Verwenden Sie ein Assembliertool, um Trust-Anchor (die Keystores angeben, die anerkannte
Stammzertifikate für die Validierung des Unterzeichnerzertifikats enthalten) oder Truststores auf Anwendungsebene zu konfigurieren.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel
gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
In diesem
Dokument wird beschrieben, wie Trust-Anchor und Truststores auf Anwendungsebene
konfiguriert werden. Die Trust-Anchor- und Truststore-Konfiguration auf Server- und Zellenebene wird nicht beschrieben. Trust-Anchor, die auf Anwendungsebene definiert werden,
haben Priorität vor denen, die auf Server- oder
Zellenebene definiert werden. Für die Konfiguration eines Trust-Anchor auf Anwendungsebene kann ein
Assembliertool oder die Administrationskonsole verwendet werden. Dieses Dokument beschreibt die Konfiguration
eines Trust-Anchor auf Zellenebene mit einem Assembliertool.
Weiter Informationen zum Erstellen und Konfigurieren eines Trust-Anchors auf Server- und Zellenebene finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
Informationen zu diesem Vorgang
Ein Trust-Anchor gibt Keystores an, die
Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsempfänger
(gemäß Definition in der Datei ibm-webservices-bnd.xmi) und vom
Empfänger (gemäß Definition in der Datei application-client.xml, falls
Web-Services als Client auftreten) verwendet, um das Unterzeichnerzertifikat der
digitalen Signatur zu validieren. Die Keystores sind für die Integrität
der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden,
ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die Bindungskonfiguration, die für den Anforderungsempfänger in der Datei
ibm-webservices-bnd.xmi angegeben ist,
muss mit der Bindungskonfiguration für den Antwortempfänger in der Datei application-client.xml
konform sein.
Führen Sie die folgenden Schritte aus, um Trust-Anchor mit einem Assembliertool zu konfigurieren.
Vorgehensweise
- Konfigurieren Sie ein Assembliertool für die Arbeit mit Java™ EE-Anwendungen (Java Platform, Enterprise Edition). Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Erstellen Sie eine Web-Service-fähige Java EE-Unternehmensanwendung. Eine Einführung in die Verwaltung von Bindungsinformationen für Web Services Security auf dem Server finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
- Antwortempfänger auf Clientseite konfigurieren, der in der erweiterten Bindungsdatei ibm-webservicesclient-bnd.xmi definiert ist.
- Verwenden Sie ein Assembliertool für den Import Ihrer
Java EE-Anwendung.
- Klicken Sie auf .
- Klicken Sie auf .
- Klicken Sie mit der rechten Maustaste auf die Datei application-client.xml, wählen Sie aus, und klicken Sie anschließend auf das Register WS-Bindung. Die Anzeige "Clientimplementierungsdeskriptor" erscheint.
- Suchen Sie den Abschnitt "Portqualifizierte Namensbindung", und wählen Sie einen vorhandenen Eintrag aus,
oder klicken Sie auf
Hinzufügen, um eine neue Portbindung hinzuzufügen. Daraufhin wird für den ausgewählten Port der
Editor für Web-Service-Client-Port-Bindungen angezeigt.
- Suchen Sie den Abschnitt "Trust-Anchor", und klicken Sie auf Hinzufügen. Daraufhin erscheint das Fenster "Trust-Anchor".
- Geben Sie für Name des Trust-Anchor einen eindeutigen Namen innerhalb der Portbindung ein.
Mit dem Namen wird auf
den definierten Trust-Anchor verwiesen.
- Geben Sie Kennwort, Pfad und Typ des Keystore ein.
Die unterstützten Keystore-Typen sind Java Cryptography Extension (JCE) und Java Cryptography
Extension Keystores (JCEKS).
Klicken Sie auf Bearbeiten, um den ausgewählten Trust-Anchor zu bearbeiten.
Klicken Sie auf Entfernen,
um den ausgewählten Trust-Anchor zu entfernen.
Wenn
Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die
Bindungsinformationen geladen werden.
- Speichern Sie die Änderungen.
- Anforderungsempfänger auf Serverseite konfigurieren, der in der erweiterten Bindungsdatei ibm-webservices-bnd.xmi definiert ist.
- Klicken Sie auf .
- Wählen Sie das Web-Service-fähige EJB- bzw. Webmodul aus.
- Klicken Sie im Fenster "Paketexplorer" für ein EJB-Modul auf das Verzeichnis META-INF
bzw. für ein Webmodul auf das Verzeichnis WEB-INF.
- Klicken Sie mit der rechten Maustaste auf die Datei webservices.xml, wählen Sie
aus, und klicken Sie dann auf das Register "Bindings". Daraufhin wird der Editor für Web-Service-Bindungen
angezeigt.
- Suchen Sie den Abschnitt "Web-Service-Beschreibungsbindungen", und wählen Sie einen Eintrag aus, oder klicken Sie auf
Hinzufügen, um einen neuen Web-Service-Deskriptor hinzuzufügen.
- Klicken Sie auf Bindungskonfigurationen. Der Editor für Web-Service-Bindungskonfigurationen für den ausgewählten Web-Service-Deskriptor wird angezeigt.
- Suchen Sie den Abschnitt "Trust-Anchor", und klicken Sie auf Hinzufügen. Daraufhin wird das Dialogfenster "Trust-Anchor" angezeigt.
- Geben Sie für Name des Trust-Anchor einen eindeutigen Namen innerhalb der Bindung ein.
Mit diesem eindeutigen
Namen wird auf den definierten Trust-Anchor verwiesen.
- Geben Sie Kennwort, Pfad und Typ des Keystore ein. Die unterstützten Keystore-Typen sind JCE und JCEKS.
Klicken Sie auf Bearbeiten, um den ausgewählten Trust-Anchor zu bearbeiten.
Klicken Sie auf Entfernen, um den ausgewählten Trust-Anchor zu entfernen.
Wenn
Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die
Bindungsinformationen geladen werden.
- Speichern Sie die Änderungen.
Ergebnisse
Diese Prozedur definiert Trust-Anchor, die vom Anforderungs- und Antwortempfänger
(wenn Web-Services als Client auftreten) verwendet werden können, um das Ausstellerzertifikat zu prüfen.
Beispiel
Der Anforderungsempfänger und der Antwortempfänger (wenn Web-Services als Client auftreten)
verwenden den definierten Trust-Anchor, um das Ausstellerzertifikat zu prüfen. Es wird mit dem Trust-Anchor-Namen auf den
Trust-Anchor verwiesen.