Configuración del servidor para la verificación de la firma digital de solicitudes: elección del método de verificación

Para configurar el servidor para la verificación de la firma digital de solicitudes utilice una herramienta de ensamblaje para modificar las extensiones e indicar qué método de firma digital utilizará el servidor durante la verificación.

Antes de empezar

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6 y posteriores. La información sólo da soporte a aplicaciones de la versión 5.x que se utilizan con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.
Antes de completar estos pasos, lea cualquiera de los siguientes temas para familiarizarse con los separadores Extensiones y Configuraciones de enlace del Editor de servicios web en las herramientas de ensamblaje de IBM®: Puede utilizar estos dos separadores para configurar las extensiones de Web Services Security y los enlaces de Web Services Security, respectivamente. Debe especificar qué partes de mensaje contienen información de firma digital que debe verificar el servidor. Consulte Configuración del servidor para la verificación de la firma digital de solicitudes: verificación de las partes del mensaje. Las partes de mensaje especificadas para el remitente de solicitudes de cliente deben coincidir con las partes del mensaje especificadas para el receptor de solicitudes de servidor. Del mismo modo, el método de firma digital elegido para el cliente debe coincidir con el método de firma digital utilizado por el servidor.

Acerca de esta tarea

Efectúe los pasos siguientes para configurar el servidor para la verificación de firma digital de solicitudes. En los pasos se describe cómo modificar las extensiones para indicar qué método de firma digital utilizará el servidor durante la verificación.

Procedimiento

  1. Inicie la herramienta de ensamblaje. Para obtener más información, consulte la información relacionada con las herramientas de ensamblaje.
  2. Cambie a la perspectiva Java™ Platform, Enterprise Edition (Java EE). Pulse Ventana > Abrir perspectiva > Otros > J2EE.
  3. Pulse Proyectos EJB > nombre_aplicación > ejbModule > META-INF.
  4. Pulse con el botón derecho del ratón en el archivo webservices.xml y pulse Abrir con > Editor de servicios Web.
  5. Pulse la pestaña Configuraciones de enlace .
  6. Expanda la sección Detalles de configuración del enlace del receptor de solicitudes de seguridad > Información de firmas.
  7. Pulse Editar para ver la información de firma. Aparecerá el diálogo de información de firmas y, a continuación, seleccione o entre la siguiente información:
    • Algoritmo de método de canonicalización
    • Algoritmo del método de numeración
    • Algoritmo de método de firma
    • Utilizar referencias de vías de acceso de certificados
    • Referencia de ancla de confianza
    • Referencia de almacén de certificados
    • Confiar en todos los certificados
    Para obtener más información sobre la firma digital de mensajes SOAP, consulte la firma digital XML. La siguiente tabla describe la finalidad de cada una de estas selecciones. Algunas de las siguientes definiciones se basan en la especificación de firmas XML, que se puede consultar en la siguiente dirección web: http://www.w3.org/TR/xmldsig-core.
    Tabla 1. Métodos de firma digital. El método de firma digital forma parte de la configuración de enlace.
    Name Finalidad
    Algoritmo de método de canonicalización Canonicaliza el elemento <SignedInfo> antes de su conversión como parte de la operación de firma. El algoritmo seleccionado para la configuración del receptor de solicitudes de servidor debe coincidir con el algoritmo seleccionado en la configuración del remitente de solicitudes de cliente.
    Algoritmo de método de conversión Se aplica a los datos después de que se efectúen las transformaciones, si así se especifican, para ceder el elemento <DigestValue>. La firma del elemento <DigestValue> enlaza el contenido del recurso con la clave de firmante. El algoritmo seleccionado para la configuración del receptor de solicitudes de servidor debe coincidir con el algoritmo seleccionado en la configuración del remitente de solicitudes de cliente.
    Algoritmo de método de firma Convierte el elemento canonicalizado <SignedInfo> en el elemento <SignatureValue>. El algoritmo seleccionado para la configuración del receptor de solicitudes de servidor debe coincidir con el algoritmo seleccionado en la configuración del remitente de solicitudes de cliente.
    Utilizar referencias de vías de acceso de certificados o Confiar en todos los certificados Valida un certificado o firma enviados con un mensaje. Cuando se firma un mensaje, la clave pública utilizada para firmar se envía con el mensaje. Es posible que esta clave pública o certificado no se pueda validar en el extremo receptor. Al seleccionar Utilizar referencias de vías de acceso de certificados, debe configurar una referencia de ancla de confianza y una referencia de almacén de certificados para validar el certificado enviado con el mensaje. Al seleccionar Confiar en todos los certificados, el certificado enviado con el mensaje valida la firma sin que se valide dicho certificado.
    Utilizar referencias de vías de acceso de certificados: referencia de ancla de confianza Hace referencia a un almacén de claves que contiene certificados autofirmados de confianza y certificados de CA (autoridad certificadora). Estos certificados son certificados de confianza que puede utilizar con cualquier aplicación que tenga desplegada.
    Utilizar referencias de vías de acceso de certificados: referencia de almacén de certificados Contiene una recopilación de certificados X.509. No todas las aplicaciones desplegadas se fían de estos certificados, aunque se pueden utilizar como intermediarios para validar certificados para una aplicación.
  8. Opcional: Seleccione Mostrar sólo algoritmos compatibles con FIPS si desea que en las listas desplegables Algoritmo de método de firma y Algoritmo del método de conversión sólo se muestren los algoritmos compatibles con FIPS. Utilice esta opción si tiene previsto ejecutar esta aplicación en un WebSphere Application Server en el que se ha establecido la opción Utilice los algoritmos del estándar FIPS (Federal Information Processing Standard) de EE.UU. en el panel Certificado SSL y gestión de claves de la consola administrativa de WebSphere.

Resultados

Importante: Si configura correctamente la información de firmas de cliente y servidor, pero recibe un error El cuerpo soap no está firmado al ejecutar el cliente, es posible que sea necesario configurar el actor. Puede configurar el actor en las ubicaciones siguientes del cliente:
  • Pulse Extensiones de seguridad > Detalles de configuración de servicio de cliente e indique la información de actor en el campo URI de actor.
  • Pulse Extensiones de seguridad > Configuración de emisor de solicitudes > Detalles e indique la información de actor en el campo Actor.
Debe configurar las mismas series de actor para el servicio web en el servidor, que procesa la solicitud y devuelve la respuesta. Configure el actor en las ubicaciones siguientes:
  • Pulse Extensiones de seguridad > Configuración de servicio de servidor.
  • Pulse Extensiones de seguridad > Detalles de configuración del servicio emisor de respuestas > Detalles e indique la información de actor en el campo Actor.

La información de actor, tanto en el cliente como en el servidor, debe referirse exactamente a la misma serie. Cuando los campos de actor del cliente y del servidor coinciden, se actúa sobre la solicitud o respuesta en lugar de enviarlas en sentido descendente. Es posible que los campos actor sean distintos cuando tenga servicios web que actúen como una pasarela a los demás servicios web. Sin embargo, en todos los demás casos, asegúrese de que la información de actor coincide en el cliente y el servidor. Cuando los servicios web actúan como pasarela y no tienen el mismo actor configurado que la solicitud que pasa por la misma, éstos no procesarán el mensaje desde un cliente. De lo contrario, estos servicios web envían la solicitud en sentido descendente. El proceso en sentido descendente que contiene la serie de actor correcta procesa la solicitud. La misma situación ocurre para la respuesta. Por lo tanto, es importante que verifique que los campos de actor de cliente y de servidor estén sincronizados.

Habrá especificado el método que utiliza el servidor para verificar la firma digital en las partes de mensaje.

Qué hacer a continuación

Después de configurar el cliente para la firma de solicitudes y el servidor para la verificación de firma digital de solicitudes, debe configurar el servidor y el cliente para que manejen la respuesta. A continuación, especifique la firma de respuestas para el servidor. Para obtener más información, consulte el apartado Configuración del servidor para la firma de respuestas: firma digital de partes del mensaje.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
File name: twbs_confsvrreqdigsignmeth.html