüsselten Abschnitte zur SOAP-Nachricht hinzuzufügen. |
Objekt WSSEncryptPart | Dieses Objekt fügt die verschlüsselten Abschnitte zur SOAP-Nachricht hinzu. |
Objekt WSSSignature | Dieses Objekt fügt die Signaturkomponente als verschlüsselten Abschnitt hinzu. |
Header | Dieser Abschnitt fügt den mit dem QName angegebenen Header im SOAP-Header als Verschlüsselungsabschnitt hinzu. |
Sicherheitstokenobjekt | Dieses Objekt fügt das Sicherheitstoken als Verschlüsselungsabschnitt hinzu. |
Die API von Web Services Security (WSS-API) unterstützt symmetrische Verschlüsselung über die Verwendung eines gemeinsam genutzten Schlüssels nur, wenn Web Services Secure Conversation (WS-SecureConversation) verwendet wird.
Die WSS-APIs lassen die Verwendung von Schlüsselwörtern und XPath-Ausdrücken für die Angabe der zu verschlüsselnden Nachrichtenabschnitte zu. WebSphere Application Server unterstützt die Verwendung der folgenden Schlüsselwörter:
Schlüsselwort | Referenzen |
---|---|
BODY_CONTENT | Das Schlüsselwort für den Inhalt des SOAP-Nachrichtenhauptteils als Verschlüsselungsziel. |
SIGNATURE | Das Schlüsselwort für die Signaturkomponente als Verschlüsselungsziel. |
Wenn Sie die Konfiguration mit den WSS-Anwendungsprogrammierschnittstellen durchführen, führen die Anwendungsprogrammierschnittstellen "WSSEncryption" und "WSSEncryptPart" die folgenden übergeordneten Schritte aus:
Vorgehensweise
Ergebnisse
Beispiel
WSSFactory factory = WSSFactory.getInstance();
WSSGenerationContext gencont = factory.newWSSGenerationContext();
X509GenerateCallbackHandler callbackhandler = generateCallbackHandler();
SecurityToken token = factory.newSecurityToken(X509Token.class, callbackHandler);
WSSEncryption enc = factory.newWSSEncryption(token);
gencont.add(enc);
Nächste Schritte
Sie müssen ähnliche Entschlüsselungsdaten für die clientseitigen Antwortkonsumentenbindungen (Empfänger) konfigurieren, falls Sie diese Informationen noch nicht konfiguriert haben.
Sehen Sie sich als nächstes den Prozess der Anwendungsprogrammierschnittstelle "WSSEncryption" an.