Konsumentensignaturdaten zum Schutz der Nachrichtenintegrität mit den WSS-APIs prüfen
Sie können die Signaturdaten zum Schutz der Nachrichtenintegrität für die Antwortkonsumentenbindung (Clientseite) prüfen. Die Signaturdaten umfassen die Signatur und die signierten Abschnitte für die Generatorseite sowie die Signaturprüfung und die Prüfabschnitte für die Konsumentenseite. Gewöhnlich werden digitale Signaturen angewendet, um die Integrität der Nachrichten zu bewahren.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Integrität bezieht sich auf die digitale Signatur, wohingegen sich Vertraulichkeit auf die Verschlüsselung bezieht. Die Integrität wird durch Anwenden einer digitalen Signatur auf eine SOAP-Nachricht gewährleistet. Wenn Sie die Signaturdaten zum Schutz der Nachrichtenintegrität konfigurieren möchten, müssen Sie die SOAP-Nachrichten zuerst digital signieren und anschließend die Signatur prüfen. Integrität verringert das Risiko der Datenmanipulation, wenn Daten über ein Netz übertragen werden.
Außerdem wird die Nachrichtenintegrität durch Prüfung des digital signierten Hauptteils, der signierten Zeitmarke und der signierten WS-Addressing-Header mithilfe der Algorithmusmethoden für Signaturprüfung gewährleistet. Die WSS-APIs geben an, welcher Algorithmus zum Prüfen des Zertifikats verwendet werden soll. Die Signaturalgorithmen geben den URI (Uniform Resource Identifiers) der Signaturprüfmethode an. WebSphere Application Server unterstützt mehrere vorkonfigurierte Prüfalgorithmusmethoden.
- Verwenden Sie die Administrationskonsole, um Richtliniensätze für die Signaturprüfung zu konfigurieren.
- Mit den APIs von Web Services Security (WSS-API) den SOAP-Nachrichtenkontext konfigurieren (nur für den Client).
Führen Sie die folgenden Prüftasks mit den WSS-APIs aus, um die Signaturdaten zu konfigurieren und die Nachrichtenintegrität für die Konsumentenbindung zu schützen.
Vorgehensweise
- Signaturdaten mit der Anwendungsprogrammierschnittstelle "WSSSignature" konfigurieren. Konfigurieren Sie die Signaturprüfdaten für die Konsumentenbindung mit der API "WSSVerification". Die Signaturprüfdaten werden verwendet, um Abschnitte einer Nachricht, einschließlich des SOAP-Hauptteils, der Zeitmarke und der WS-Addressing-Header, zu prüfen. Prüfung und Entschlüsselung können auf dieselben Nachrichtenabschnitte, z. B. auf den SOAP-Hauptteil, angewendet werden.
- Prüfabschnitte mit der API "WSSVerifyPart" hinzufügen oder ändern.
- Client für Anforderungssignaturmethoden mit der API "WSSVerification" oder "WSSVerifyPart" konfigurieren. Wählen Sie zum Konfigurieren des Clients für die Antwortprüfung die Prüfmethoden aus. Verwenden Sie die API "WSSVerification", um die Kanonisierungs- und Signaturmethoden zu konfigurieren. Verwenden Sie die API "WSSVerifyPart", um die Digest- und Umsetzungsmethoden zu konfigurieren.