Configuración de la información de firmas mediante JAX-RPC para el enlace del generador en el nivel de aplicación

Puede configurar la información de firmante de los enlaces del generador de solicitudes en el cliente y del generador de respuestas en el servidor a nivel de aplicación.

Antes de empezar

Nota: Sólo para WebSphere Application Server versión 6.x o anterior, en el archivo de extensiones del lado del servidor (ibm-webservices-ext.xmi) y en el archivo de extensiones del descriptor de despliegue del cliente (ibm-webservicesclient-ext.xmi), debe especificar qué partes del mensaje están firmadas. Asimismo, debe configurar la información de claves que aparece referenciada en las referencias de información de claves en el panel Información de firmas en la consola administrativa.

Acerca de esta tarea

En esta tarea se explican los pasos necesarios para configure la información de firmas de los enlaces del generador de solicitudes del cliente y el generador de respuestas del servidor en el nivel de aplicación. WebSphere Application Server utiliza la información de firmas para que el generador predeterminado firme partes del mensaje que incluyen el cuerpo, la indicación de la hora y la señal de nombre de usuario. WebSphere Application Server proporciona valores predeterminados para los enlaces. Sin embargo, un administrador debe modificar los valores predeterminados para un entorno de producción. Efectúe los pasos siguientes para configurar la información de firmas para las secciones de generador de los archivos de enlace en el nivel de aplicación:

Procedimiento

  1. Localice el panel de configuración de la información de firmas en la consola administrativa.
    1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
    2. En Gestionar módulos, pulse nombre_URI.
    3. En Propiedades de Web Services Security, puede acceder a la información de firmas para los enlaces del generador de solicitudes y del generador de respuestas.
      • Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
      • Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
    4. En Propiedades necesarias, pulse Información de firmas.
    5. Pulse Nuevo para crear una configuración de firmas, seleccione el recuadro junto a la configuración y pulse Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de firmas existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo Nombre de la información de firmas. Por ejemplo, puede especificar gen_signinfo.
  2. Seleccione un algoritmo de método de firma del campo Método de firma. El algoritmo especificado para el generador, que es la configuración del generador de solicitudes o la del generador de respuestas, debe coincidir con el algoritmo especificado para el consumidor, que es la configuración del consumidor de solicitudes o la del consumidor de respuestas. WebSphere Application Server soporta los siguientes algoritmos preconfigurados:
  3. Seleccione un método de canonicalización en el campo Algoritmo de canonicalización. El algoritmo de canonicalización especificado para el generador debe coincidir con el algoritmo del consumidor. WebSphere Application Server soporta los siguientes algoritmos preconfigurados:
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  4. Seleccione un tipo de firma de información de claves del campo Tipo de firma de información de claves. WebSphere Application Server soporta los tipos de firma siguientes:
    Ninguno
    Especifica que el elemento <KeyInfo> no está firmado.
    Keyinfo
    Especifica que el elemento <KeyInfo> completo está firmado.
    Keyinfochildelements
    Especifica que los elementos hijos del elemento <KeyInfo> están firmados.
    El tipo de firma de información de claves para el generador debe coincidir con el tipo de firma del consumidor. Se pueden dar las situaciones siguientes:
    • Si no especifica uno de los tipos de firma previos, WebSphere Application Server utiliza keyinfo, por omisión.
    • Si selecciona Keyinfo o Keyinfochildelements y selecciona http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como algoritmo de transformación en un paso posterior, WebSphere Application Server firmará también el símbolo referenciado.
  5. Seleccione una referencia de información de claves de firmas del campo Información de claves de firmas. Esta selección es una referencia a la clave de firmas que utiliza el servidor de aplicaciones para generar firmas digitales.
  6. Pulse Aceptar y Guardar para guardar la configuración.
  7. Pulse el nombre de la nueva configuración de información de firma. Esta configuración es la que ha especificado en un paso anterior.
  8. Especifique la referencia de parte, el algoritmo de resumen y el algoritmo de transformación. La referencia de parte especifica las partes del mensaje que deben firmarse digitalmente.
    1. En Propiedades adicionales, pulse Referencias de partes > Nueva para crear una nueva referencia de parte, pulse Referencias de partes > Suprimir para suprimir una referencia de parte existente o bien pulse un nombre de parte para editar una referencia de parte existente.
    2. Especifique un nombre de parte exclusivo para esta referencia de partes. Por ejemplo, puede especificar reqint.
    3. Seleccione una referencia de partes en el campo Referencia de partes.

      La referencia de partes se refiere a la parte del mensaje que está firmada digitalmente. El atributo part hace referencia al nombre del elemento <Integrity> del descriptor de despliegue, cuando se especifica el elemento <PartReference> para la firma. Puede especificar varios elementos <PartReference> dentro del elemento <SigningInfo>. El elemento <PartReference> tiene dos elementos hijo cuando se especifica para la firma: <DigestTransform> y <Transform>.

    4. Seleccione un algoritmo de método de resumen en el menú. El algoritmo del método de conversión especificado en el elemento <DigestMethod> se utiliza en el elemento <SigningInfo>.
      WebSphere Application Server soporta los siguientes algoritmos:
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    5. Pulse Aceptar para guardar la configuración.
    6. Pulse el nombre de la nueva configuración de referencia de partes. Esta configuración es la que ha especificado en un paso anterior.
    7. En Propiedades adicionales, pulse Transformaciones > Nueva para crear una transformación nueva, pulse Transformaciones > Suprimir para suprimir una transformación o bien pulse un nombre de transformación para editar una transformación existente. Si crea una nueva configuración de transformación, especifique un nombre exclusivo. Por ejemplo, puede especificar reqint_body_transform1.
    8. Seleccione un algoritmo de transformación en el menú. El algoritmo de transformación es el que se especifica en el elemento <Transform> y especifica el algoritmo de transformación para la firma. WebSphere Application Server soporta los siguientes algoritmos:
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Restricción: No utilice este algoritmo de transformación si desea que la aplicación configurada cumpla con BSP (Basic Security Profile). En su lugar, utilice http://www.w3.org/2002/06/xmldsig-filter2 para garantizar la compatibilidad.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature
      El algoritmo de transformación que seleccione para el generador debe coincidir con el algoritmo de transformación que seleccione para el consumidor.
      Importante: Si se cumplen las dos condiciones siguientes, WebSphere Application Server firma el símbolo referenciado:
      • Ha seleccionado anteriormente la opción Keyinfo o Keyinfochildelements en el campo Tipo de firma de información de claves en el panel de información de firma.
      • Ha seleccionado http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como algoritmo de transformación.
  9. Pulse Aplicar.
  10. Opcional: Determina si desea inhabilitar la lista de prefijos de espacio de nombre inclusiva. La especificación Exclusive XML Canonicalization Version 1.0 recomienda que incluya todas las declaraciones de espacio de nombre que corresponden al prefijo de espacio de nombre en forma de canonicalización. Por motivos de seguridad, de forma predeterminada, WebSphere Application Server incluye el prefijo en la firma digital para la seguridad de servicio web. No obstante, algunas implementaciones de la seguridad de servicios web no puede manejar esta lista de prefijos. WebSphere Application Server puede manejar los mensajes firmados digitalmente que contengan o no contengan la lista de prefijos. Si tiene un error de validación de firma cuando se envía un mensaje SOAP (Sample Object Access Protocol) firmado y utiliza otro proveedor en el entorno, compruebe con el proveedor de servicios si existe un arreglo posible en la implementación antes de inhabilitar esta propiedad. Para inhabilitar esta propiedad, siga los pasos siguientes:
    1. En Propiedades adicionales, pulse Propiedades > Nueva.
    2. En el campo de nombre de propiedad, escriba la propiedad com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces.
    3. En el campo de valor de propiedad, escriba el valor false.
    4. Pulse Aceptar.

    Puede establecer esta propiedad para las configuraciones de generador de solicitudes y de generador de respuestas.

  11. Pulse Guardar para guardar la configuración.

Resultados

Después de realizar estos cambios, habrá configurado la información de firmas para el generador en el nivel de aplicación.

Qué hacer a continuación

Debe especificar una configuración de información de firmas similar para el consumidor.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
File name: twbs_configsigninfogenapp.html