Key-Locator für die Generatorbindung auf Anwendungsebene mit JAX-RPC konfigurieren
Die Key-Locator-Daten für den Standardgenerator geben an, welche Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Signatur- und Verschlüsselungsdaten zu finden. Die Key-Locator-Daten für den Generator geben an, welche Key-Locator-Implementierung verwendet wird, um den Schlüssel für die Validierung der Signatur bzw. Verschlüsselung zu finden.
Informationen zu diesem Vorgang
WebSphere Application Server stellt Standardwerte für diese Bindungen bereit. Sie müssen diese Standardwerte jedoch für eine Produktionsumgebung ändern.
Führen Sie die folgenden Schritte aus, um den den Key-Locator für die Generatorbindung auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Konfigurationsanzeige für Verschlüsselungsdaten auf.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Key-Locator.
- Klicken Sie auf Neu, um eine Key-Locator-Konfiguration zu erstellen, wählen Sie das Kontrollkästchen neben einer vorhandenen Konfiguration aus, und klicken Sie auf Löschen, um diese vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Key-Locator-Konfiguration, um die Einstellungen zu editieren. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Name des Key-Locators einen eindeutigen Namen ein. Beispielsweise können Sie den Namen gen_keyloc angeben.
- Geben Sie im Feld Klassenname des Key-Locators einen Klassennamen für die Implementierung der Key-Locator-Klasse ein. Die JAAS-Anmeldemodulimplementierung (Java™
Authentication and Authorization Service) wird verwendet, um das Sicherheitstoken auf Generatorseite zu erstellen.
Geben Sie den Anforderungen der Anwendung entsprechend einen Klassennamen an. Wenn die Anwendung beispielsweise erfordert, dass der Schlüssel aus der Keystore-Datei gelesen wird, geben Sie die Implementierung
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator an.
WebSphere Application Server unterstützt die folgenden Implementierungen der Standard-Key-Locator-Klasse für Anwendungen der Version
6.0.x und höher, die für den Anforderungsgenerator bzw. den Antwortgenerator verfügbar sind:
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
- Diese Implementierung sucht und ruft die Schlüssel aus der angegebenen Keystore-Datei ab.
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- Diese Implementierung verwendet den öffentlichen Schlüssel aus dem Zertifikat des Unterzeichners und wird vom Antwortgenerator verwendet.
- Geben Sie das Kennwort für den Keystore, die Position für den Keystore und den Keystore-Typ an. Keystore-Dateien enthalten öffentliche und private Schlüssel, CA-Stammzertifikate, Zwischenzertifikate etc. Aus der Keystore-Datei abgerufene Schlüssel werden verwendet, um Nachrichten oder Nachrichtenabschnitte
zu signieren und zu validieren bzw. zu verschlüsseln und zu entschlüsseln. Wenn Sie für die Klassenimplementierung für den Key-Locator
die Implementierung com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator angegeben haben, müssen Sie ein Keystore-Kennwort, einen Keystore-Pfad und einen Keystore-Typ angeben.
- Geben Sie im Feld Kennwort für den Keystore ein Kennwort ein. Dieses Kennwort wird für den Zugriff auf die Keystore-Datei verwendet.
- Geben Sie im Feld Pfad die Position der Keystore-Datei im Keystore ein.
- Wählen Sie im Feld Typ einen Keystore-Typ aus. Die von IBM® verwendete JCE (Java Cryptography Extension) unterstützt die folgenden Keystore-Typen:
- JKS
- Verwenden Sie diese Option, wenn Sie Java Cryptography Extensions (JCE) nicht verwenden und Ihre Keystore-Datei das Format Java Keystore (JKS) verwendet.
- JCEKS
- Verwenden Sie diese Option, wenn Sie JCE (Java Cryptography Extensions) verwenden.
- JCERACFKS
- Verwenden Sie JCERACFKS, wenn die Zertifikate in einem SAF-Schlüsselring gespeichert sind (nur z/OS).
- PKCS11KS (PKCS11)
- Geben Sie dieses Format an, wenn Ihr Keystore das Dateiformat PKCS#11 hat. Keystores mit diesem Format können RSA-Schlüssel auf Verschlüsselungshardware enthalten oder für die Verschlüsselung von Schlüsseln verwendet werden, die für den Schutz Verschlüsselungshardware verwenden.
- PKCS12KS (PKCS12)
- Verwenden Sie diese Option, wenn Ihr Keystore das Dateiformat PKCS#12 hat.
WebSphere Application Server stellt im Verzeichnis ${USER_INSTALL_ROOT}/etc/ws-security/samples einige Beispiel-Keystore-Dateien bereit. Verwenden Sie zum Beispiel die Keystore-Datei enc-receiver.jceks für Chiffrierschlüssel. Das Kennwort für diese Datei ist Storepass, und der Typ ist JCEKS.Einschränkung: Verwenden Sie die Beispiel-Keystore-Dateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie unter "Weitere Eigenschaften" auf Schlüssel.
- Klicken Sie auf Neu, um eine Schlüsselkonfiguration zu erstellen, wählen Sie das Kontrollkästchen neben einer
Konfiguration aus, und klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer
vorhandenen Schlüsselkonfiguraiton, um die Einstellungen zu editieren. Gibt den Namen des in der Keystore-Datei gespeicherten Schlüsselobjekts an.
Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld Schlüsselname
einen eindeutigen Namen ein. Für digitale Signaturen wird der Schlüsselname von den Signaturdaten des Anforderungsgenerators bzw. Antwortgenerators verwendet, um den für die digitale Signatur der Nachricht verwendeten Schlüssel zu bestimmen.
Sie müssen für den Schlüsselnamen einen vollständig qualifizierten DN angeben. Beispiel: CN=Bob,O=IBM,C=US.
Wichtig: Verwenden Sie die Beispielschlüsseldateien nicht in einer Produktionsumgebung. Diese Beispiele werden lediglich zu Testzwecken bereitgestellt. - Geben Sie im Feld Schlüsselalias einen Aliasnamen an. Der Schlüsselalias wird vom Key-Locator verwendet, um nach Schlüsselobjekten in der Keystore-Datei zu suchen.
- Geben Sie im Feld Schlüsselkennwort ein Kennwort an. Das Kennwort ist für den Zugriff auf das Schlüsselobjekt in der Keystore-Datei erforderlich.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Key-Locator
Verwenden Sie diese Seite, um eine Liste der Key-Locator-Konfigurationen anzuzeigen, die Schlüssel aus dem Keystore für digitale Signatur und Verschlüsselung abrufen. Ein Key-Locator muss die Schnittstelle com.ibm.wsspi.wssecurity.config.KeyLocator implementieren.Konfigurationseinstellung für Key-Locator
Verwenden Sie diese Seite, um die Einstellungen für eine Key-Locator-Konfiguration festzulegen. Die Key-Locator rufen Schlüssel aus der Keystore-Datei für digitale Signatur und Verschlüsselung ab. Dieses Produkt unterstützt das Plug-in angepasste Key-Locator-Konfigurationen.Eigenschaften von Web Services Security
Verwenden Sie diese Seite, um eine Liste weiterer Eigenschaften für die Konfiguration anzuzeigen.Konfigurationseinstellungen für die Eigenschaften von Web Services Security
Verwenden Sie diese Seite, um weitere Sicherheitseigenschaften zu konfigurieren.Key-Locator
Verwenden Sie diese Seite, um eine Liste der Key-Locator-Konfigurationen anzuzeigen, die Schlüssel aus dem Keystore für digitale Signatur und Verschlüsselung abrufen. Ein Key-Locator muss die Schnittstelle com.ibm.wsspi.wssecurity.config.KeyLocator implementieren.Konfigurationseinstellung für Key-Locator
Verwenden Sie diese Seite, um die Einstellungen für eine Key-Locator-Konfiguration festzulegen. Die Key-Locator rufen Schlüssel aus der Keystore-Datei für digitale Signatur und Verschlüsselung ab. Dieses Produkt unterstützt das Plug-in angepasste Key-Locator-Konfigurationen.Eigenschaften von Web Services Security
Verwenden Sie diese Seite, um eine Liste weiterer Eigenschaften für die Konfiguration anzuzeigen.Konfigurationseinstellungen für die Eigenschaften von Web Services Security
Verwenden Sie diese Seite, um weitere Sicherheitseigenschaften zu konfigurieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocgenapp
Dateiname:twbs_configkeylocgenapp.html