Configuración de la información de firmas mediante JAX-RPC para el enlace del generador en el nivel de aplicación
Puede configurar la información de firmante de los enlaces del generador de solicitudes en el cliente y del generador de respuestas en el servidor a nivel de aplicación.
Antes de empezar
Acerca de esta tarea
En esta tarea se explican los pasos necesarios para configure la información de firmas de los enlaces del generador de solicitudes del cliente y el generador de respuestas del servidor en el nivel de aplicación. WebSphere Application Server utiliza la información de firmas para que el generador predeterminado firme partes del mensaje que incluyen el cuerpo, la indicación de la hora y la señal de nombre de usuario. WebSphere Application Server proporciona valores predeterminados para los enlaces. Sin embargo, un administrador debe modificar los valores predeterminados para un entorno de producción. Efectúe los pasos siguientes para configurar la información de firmas para las secciones de generador de los archivos de enlace en el nivel de aplicación:
Procedimiento
- Localice el panel de configuración de la información de firmas en la consola
administrativa.
- Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de Web Services Security, puede acceder a la información de firmas para los enlaces del generador de solicitudes y del generador de respuestas.
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades necesarias, pulse Información de firmas.
- Pulse Nuevo para crear una configuración de firmas, seleccione el recuadro junto a la configuración y pulse Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de firmas existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre de la información de firmas. Por ejemplo, puede especificar gen_signinfo.
- Seleccione un algoritmo de método de firma del campo Método de firma. El algoritmo especificado para el generador, que es la configuración del generador
de solicitudes o la del generador de respuestas, debe coincidir con el algoritmo
especificado para el consumidor, que es la configuración del consumidor de solicitudes o
la del consumidor de respuestas. WebSphere Application Server soporta los siguientes algoritmos preconfigurados:
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1Restricción: No utilice este algoritmo de cifrado de datos si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).
Cualquier elemento ds:SignatureMethod/@Algorithm de una FIRMA basado en una clave simétrica debe tener un valor de http://www.w3.org/2000/09/xmldsig#rsa-sha1 o http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- Seleccione un método de canonicalización en el campo Algoritmo de canonicalización. El algoritmo de canonicalización especificado para el
generador debe coincidir con el algoritmo del consumidor. WebSphere Application Server soporta los siguientes algoritmos preconfigurados:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Seleccione un tipo de firma de información de claves del campo Tipo de firma
de información de claves. WebSphere Application Server soporta los tipos de firma siguientes:
- Ninguno
- Especifica que el elemento <KeyInfo> no está firmado.
- Keyinfo
- Especifica que el elemento <KeyInfo> completo está firmado.
- Keyinfochildelements
- Especifica que los elementos hijos del elemento <KeyInfo> están firmados.
El tipo de firma de información de claves para el generador debe coincidir con el tipo de firma del consumidor. Se pueden dar las situaciones siguientes:- Si no especifica uno de los tipos de firma previos, WebSphere Application Server utiliza keyinfo, por omisión.
- Si selecciona Keyinfo o Keyinfochildelements y selecciona http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como algoritmo de transformación en un paso posterior, WebSphere Application Server firmará también el símbolo referenciado.
- Seleccione una referencia de información de claves de firmas del campo Información de claves de firmas. Esta selección es una referencia a la clave de firmas que utiliza el servidor de aplicaciones para generar firmas digitales.
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse el nombre de la nueva configuración de información de firma. Esta configuración es la que ha especificado en un paso anterior.
- Especifique la referencia de parte, el algoritmo de resumen y el algoritmo
de transformación. La referencia de parte especifica las partes del mensaje que deben firmarse
digitalmente.
- En Propiedades adicionales, pulse Referencias de partes > Nueva para crear una nueva referencia de parte, pulse Referencias de partes > Suprimir para suprimir una referencia de parte existente o bien pulse un nombre de parte para editar una referencia de parte existente.
- Especifique un nombre de parte exclusivo para esta referencia de partes. Por ejemplo, puede especificar reqint.
- Seleccione una referencia de partes en el campo Referencia de partes.
La referencia de partes se refiere a la parte del mensaje que está firmada digitalmente. El atributo part hace referencia al nombre del elemento <Integrity> del descriptor de despliegue, cuando se especifica el elemento <PartReference> para la firma. Puede especificar varios elementos <PartReference> dentro del elemento <SigningInfo>. El elemento <PartReference> tiene dos elementos hijo cuando se especifica para la firma: <DigestTransform> y <Transform>.
- Seleccione un algoritmo de método de resumen en el menú. El algoritmo del método de conversión especificado en el elemento <DigestMethod> se utiliza en el elemento <SigningInfo>. WebSphere Application Server soporta los siguientes algoritmos:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Pulse Aceptar para guardar la configuración.
- Pulse el nombre de la nueva configuración de referencia de partes. Esta configuración es la que ha especificado en un paso anterior.
- En Propiedades adicionales, pulse Transformaciones > Nueva para crear una transformación nueva, pulse Transformaciones > Suprimir para suprimir una transformación o bien pulse un nombre de transformación para editar una transformación existente. Si crea una nueva configuración de transformación, especifique un nombre exclusivo. Por ejemplo, puede especificar reqint_body_transform1.
- Seleccione un algoritmo de transformación en el menú. El algoritmo de transformación es el que se especifica en el elemento
<Transform> y especifica el algoritmo de transformación para la firma. WebSphere Application Server soporta los siguientes algoritmos:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116Restricción: No utilice este algoritmo de transformación si desea que la aplicación configurada cumpla con BSP (Basic Security Profile). En su lugar, utilice http://www.w3.org/2002/06/xmldsig-filter2 para garantizar la compatibilidad.
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
El algoritmo de transformación que seleccione para el generador debe coincidir con el algoritmo de transformación que seleccione para el consumidor.Importante: Si se cumplen las dos condiciones siguientes, WebSphere Application Server firma el símbolo referenciado:- Ha seleccionado anteriormente la opción Keyinfo o Keyinfochildelements en el campo Tipo de firma de información de claves en el panel de información de firma.
- Ha seleccionado http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como algoritmo de transformación.
- Pulse Aplicar.
- Opcional: Determina si desea
inhabilitar la lista de prefijos de espacio de nombre inclusiva. La especificación Exclusive
XML Canonicalization Version 1.0 recomienda que incluya todas las
declaraciones de espacio de nombre que corresponden al prefijo de espacio de nombre en forma de canonicalización. Por motivos de seguridad, de forma predeterminada,
WebSphere Application Server incluye el prefijo en la firma digital para la seguridad de servicio web. No obstante, algunas implementaciones de la seguridad
de servicios web no puede manejar esta lista de prefijos. WebSphere Application Server puede manejar los mensajes firmados digitalmente que
contengan o no contengan la lista de prefijos. Si tiene un error de validación
de firma cuando se envía un mensaje SOAP (Sample Object Access Protocol) firmado y utiliza
otro proveedor en el entorno, compruebe con el proveedor de servicios
si existe un arreglo posible en la implementación antes de inhabilitar
esta propiedad. Para inhabilitar esta propiedad, siga los pasos siguientes:
- En Propiedades adicionales, pulse Propiedades > Nueva.
- En el campo de nombre de propiedad, escriba la propiedad com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces.
- En el campo de valor de propiedad, escriba el valor false.
- Pulse Aceptar.
Puede establecer esta propiedad para las configuraciones de generador de solicitudes y de generador de respuestas.
- Pulse Guardar para guardar la configuración.
Resultados
Qué hacer a continuación
Subtopics
Grupo de información de firmas
Utilice esta página para ver una lista de parámetros de firma. La información de firma se utiliza para firmar y validar las partes de un mensaje, incluidos la señal de nombre de usuario, indicación de la hora y texto. También puede utilizar estos parámetros para la validación de X.509 cuando el método de autenticación es IDAssertion y el tipo de ID es X509Certificate en la configuración a nivel de servidor. En estos casos, debe rellenar únicamente los campos de la vía de acceso de certificados.Valores de configuración de la información de firmas
Utilice esta página para configurar los parámetros de firma nuevos.Grupo de referencias de biblioteca
Utilice esta página para ver las referencias a las partes del mensaje correspondientes a la firma y el cifrado que se definen en los descriptores de despliegue.Valores de configuración de las referencias de partes
Utilice esta página para especificar una referencia a las partes del mensaje correspondientes a la firma y el cifrado que se han definido en los descriptores de despliegue.Grupo de transformaciones
Utilice esta página para ver el algoritmo de transformación que se utiliza para procesar el mensaje de Web Services Security.Valores de configuración de las transformaciones
Utilice esta página para especificar el algoritmo de transformación que se utiliza para procesar el mensaje de Web Services Security.Grupo de información de firmas
Utilice esta página para ver una lista de parámetros de firma. La información de firma se utiliza para firmar y validar las partes de un mensaje, incluidos la señal de nombre de usuario, indicación de la hora y texto. También puede utilizar estos parámetros para la validación de X.509 cuando el método de autenticación es IDAssertion y el tipo de ID es X509Certificate en la configuración a nivel de servidor. En estos casos, debe rellenar únicamente los campos de la vía de acceso de certificados.Valores de configuración de la información de firmas
Utilice esta página para configurar los parámetros de firma nuevos.Grupo de referencias de biblioteca
Utilice esta página para ver las referencias a las partes del mensaje correspondientes a la firma y el cifrado que se definen en los descriptores de despliegue.Valores de configuración de las referencias de partes
Utilice esta página para especificar una referencia a las partes del mensaje correspondientes a la firma y el cifrado que se han definido en los descriptores de despliegue.Grupo de transformaciones
Utilice esta página para ver el algoritmo de transformación que se utiliza para procesar el mensaje de Web Services Security.Valores de configuración de las transformaciones
Utilice esta página para especificar el algoritmo de transformación que se utiliza para procesar el mensaje de Web Services Security.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
File name: twbs_configsigninfogenapp.html