Configuración de generadores de señales mediante JAX-RPC para proteger la autenticidad de mensajes en el nivel de aplicación

Cuando especifica los generadores de señales a nivel de aplicación, se utiliza en el generador la información para generar la señal de seguridad.

Antes de empezar

Debe saber que la información de almacén de claves/alias que proporcione para el generador y la información del almacén de claves/alias que proporcione para el consumidor se utilizan con fines distintos. La principal diferente se aplica a alias para un manejador de retorno de llamada de X.509.

Cuando se utiliza junto con un generador de cifrado, se utiliza el alias suministrado para el generador para recuperar la clave pública con el fin de cifrar el mensaje. No es necesaria ninguna contraseña. El alias que se indica en un manejador de devolución de llamada asociado a un generador de cifrado debe estar accesible sin una contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves. Cuando se utiliza junto con ungenerador de firmas, el alias proporcionado para el generador se utiliza para recuperar la clave privada para firmar el mensaje. Es necesaria una contraseña.

Acerca de esta tarea

Efectúe los pasos siguientes para configurar el generador de señales en el nivel de aplicación:

Procedimiento

  1. Localice el panel del generador de señales en la consola administrativa.
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Gestionar módulos, pulse nombre_URI.
    3. En Propiedades de Web Services Security, puede acceder a los generadores de señales para los enlaces siguientes:
      • Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
      • Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Generadores de señales.
    5. Pulse Nuevo para crear una configuración de generador de señales, seleccione una configuración existente. Pulse Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de generador de señales existente para editar sus valores. Si va a crear una configuración nueva, especifique un nombre exclusivo en el campo Nombre de generador de señales. Por ejemplo, puede especificar gen_signtgen.
  2. Especifique un nombre de clase en el campo Nombre de clase del generador de señales. La clase del generador de señales debe implementar la interfaz com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent. El nombre de clase del generador de señales para el generador de solicitudes y el generador de respuestas debe ser parecido al nombre de clase del consumidor de señales para el consumidor de solicitudes y el consumidor de respuestas. Por ejemplo, si la aplicación necesita un consumidor de señales de nombre de usuario, puede especificar el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer en el panel del consumidor de señales para el nivel de aplicación, y el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator en este campo.
  3. Opcional: Seleccione una referencia de parte en el campo Referencia de parte. La referencia de partes indica el nombre de la señal de seguridad que se define en el descriptor de despliegue.
    Importante: En el nivel de aplicación, si no especifica una señal de seguridad en el descriptor de despliegue, no se visualiza el campo Referencia de parte. Si define una señal de seguridad denominada user_tgen en el descriptor de despliegue, aparecerá user_tgen de opción en el campo Referencia de parte. Puede especificar una señal de seguridad en el descriptor de despliegue cuando ensamble la aplicación utilizando una herramienta de ensamblaje.
  4. Seleccione Ninguna o Información de firmas dedicada como vía de acceso del certificado. Seleccione Ninguna cuando el generador de señales no utilice el tipo de señal PKCS número 7. Cuando el generador de señales utilice la señal de tipo PKCS número 7 y desea empaquetar listas de revocación de certificados (CRL) en la señal de seguridad, seleccione Información de firmas dedicada y seleccione un almacén de certificados de colecciones. Para configurar un almacén de certificados de colecciones y listas de revocación de certificados para los enlaces de generador en el nivel de la aplicación, siga estos pasos:
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Elementos relacionados, pulse Módulos EJB o Módulos web > nombre_URI.
    3. En Propiedades adicionales, puede acceder a la configuración del almacén de certificados de colecciones para los enlaces siguientes:
      • Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
      • Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
    4. En Propiedades adicionales, pulse Almacén de certificados de colecciones.

    Consulte también la información que trata de la configuración de almacenes de certificados de colecciones.

  5. Opcional: Seleccione la opción Añadir nonce. Esta opción indica si se incluye un Nonce en la señal de nombre de usuario para el generador de señales. Nonce es un número criptográfico exclusivo que se incorpora en un mensaje para facilitar la detención de repetidos ataques no autorizados de señales de nombre de usuario. La opción Añadir Nonce solamente es válida cuando el tipo de señal generado es una señal de nombre de usuario y sólo está disponible para el enlace del generador de solicitudes.
    Si selecciona la opción Añadir Nonce, puede especificar las siguientes propiedades en Propiedades adicionales. El consumidor de solicitudes utiliza estas propiedades.
    Tabla 1. Propiedades adicionales de Nonce. Utilice las propiedades nonce para incluir nonce en el símbolo de nombre de usuario.
    Nombre de propiedad Valor por omisión Explicación
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout 600 segundos Especifica el valor de tiempo de espera en segundos del valor de nonce que se almacena en la memoria caché del servidor.
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew 0 segundos Especifica la cantidad de tiempo en segundos antes de que caduque la indicación de la hora de Nonce.
    com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge 300 segundos Especifica el valor de desfase horario en segundos a tener en cuenta cuando WebSphere Application Server comprueba la puntualidad del mensaje.
    En los niveles de célula y servidor, puede especificar estas propiedades adicionales para un Nonce en el panel Enlaces predeterminados para Web Services Security en la consola administrativa.
    • Para el nivel de célula, pulse Seguridad > Servicios Web.
    • Para el nivel de servidor, pulse Servidores > Tipos de servidor > WebSphere Application Servers > nombre_servidor.En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
      Mixed-version environment Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios web: enlaces predeterminados para Web Services Security.mixv
  6. Opcional: Seleccione la opción Añadir indicación de la hora. Esta opción indica si se debe insertar una indicación de la hora en la señal de nombre de usuario. La opción Añadir indicación de la hora solamente es válida cuando el tipo de señal generado es una señal de nombre de usuario y sólo está disponible para el enlace del generador de solicitudes.
  7. Especifique el nombre local del tipo de valor en el campo Nombre local. Para una señal de nombre de usuario y una señal de seguridad de certificado X.509, WebSphereApplication Server proporciona nombres locales definidos previamente del tipo de valor. Cuando especifique alguno de los siguientes nombres locales, no es necesario especificar un URI de tipo de valor:
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    Este nombre local especifica una señal de nombre de usuario.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    Este nombre local especifica una señal de certificado X.509.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Este nombre local especifica certificados X.509 en una vía de acceso PKI (infraestructura de claves públicas).
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    Este nombre local especifica una lista de certificados X.509 y listas de revocación de certificados en un formato PKCS número 7.

    Para una señal LTPA, puede utilizar LTPA como nombre local del tipo de valor y http://www.ibm.com/websphere/appserver/tokentype/5.0.2 como URI (identificador de recursos uniforme) del tipo de valor. En la propagación de señales LTPA, puede utilizar LTPA_PROPAGATION de nombre local del tipo de valor y http://www.ibm.com/websphere/appserver/tokentype de URI del tipo de valor.

  8. Opcional: Especifique el URI del tipo de valor en el campo URI. Esta entrada especifica el URI de espacio de nombres del tipo de valor de la señal generada.
  9. Pulse Aceptar y Guardar para guardar la configuración.
  10. Pulse el nombre de la configuración del generador de señales.
  11. En Propiedades adicionales, pulse Manejador de retorno de llamada.
  12. Especifique los valores del manejador de retorno de llamada.
    1. Especifique un nombre de clase en el campo Nombre de clase del manejador de devolución de llamada. Este nombre de clase es el nombre de la clase de implementación del manejador de retorno de llamada que se utiliza para conectar una infraestructura de señales de seguridad. La clase de manejador de retorno de llamada especificada debe implementar la interfaz javax.security.auth.callback.CallbackHandler y debe proporcionar un constructor utilizando la siguiente sintaxis:
      MyCallbackHandler(String username, char[] password, java.util.Map properties)
      Donde:
      nombre de usuario
      Especifica el nombre de usuario que se pasa a la configuración.
      password
      Especifica la contraseña que se pasa a la configuración.
      propiedades
      Especifica las otras propiedades de configuración que se pasan a la configuración.
      Este constructor es necesario si el manejador de retorno de llamada necesita un nombre de usuario y una contraseña. No obstante, si el manejador de retorno de llamada no necesita un nombre de usuario y una contraseña como, por ejemplo, X509CallbackHandler, utilice un constructor con la sintaxis siguiente:
      MyCallbackHandler(java.util.Map properties)
      WebSphere Application Server proporciona las siguientes implementaciones de manejador de retorno de llamada predeterminado:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      Este manejador de retorno de llamada utiliza un indicador de inicio de sesión para reunir la información de nombre de usuario y contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, no se muestra un indicador y WebSphere Application Server devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java™ Platform, Enterprise Edition (Java EE). Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      Este manejador de retorno de llamada no emite un indicador y devuelve el nombre de usuario y la contraseña si se ha especificado en este panel. Puede utilizar este manejador de retorno de llamada cuando el servicio web actúe como un cliente.Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      Este manejador de retorno de llamada utiliza un indicador de inicio de sesión estándar para reunir la información sobre el nombre de usuario y la contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, WebSphere Application Server no emite un indicador sino que devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java Platform, Enterprise Edition (Java EE). Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      Este manejador de retorno de llamada se utiliza para obtener la señal de seguridad LTPA (Lightweight Third Party Authentication) desde el sujeto de la invocación RunAs. Esta señal se inserta en la cabecera de seguridad de los servicios web en un mensaje SOAP como una señal de seguridad binaria. No obstante, si especifica el nombre de usuario y la contraseña en este panel, WebSphere Application Server autentica el nombre de usuario y la contraseña para obtener la señal de seguridad LTPA, en lugar de obtenerlo del sujeto RunAs. Utilice este manejador de retorno de llamada cuando el servicio web actúe como un cliente en el servidor de aplicaciones. Se le recomienda que no utilice el manejador de retorno de llamada en un cliente de aplicaciones Java EE. Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Este manejador de retorno de llamada se utiliza para crear el certificado X.509 que se inserta en la cabecera de seguridad de los servicios web en el mensaje SOAP como una señal de seguridad binaria. Para este manejador de retorno de llamada es necesario un almacén de claves y una definición de claves. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      El manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PKCS número 7. El certificado se inserta en la cabecera de seguridad de los servicios web del mensaje SOAP como una señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. Puede especificar una lista de revocación de certificados (CRL) en el almacén de certificados de colecciones. El CRL se codifica con el certificado X.509 con el formato PKCS número 7. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Este manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PkiPath. El certificado se inserta en la cabecera de Web Services Security en el mensaje SOAP como señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. El manejador de retorno de llamada no soporta CRL; por lo tanto, no es necesario ni se utiliza el almacén de certificados de colecciones. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.

      La implementación del manejador de retorno de llamada obtiene la señal de seguridad necesaria y la pasa al generador de señales. El generador de señales inserta la señal de seguridad en la cabecera de seguridad de los servicios web del mensaje SOAP. Asimismo, el generador de señales es el punto de conexión de la infraestructura de señales de seguridad conectable. Los suministradores de servicio pueden proporcionar su propia implementación, pero la implementación debe utilizar la interfaz com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent.

    2. Opcional: Seleccione la opción Utilizar la aserción de identidad. Seleccione esta opción si ha definido la aserción de identidad en el descriptor de despliegue extendido de IBM®. Esta opción indica que solamente es necesaria la identidad del emisor inicial y se insertará en la cabecera de seguridad de los servicios web del mensaje SOAP. Por ejemplo, WebSphere Application Server sólo envía el nombre de usuario del interlocutor original de un generador de señales de nombre de usuario. Un generador de señales X.509, el servidor de aplicaciones envía solamente el certificado de firmante original.
    3. Opcional: Seleccione la opción Utilizar identidad RunAs. Seleccione esta opción si ha definido la aserción de identidad del descriptor de IBM Extended Deployment y desea utilizar la identidad RunAs en lugar de la identidad del emisor inicial para la aserción de identidad en una llamada en sentido descendente. Esta opción sólo es válida si ha configurado el generador de señales del nombre de usuario como un generador de señales.
    4. Opcional: Especifique el ID de usuario de autenticación básica en el campo ID de usuario de autenticación básica. Esta entrada especifica el nombre de usuario que se pasa a los constructores de la implementación del manejador de retorno de llamada. Se utiliza el nombre de usuario y la contraseña de autenticación básica si ha especificado una de las siguientes implementaciones del manejador de retorno de llamada predeterminado en el campo Nombre de la clase del manejador de retorno de llamada:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    5. Opcional: Especifique la contraseña de autenticación básica en el campo Contraseña de autenticación básica. Esta entrada especifica la contraseña que se pasa a los constructores de la implementación del manejador de retorno de llamada.
    6. Opcional: Especifique la contraseña del almacén de claves en el campo Contraseña del almacén de claves. Esta entrada especifica la contraseña que se utiliza para acceder al archivo de almacén de claves. Se utilizan el almacén de claves y su configuración si selecciona una de las implementaciones del manejador de retorno de llamada predeterminado siguientes que proporciona WebSphere Application Server:
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Se utiliza el almacén de claves para recuperar el certificado X.509.
    7. Opcional: Especifique la vía de acceso del almacén de claves en el campo Vía de acceso. Se recomienda utilizar ${USER_INSTALL_ROOT} en el nombre de vía de acceso ya que esta variable se amplía hasta la vía de acceso de WebSphere Application Server de la máquina. Para cambiar la vía de acceso utilizada por esta variable, pulse Entorno > Variables de WebSphere y pulse USER_INSTALL_ROOT. Este campo es necesario cuando se utilizan las implementaciones del manejador de retorno de llamada com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler, com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler o com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.
    8. Opcional: Seleccione el tipo de almacén de claves en el campo Tipo. Esta selección indica el formato que utiliza el archivo de almacén de claves. Puede seleccionar uno de los valores siguientes para este campo:
      JKS
      Utilice esta opción si el almacén de claves utiliza el formato JKS (Java Keystore).
      JCEKS
      Utilice esta opción si se configura Java Cryptography Extension en SDK (Software Development Kit). De forma predeterminada, IBM JCE está configurado en WebSphere Application Server. Esta opción proporciona una mayor protección para las claves privadas almacenadas utilizando el cifrado Triple DES.
      JCERACFKS
      Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
      PKCS11KS (PKCS11)
      Utilice este formato si el almacén de claves utiliza el formato de archivo PKCS número 11. Los almacenes de claves que utilizan este formato pueden contener claves RSA en el hardware criptográfico o pueden cifrar claves que utilicen hardware criptográfico para garantizar la protección.
      PKCS12KS (PKCS12)
      Utilice esta opción si el almacén de claves utiliza el formato de archivo PKCS número 12.
  13. Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.
  14. Pulse el nombre de la configuración del generador de señales.
  15. En Propiedades adicionales, pulse Manejador de retorno de llamada > Claves.
  16. Especifique el nombre de clave, el alias de clave y la contraseña de clave.
    1. Pulse Nuevo para crear una configuración de clave, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de clave existente para editar sus valores. Si crea una configuración nueva, especifique un nombre exclusivo en el campo Nombre de clave. Para las firmas digitales, la información de firmas del generador de solicitudes o del generador de respuestas utiliza el nombre de claves para determinar qué clave se utiliza para firmar digitalmente el mensaje. Para el cifrado, se utiliza el nombre de clave para determinar la clave que se utiliza para el cifrado. El nombre de clave debe ser un nombre distinguido y con todos los calificadores. Por ejemplo, CN=Bob,O=IBM,C=US.
    2. Especifique el alias de clave en el campo Alias de clave. El localizador de claves utiliza el alias de clave para buscar la clave dentro del archivo del almacén de claves.
    3. Especifique la contraseña de clave en el campo Contraseña de clave. Esta contraseña es necesaria para acceder al objeto de clave en el archivo de almacén de claves.
  17. Pulse Aceptar y Guardar para guardar la configuración.

Resultados

Ha configurado el generador de señales para el nivel de aplicación.

Qué hacer a continuación

Debe especificar una configuración de consumidor de señales parecida para el nivel de aplicación.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengenapp
File name: twbs_configtokengenapp.html