Puede configurar la información de claves para los enlaces de consumidor de solicitudes (en el servidor) y de respuestas (en el cliente) a nivel de aplicación.
Antes de empezar
Configure los localizadores de claves y los consumidores de señales a los que
hacen referencia los campos Referencia del localizador de claves y Referencia de señal
en el panel de información de claves.
Acerca de esta tarea
En esta tarea se proporcionan los pasos necesarios para la configuración de la
información de claves para los enlaces del consumidor de solicitudes (en el servidor) y
del consumidor de respuestas (en el cliente) en el nivel de aplicación.
La información de claves en el cliente se utiliza para especificar información sobre las
claves, que se para validar la firma digital en el mensaje recibido o para descifrar las
partes cifradas del mensaje. Efectúe los pasos siguientes para
configurar la información de claves para el enlace del consumidor en el nivel de
aplicación.
Procedimiento
- Localice el panel de configuración de la información de claves en la consola
administrativa.
- Pulse .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de seguridad de servicios web, puede acceder a la información de claves para los enlaces del consumidor de solicitudes y del consumidor de respuestas.
- Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web:
enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de solicitudes, pulse
Editar personalizado.
- Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web:
enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse
Editar personalizado.
- En Propiedades necesarias, pulse Información de claves.
- Pulse una de las siguientes opciones para trabajar con la configuración de información de claves:
- Nuevo
- Para crear una configuración de información de claves. Especifique un nombre en el campo de nombre de información de claves. Por ejemplo, puede especificar con_signkeyinfo.
- Suprimir
- Para suprimir una configuración (seleccionada en el recuadro junto a esa configuración).
- una configuración de información de claves existente
- Para editar los valores de una configuración de información de claves.
- Seleccione un tipo de información de claves en el campo Tipo de información de clave. Los tipos de información de claves especifican distintos mecanismos para la referencia de señales de seguridad
utilizando el elemento <wsse:SecurityTokenReference> dentro del elemento <ds:KeyInfo>. WebSphere Application Server da soporte a los siguientes tipos de
información de claves:
- Identificador de claves
- Se hace referencia a una señal de seguridad mediante un valor opaco que identifica de forma exclusiva la señal. El algoritmo
que se utiliza para generar el valor del elemento <KeyIdentifier> depende del tipo de señal. Por ejemplo, puede utilizar el identificador para las claves públicas definidas en
RFC
(Request for Comment) 3280 de IETF (Internet Engineering Task Force).
El siguiente elemento <KeyInfogenerar> se genera en el mensaje SOAP para este tipo de información de claves:
<ds:KeyInfo
xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
/oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
/62wXO...
</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Nombre de clave
- Se hace referencia a la señal de seguridad utilizando un nombre que coincide con una aserción de identidad dentro de la señal. Se recomienda que no utilice este tipo de clave ya que puede dar como resultado varias
señales de seguridad coincidentes con el nombre especificado. El siguiente elemento <KeyInfogenerar> se genera en el mensaje
SOAP para este tipo de información de claves:
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
En general, utilice un nombre de clave cuando utilice un algoritmo de firma
digital HMAC (Key-Hashing Message Authentication Code), como
http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- Referencia de señal de seguridad
- Se hace referencia directa a las señales de seguridad utilizando los
URI (Universal Resource Identifiers). El siguiente elemento <KeyInfogenerar> se genera en el mensaje SOAP para este tipo de información de claves:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI='#SomeCert'
ValueType="http://docs.oasis-open.org/wss/2004/01/
oasis-200401-wss-x509-token-profile-1.0#X509v3" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Señal incorporada
- La señal de seguridad se incorpora directamente en el elemento <SecurityTokenReference>. El siguiente elemento <KeyInfogenerar> se genera en el mensaje SOAP para este tipo de información de claves:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Nombre de usuario y serie de usuario X509
- Se hace referencia a la señal de seguridad con un nombre de usuario y un número de
serie de usuario de un certificado X.509. El siguiente elemento <KeyInfogenerar> se genera en el mensaje
SOAP para este tipo de información de claves:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
Cada tipo de información de claves se describe en el estándar de seguridad de servicios Web: SOAP Message Security 1.0 (WS-Security 2004) OASIS que se encuentra en :
http://www.oasis-open.org/home/index.php
bajo Seguridad de servicios Web.
- Seleccione una referencia de localizador de claves del campo Referencia de
localizador de claves. El valor de este campo es una referencia al localizador de claves
que utiliza WebSphere Application Server para localizar las claves utilizadas para la
firma digital y el cifrado. Antes de que pueda seleccionar un localizador de
claves, debe configurar un localizador de claves. Para obtener más información sobre la configuración de un
localizador de claves, consulte
Configuración del localizador de claves utilizando JAX-RPC para el enlace de consumidor en el nivel de aplicación.
- Seleccione una referencia de señal en el campo Referencia de señal. La referencia de señal especifica una referencia a un consumidor de señales
utilizado para el proceso de la señal de seguridad en el mensaje. Sin embargo, WebSphere Application Server sólo
requiere este campo cuando selecciona Referencia de señal de seguridad o Señal incorporada en el campo Tipo de información de claves. Antes de especificar una
referencia de señal, debe configurar un consumidor de señales. Para obtener más
información sobre la configuración de un localizador de claves, consulte
Configuración de consumidores de señales mediante JAX-RPC para proteger la autenticidad de los mensajes en el nivel de aplicación.
Seleccione (ninguno) si no es necesario un consumidor de señales para esta
configuración de información de claves.
- Pulse Aceptar y Guardar para guardar esta configuración.
Resultados
Habrá configurado la información de claves para el enlace de consumidor de solicitudes o de respuestas, o los dos, a nivel de aplicación.
Qué hacer a continuación
Si no ha configurado la información de claves para el enlace del generador,
debe especificar una configuración de información de claves similar para el generador. Una vez que haya configurado la información de claves para consumidor y
generador, configure la información de firmas o la de cifrado, que hace referencia a la
información de claves de esta tarea de información de claves.