Wenn Sie den Client für Antwortentschlüsselung konfigurieren möchten, geben Sie die
Entschlüsselungsmethode an, die der Client zum Entschlüsseln von Antwortnachrichten verwenden soll.
Die Konfigurationen für die Antwortverschlüsselung des Servers und die Antwortentschlüsselung
des Clients müssen zusammenpassen.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
Lesen Sie vor der Ausführung dieser Schritte einen der folgenden Artikel, um sich mit den
Registern
WS-Erweiterung und
WS-Bindung im Editor für Clientimplementierungsdeskriptoren eines Assembliertools vertraut zu machen:
Auf diesen beiden Registerkarten werden die Sicherheitserweiterungen bzw. die Sicherheitsbindungen für Web Services
konfiguriert.
Informationen zu diesem Vorgang
Geben Sie wie folgt die Entschlüsselungsmethode an, die der Client zum Entschlüsseln der Antwortnachricht
verwenden soll. Die Konfigurationen für die Antwortverschlüsselung des Servers und die Antwortentschlüsselung
des Clients müssen zusammenpassen.
Vorgehensweise
- Starten Sie ein Assembliertool. Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Wechseln Sie in die Java™-EE-Perspektive (Java Platform,
Enterprise Edition).
Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, und wählen Sie anschließend aus.
- Klicken Sie im Assembliertool unten im Editor für Implementierungsdeskriptoren
auf das Register WS-Bindung.
- Erweitern Sie den Abschnitt . Weitere Informationen zum Verschlüsseln und Entschlüsseln von SOAP-Nachrichten finden Sie im ArtikelXML-Verschlüsselung.
- Klicken Sie auf Bearbeiten, um die Verschlüsselungsdaten anzuzeigen. Die folgende Tabelle beschreibt den Zweck dieser Informationen. Einige dieser Definitionen basieren auf der
Spezifikation für XML-Verschlüsselung, die Sie unter der folgenden Webadresse finden:
http://www.w3.org/TR/xmlenc-core
- Verschlüsselungsname
- Der Aliasname des Eintrags mit Verschlüsselungsdaten.
- Algorithmus der Datenverschlüsselungsmethode
- Ver- und entschlüsselt Daten fester Größe in mehreren Oktettblöcken.
- Algorithmus der Schlüsselverschlüsselungsmethoden
- Algorithmen für die Verschlüsselung öffentlicher Schlüssel, die für das Ver- und Entschlüsseln von Schlüsseln angegeben werden.
- Name des Chiffrierschlüssels
- Der Name des Chiffrierschlüssels ist ein Subject aus einem persönlichen Zertifikat, in der Regel ein definierter Name (DN),
der vom Key-Locator für Verschlüsselung ermittelt wird. Das Subject wird vom Algorithmus der
Verschlüsselungsmethode verwendet, um den geheimen Schlüssel zu entschlüsseln.
Mit dem geheimen Schlüssel werden die Daten entschlüsselt.
Wichtig: Der ausgewählte Schlüssel muss der private
Schlüssel des Clients sein. Die Verschlüsselung muss mit dem öffentlichen Schlüssel und die Entschlüsselung mit dem privaten Schlüssel (persönliches
Zertifikat) vorgenommen werden.
Beispiel für das persönliche Zertifikat des Clients: CN=Alice, O=IBM, C=US. Deshalb besitzt
der Client das Paar aus öffentlichem und privatem Schlüssel.
Der Zielserver, der die Antwort sendet, verschlüsselt den geheimen Schlüssel unter Verwendung des öffentlichen Schlüssels für
CN=Alice, O=IBM, C=US. Der Client entschlüsselt den geheimen Schlüssel unter Verwendung des privaten Schlüssels für
CN=Alice, O=IBM, C=US.
- Key-Locator für Verschlüsselung
- Verweist auf die Key-Locator-Implementierungsklasse, die den richtigen Keystore
sucht, in dem Aliasname und Zertifikat enthalten sind.
Weitere Informationen zur Key-Locator-Konfiguration finden Sie in den Artikeln Key-Locator mit einem Assembliertool konfigurieren und
Key-Locator mit der Administrationskonsole konfigurieren.
- Optional: Wählen Sie Nur FIPS-konforme Algorithmen anzeigen aus,
wenn in den Dropdown-Listen "Algorithmus der Datenverschlüsselungsmethode" und "Algorithmus der Chiffrierschlüsselmethode"
nur FIPS-konforme Algorithmen angezeigt werden sollen.
Verwenden Sie diese Option, wenn diese Anwendung in einem WebSphere Application Server
eingesetzt werden soll, in dem die Option Die FIPS-Algorithmen (Federal Information
Processing Standard) verwenden in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" der
WebSphere Application Server-Administrationskonsole ausgewählt ist.
Ergebnisse
Bei der Entschlüsselung muss der ausgewählte Chiffrierschlüsselname auf ein persönliches
Zertifikat verweisen, das der Client-Key-Locator finden kann. Das Subject
(Feld owner des Zertifikats) des persönlichen Zertifikats muss im Feld "Name des Chiffrierschlüssels" eingegeben werden. Dies
ist gewöhnlich ein definierter Name (DN). Die Standard-Key-Locator
verwendet den Namen des Chiffrierschlüssels, um den Schlüssel im Keystore zu suchen.
Wenn Sie einen angepassten Key-Locator schreiben, können Sie jeden Chiffrierschlüsselnamen verwenden, mit
dem der Key-Locator in der Lage ist, den richtigen Chiffrierschlüssel zu finden. Der Key-Locator für Verschlüsselung verweist auf die Implementierungsklasse, die den richtigen Keystore
findet, in dem Aliasname und Zertifikat enthalten sind. Weitere Informationen finden Sie im Artikel Key-Locator mit einem Assembliertool konfigurieren and Key-Locator mit der Administrationskonsole konfigurieren.
Nächste Schritte
Sie müssen die Teile der Anforderungsnachricht angeben, die entschlüsselt werden sollen. Lesen Sie den Artikel
Client für die Entschlüsselung von Antworten konfigurieren: Nachrichtenabschnitte entschlüsseln, falls Sie diese Informationen noch nicht angegeben haben.