Enlaces de ejemplo generales para aplicaciones JAX-WS
Puede utilizar enlaces de ejemplo con la consola administrativa para hacer pruebas. Las configuraciones que especifique se reflejan a nivel de célula o servidor.
WebSphere Application Server Versión 7.0 y posteriores incluyen enlaces de ejemplo de proveedor y de cliente para realizar pruebas. En los enlaces, el producto proporciona valores de ejemplo para el soporte de señales de distintos tipos, como señales X.509, la señal de nombre de usuario, la señal LTPA y la señal Kerberos. Los enlaces también incluyen valores de ejemplo para información de protección de mensajes para tipos de señales como X.509 y conversación segura. Tanto los enlaces de ejemplo de cliente como de proveedor se pueden aplicar a las aplicaciones conectadas a un conjunto de políticas del sistema o a un conjunto de políticas de aplicación desde el repositorio local por omisión.

No utilice estos enlaces de ejemplo de proveedor y cliente en su estado por omisión en un entorno de producción. Debe modificarlos para que se ajusten a sus necesidades de seguridad, antes de utilizarlos en entornos de producción, haciendo una copia y luego modificándolos. Por ejemplo, debe cambiar los valores de clave y almacén de claves para confirmar la seguridad, y modifique los valores de enlaces para que se ajusten a su entorno.

- Nivel por omisión de servidor
- Nivel de dominio de seguridad por omisión
- Seguridad global (célula) por omisión
Enlaces de ejemplo de cliente generales
- El ejemplo de configuración para la firma de generación de información, denominado
asymmetric-signingInfoRequest, contiene la configuración siguiente:
- Referencias a la información de claves de firmado gen_signkeyinfo.
- La configuración de referencia de componente, que contiene la configuración de transformación que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- La información de clave de firma, gen_signkeyinfo, que contiene esta configuración:
- La referencia del símbolo de seguridad.
- El generador de signatura asimétrica de señal de protección gen_signx509token, según se indica:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.generate.x509 JAAS
- El manejador de retorno de llamadas de X.509. El manejador de retorno de llamadas llama al
almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks,
con estas características:
- El tipo de almacén de claves es JKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es soaprequester.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El método de signatura es http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de firmado denominado
symmetric-signingInfoRequest contiene la configuración siguiente:
- Referencias a la información de claves de firmado gen_signsctkeyinfo.
- La configuración de referencia de componente, que contiene la configuración de transformación que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- La información de clave de firma, gen_signsctkeyinfo, que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.generate.sct JAAS
- El manejador de retorno de llamada WS-Trust.
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de cifrado, denominado
asymmetric-encryptionInfoRequest, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de gen_enckeyinfo.
- Información de clave de cifrado, denominada gen_enckeyinfo, que contiene esta
configuración:
- El identificador de clave.
- El generador de cifrado asimétrico de señal de protección gen_encx509token, según se indica:
- El tipo de almacén de claves es JCEKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es bob.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El manejador de retorno de llamadas de X.509. El manejador de retorno de llamada llama al almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
- El método de cifrado de claves http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- El ejemplo de configuración para la generación de información de cifrado, denominado
symmetric-encryptionInfoRequest, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de gen_encsctkeyinfo.
- La información de clave de cifrado, gen_encsctkeyinfo, que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_scttoken que contiene la configuración siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.generate.sct JAAS.
- El manejador de retorno de llamada WS-Trust.
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para el consumo de información de firmado, denominado
asymmetric-signingInfoResponse, contiene la configuración siguiente:
- Referencias a la información de clave de firmado con_signkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada con_signkeyinfo, que contiene la configuración siguiente:
- El consumidor de signatura asimétrica de señal de protección con_signx509token, según
se muestra a continuación:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.consume.x509 JAAS.
- El manejador de retorno de llamadas de X.509, de la manera siguiente:
- Referencias al almacén de certificados denominado DigSigCertStore.
- Referencias a un almacén de ancla de confianza denominado DigSigTrustAnchor.
- El consumidor de signatura asimétrica de señal de protección con_signx509token, según
se muestra a continuación:
- El método de signatura es http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de firmado, denominado
symmetric-signingInfoResponse, contiene la configuración siguiente:
- Referencias a la información de clave de firmado con_sctsignkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada con_sctsignkeyinfo, que contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.consume.sct JAAS.
- El manejador de retorno de llamada WS-SecureConversation.
- La clave derivada, de la manera siguiente:
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de cifrado, denominado
asymmetric-encryptionInfoResponse, que contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de dec_keyinfo.
- La información de clave de cifrado, denominada dec_keyinfo, que
contiene la configuración siguiente:
- El consumidor de cifrado asimétrico de señal de protección con_encx509token, de la manera
siguiente:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.consume.x509 JAAS.
- El manejador de retorno de llamadas de X.509. El manejador de retorno de llamadas llama al
almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks,
con las características siguientes:
- El tipo de almacén de claves es JCEKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es alice.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El consumidor de cifrado asimétrico de señal de protección con_encx509token, de la manera
siguiente:
- El método de cifrado de claves http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- El ejemplo de configuración para el consumo de información de cifrado, denominado
symmetric-encryptionInfoResponse, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de dec_sctkeyinfo.
- La información de clave de cifrado, denominada dec_sctkeyinfo,
contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.consume.sct JAAS.
- El manejador de retorno de llamada WS-SecureConversation.
- La clave derivada, de la manera siguiente:
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para la generación de señal de autenticación, denominado
gen_signkrb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos v5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor del componente local.
- El inicio de sesión wss.generate.KRB5BST JAAS.
- Las propiedades personalizadas siguientes:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, el nombre de servicio de Kerberos de destino.
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,
el nombre de host asociado al nombre de servicio Kerberos de destino.
Debe proporcionar los valores correctos para el entorno antes de utilizar esta configuración.
- El manejador de retorno de llamadas de señal de Kerberos personalizada. Debe proporcionar los valores correctos para que principal de cliente de Kerberos, así como la contraseña.
- El ejemplo de configuración para la generación de señal de autenticación, denominado
gen_signltpaproptoken, contiene la configuración siguiente:
- La señal de propagación LTPA de tipo de señal, de la manera siguiente:
- Contiene LTPA_PROPAGATION para el valor del componente local.
- Contiene http://www.ibm.com/websphere/appserver/tokentype para el valor URI del espacio de nombres.
- Contiene el inicio de sesión wss.generate.ltpaProp JAAS.
- Utiliza el manejador de retorno de llamada de señal LTPA.
- La señal de propagación LTPA de tipo de señal, de la manera siguiente:
- El ejemplo de configuración para la generación de señal de autenticación, denominado
gen_signltpatoken, contiene la configuración siguiente:
- El tipo de señal de LTPA Token v2.0, como sigue:
- Contiene LTPA_PROPAGATION para el valor del componente local.
- Contiene http://www.ibm.com/websphere/appserver/tokentype para el valor URI del espacio de nombres.
- El inicio de sesión wss.generate.ltpa JAAS.
- El manejador de retorno de llamadas de señal LTPA.
- El tipo de señal de LTPA Token v2.0, como sigue:
- El ejemplo de configuración para la generación de señal de autenticación, denominado
gen_signunametoken, contiene la configuración siguiente:
- El tipo de señal de Username Token v1.0, que utiliza http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken para el valor del componente local.
- El inicio de sesión wss.generate.unt JAAS.
- El manejador de retorno de llamada de la señal Username, como sigue:
- Contiene campos de autenticación básica. Debe proporcionar los valores correctos para su entorno para principal de cliente, así como la contraseña.
- Contiene las propiedades personalizadas siguientes:
- com.ibm.wsspi.wssecurity.token.username.addNonce para añadir el valor nonce.
- com.ibm.wsspi.wssecurity.token.username.addTimestamp para añadir el valor time stamp.
Enlaces de ejemplo de cliente V2
Se han añadido al producto dos nuevos enlaces de ejemplo generales, ejemplo de cliente V2 y ejemplo de proveedor V2. Mientras que muchas de las configuraciones son las mismas que en las versiones anteriores de los enlaces de ejemplo de cliente y de ejemplo de proveedor, hay varias configuraciones de ejemplo nuevas adicionales. Para utilizar estos nuevos enlaces, cree un nuevo perfil después de instalar el producto. Para obtener más información, lea el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.
- El ejemplo de configuración para la generación de información de firma,
denominado symmetric-KrbsignInfoRequest,
contiene la siguiente configuración:
- Referencias a la información de claves de firma gen_reqKRBsignkeyinfo.
- La configuración de referencia de componente, que contiene la configuración de transformación que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- La información de clave de firma, gen_reqKRBsignkeyinfo,
que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_krb5token
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor de componente local.
- Contiene el inicio de sesión wss.generate.KRB5BST JAAS
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de cifrado,
denominadosymmetric-KrbEncInfoRequest, contiene la
configuración siguiente:
- Referencias a la información de clave de cifrado de gen_reqKRBenckeyinfo.
- La información de clave de cifrado, gen_reqKRBenckeyinfo,
que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección de gen_krb5token,
que contiene la configuración siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.generate.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para el consumo de información de firma,
denominado symmetric-KrbsignInfoResponse, contiene la
configuración siguiente:
- Referencias a la información de clave de firma de con_respKRBsignkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de clave de firma, denominada con_respKRBsignkeyinfo,
que contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_krb5token,
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.consume.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- La clave derivada, de la manera siguiente:
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de cifrado,
denominado symmetric-KrbEncInfoResponse, contiene la
configuración siguiente:
- Referencias a la información de clave de cifrado de con_respKRBenckeyinfo.
- La información de clave de cifrado, denominada con_respKRBenckeyinfo,
contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_krb5token,
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.consume.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- La clave derivada, de la manera siguiente:
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para la generación de señal de autenticación,
denominado gen_krb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- El inicio de sesión wss.generate.KRB5BST JAAS.
- Las propiedades personalizadas siguientes:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, el nombre de servicio de Kerberos de destino.
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, el nombre de host
asociado con el nombre de servicio de Kerberos de destino.Nota: Debe proporcionar los valores correctos para el entorno antes de utilizar esta configuración.
- El manejador de retorno de llamadas de señal de Kerberos personalizada. Nota: Debe proporcionar los valores correctos para que principal de cliente de Kerberos, así como la contraseña.
- El ejemplo de configuración para la generación de señal de autenticación,
denominado con_krb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- El inicio de sesión wss.consume.KRB5BST JAAS.
- El manejador de retorno de llamadas de señal de Kerberos personalizada.
Enlaces de ejemplo de proveedor generales
- El ejemplo de configuración para la firma de consumo de información, llamada
asymmetric-signingInfoRequest, contiene la configuración siguiente:
- Referencias a la información de clave de firmado con_signkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada con_signkeyinfo, que contiene la configuración siguiente:
- El consumidor de signatura asimétrica de señal de protección con_signx509token, según
se muestra a continuación:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.consume.x509 JAAS.
- El manejador de retorno de llamadas de X.509, de la manera siguiente:
- Referencias al almacén de certificados denominado DigSigCertStore.
- Referencias a un almacén de ancla de confianza denominado DigSigTrustAnchor.
- El consumidor de signatura asimétrica de señal de protección con_signx509token, según
se muestra a continuación:
- El método de signatura es http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de firmado, denominado
symmetric-signingInfoRequest, contiene la configuración siguiente:
- Referencias a la información de clave de firmado con_sctsignkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada con_sctsignkeyinfo, que contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección con_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.consume.sct JAAS.
- El manejador de retorno de llamada WS-SecureConversation.
- La clave derivada, de la manera siguiente:
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de cifrado, denominado
asymmetric-encryptionInfoRequest, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de dec_keyinfo.
- La información de clave de cifrado, denominada dec_keyinfo, que
contiene la configuración siguiente:
- El consumidor de cifrado asimétrico de señal de protección con_encx509token, de la manera
siguiente:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.consume.x509 JAAS.
- El manejador de retorno de llamadas de X.509. El manejador de retorno de llamadas llama al
almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks,
con las características siguientes:
- El tipo de almacén de claves es JCEKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es bob.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El consumidor de cifrado asimétrico de señal de protección con_encx509token, de la manera
siguiente:
- El método de cifrado de claves http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- El ejemplo de configuración para el consumo de información de cifrado, denominado
symmetric-encryptionInfoRequest, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de dec_sctkeyinfo.
- La información de clave de cifrado, denominada dec_sctkeyinfo, que
contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.consume.sct JAAS.
- El manejador de retorno de llamada WS-SecureConversation.
- La clave derivada, de la manera siguiente:
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para la firma de generación de información, llamada
asymmetric-signingInfoResponse, contiene la configuración siguiente:
- Referencias a la información de claves de firmado gen_signkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada gen_signkeyinfo, que contiene la configuración siguiente:
- La referencia del símbolo de seguridad.
- El generador de signatura asimétrica de señal de protección gen_signx509token, según se indica:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.generate.x509 JAAS.
- El manejador de retorno de llamadas de X.509. El manejador de retorno de llamadas llama al
almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks,
con las características siguientes:
- El tipo de almacén de claves es JKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es soapprovider.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El método de signatura es http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de firmado, denominado
symmetric-signingInfoResponse, contiene la configuración siguiente:
- Referencias a la información de claves de firmado gen_signsctkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de firma de clave, denominada gen_signsctkeyinfo, que contiene la configuración siguiente:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.generate.sct JAAS.
- El manejador de retorno de llamada WS-Trust.
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de cifrado, denominado
asymmetric-encryptionInfoResponse, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de gen_enckeyinfo.
- La información de clave de cifrado, denominada gen_enckeyinfo,
contiene la configuración siguiente
- El identificador de clave.
- El generador de cifrado asimétrico de señal de protección gen_encx509token, según se indica:
- Contiene el tipo de señal X.509 V3 Token v1.0.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de componente local.
- Contiene el inicio de sesión wss.generate.x509 JAAS.
- Utiliza el manejador de retorno de llamada X.509. El manejador de retorno de llamadas llama al
almacén de claves personalizado en ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks,
con las características siguientes:
- El tipo de almacén de claves es JCEKS.
- La contraseña de almacén de claves es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es alice.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- El método de cifrado de claves http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- El ejemplo de configuración para la generación de información de cifrado, denominado
symmetric-encryptionInfoResponse, contiene la configuración siguiente:
- Hace referencia a la información de clave de cifrado de gen_encsctkeyinfo.
- La información de clave de cifrado, denominada gen_encsctkeyinfo,
contiene la configuración siguiente:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_scttoken de la manera siguiente:
- Contiene el tipo de señal Señal de conversación segura versión 1.3.
- Contiene el tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como el valor de componente local.
- Contiene el inicio de sesión wss.generate.sct JAAS.
- El manejador de retorno de llamada WS-Trust.
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para el consumo de señal de autenticación, denominado
con_krb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos v5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor del componente local.
- El inicio de sesión wss.consume.KRB5BST JAAS.
- El manejador de retorno de llamadas de señal de Kerberos personalizada.
- El ejemplo de configuración para el consumo de señal de autenticación, denominado
con_ltpaproptoken, contiene la configuración siguiente:
- El tipo de señal Señal de propagación LTPA.
- El inicio de sesión wss.consume.ltpaProp JAAS.
- El manejador de retorno de llamadas de señal LTPA.
- El ejemplo de configuración para el consumo de señal de autenticación, denominado
con_ltpatoken, contiene la configuración siguiente:
- El tipo de señal LTPA Token v2.0, con las características siguientes:
- Contiene LTPAv2 para el valor del componente local.
- Contiene http://www.ibm.com/websphere/appserver/tokentype para el valor URI del espacio de nombres.
- El inicio de sesión wss.consume.ltpa JAAS
- El manejador de retorno de llamadas de señal LTPA.
- El tipo de señal LTPA Token v2.0, con las características siguientes:
- El ejemplo de configuración para el consumo de señal de autenticación, denominado
con_unametoken, contiene la configuración siguiente:
- Tipo de señal Username Token v1.0, que utiliza http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken para el valor del componente local.
- El inicio de sesión wss.consume.unt JAAS.
- El manejador de retorno de llamada de la señal Username, con las propiedades personalizadas siguientes:
- com.ibm.wsspi.wssecurity.token.username.verifyNonce para verificar el valor nonce.
- com.ibm.wsspi.wssecurity.token.username.verifyTimestamp para verificar el valor time stamp.
Enlaces de ejemplo de proveedor V2
Se han añadido al producto dos nuevos enlaces de ejemplo generales, ejemplo de cliente V2 y ejemplo de proveedor V2. Mientras que muchas de las configuraciones son las mismas que en las versiones anteriores de los enlaces de ejemplo de cliente y de ejemplo de proveedor, hay varias configuraciones de ejemplo nuevas adicionales. Para utilizar estos nuevos enlaces, cree un nuevo perfil después de instalar el producto. Para obtener más información, lea el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.
- El ejemplo de configuración para la generación de información de firma,
denominado symmetric-KrbsignInfoRequest,
contiene la siguiente configuración:
- Referencias a la información de clave de firma de con_respKRBsignkeyinfo.
- La configuración de referencia de componente, que contiene la configuración de transformación que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- La información de clave de firma, con_respKRBsignkeyinfo,
que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_krb5token,
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor de componente local.
- Contiene el inicio de sesión wss.consume.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para la generación de información de cifrado,
denominadosymmetric-KrbEncInfoRequest, contiene la
configuración siguiente:
- Referencias a la información de clave de cifrado de con_reqKRBenckeyinfo.
- La información de clave de cifrado, con_reqKRBenckeyinfo,
que contiene esta configuración:
- La referencia del símbolo de seguridad.
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El consumidor de señal de protección con_krb5token,
que contiene la configuración siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.consume.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para el consumo de información de firma,
denominado symmetric-KrbsignInfoResponse, contiene la
configuración siguiente:
- Referencias a la información de claves de firma gen_respKRBsignkeyinfo.
- La configuración de referencia de componente, que utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n# de configuración de transformación.
- La información de clave de firma, denominada gen_respKRBsignkeyinfo,
que contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_krb5token
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.generate.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- La clave derivada, de la manera siguiente:
- El método de signatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- El método de canonización http://www.w3.org/2001/10/xml-exc-c14n#.
- El ejemplo de configuración para el consumo de información de cifrado,
denominado symmetric-KrbEncInfoResponse, contiene la
configuración siguiente:
- Hace referencia a la información de clave de cifrado gen_respKRBenckeyinfo.
- La información de clave de cifrado, denominada gen_respKRBenckeyinfo,
contiene la configuración siguiente:
- La clave derivada, de la manera siguiente:
- Precisa de señal de clave derivada explícita.
- WS-SecureConversation como etiqueta de cliente.
- WS-SecureConversation como etiqueta de servicio.
- Longitud de clave de 16 bytes.
- Longitud de Nonce de 16 bytes.
- El generador de señal de protección gen_krb5token
de la manera siguiente:
- Contiene el tipo de señal de seguridad binaria GSS AP_REQ de Kerberos V5.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- Contiene el inicio de sesión wss.generate.KRB5BST JAAS.
- El com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- La clave derivada, de la manera siguiente:
- El método de cifrado de datos http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- El ejemplo de configuración para la generación de señal de autenticación,
denominado gen_krb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- El inicio de sesión wss.generate.KRB5BST JAAS.
- El manejador de retorno de llamadas de señal de Kerberos personalizada.
- El ejemplo de configuración para la generación de señal de autenticación,
denominado con_krb5token, contiene la configuración siguiente:
- El tipo de señal personalizada para la señal Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de componente local.
- El inicio de sesión wss.consume.KRB5BST JAAS.
- El manejador de retorno de llamadas de señal de Kerberos personalizada.