Con los servicios web, puede firmar partes de mensaje, cifrar partes de mensaje, o ambas acciones, según la calidad del servicio definida para un conjunto de políticas.
Puede conseguir estas acciones definiendo la información de enlace en un enlace de conexión personalizado.
Antes de empezar
Antes de empezar esta tarea, conecte un conjunto de políticas a un artefacto de servicio como, por ejemplo, una aplicación, un servicio o punto final y cree un enlace de conexión personalizado. Consulte más información sobre cómo crear enlaces de conexión personalizados para conjuntos de políticas. El conjunto de políticas que se conecta al artefacto de servicio debe incluir una política WS-Security que especifica las partes del mensaje que se van a firmar o cifrar. Consulte información sobre cómo proteger partes de mensaje utilizando la consola administrativa.
Acerca de esta tarea
Para firmar partes de mensaje, cifrar partes de mensaje, o ambas acciones, según sea la calidad de servicio definida para un conjunto de políticas, realice los pasos siguientes:
Procedimiento
- Abra la consola de administración.
- Para firmar y cifrar partes de mensaje para un proveedor de servicios, pulse Aplicaciones > Aplicaciones empresariales >
nombre_aplicación > Conjuntos de políticas y enlaces del proveedor de servicios. Para firmar y cifrar partes de mensaje
para un cliente de servicio, pulse Aplicaciones > Aplicaciones empresariales >
nombre_aplicación > Conjuntos de políticas y enlaces del cliente de servicio.
- Pulse el nombre del enlace del artefacto de servicio con un enlace de conexión personalizado.
- Si el enlace no contiene enlaces del conjunto de políticas WS-Security, pulse Añadir y seleccione WS-Security de la lista.
- Pulse los enlaces del conjunto de políticas WS-Security.
- Pulse Autenticación y protección. El panel resultante contiene
las cuatro tablas siguientes:
- Señales de protección: especifica las señales que se han definido para las políticas de cifrado y de firma simétrica o asimétrica en el conjunto de políticas.
- Señales de autenticación: especifica las señales que se han definido para las políticas de señales de solicitud y de respuesta.
- Protección de cifrado y de firma de mensajes de solicitud: especifica las partes de mensaje que se han definido en la protección de partes de mensaje de solicitud para el conjunto de políticas.
- Protección de cifrado y de firma de mensajes de respuesta: especifica las partes de mensaje que se han definido en la protección de partes de mensaje de respuesta en el conjunto de políticas.
Inicialmente, cada tabla muestra información que se genera de acuerdo con el conjunto de políticas que está conectado al artefacto de servicio. Se visualizan los posibles objetos de configuración basados en el conjunto de políticas. La columna Estado indica si el objeto está configurado actualmente en el enlace de conexión personalizado.
- Si las señales de protección tienen un estado de No configurado, cree las
señales de protección pulsando el nombre predeterminado, verificando los valores
predeterminados. Pulse Aceptar.
- [Opcional] Si utiliza las señales de protección X.509, debe configurar los almacenes de claves y las claves que se van a utilizar para firmar, verificar, cifrar o descifrar partes de mensaje. Es posible que también necesite configurar almacenes de claves y claves cuando utilice las señales de protección personalizados, en función de los requisitos de las señales personalizadas.
Cuando utilice una señal de contexto de seguridad para la protección (Secure Conversation), no tendrá que configurar almacenes de claves ni claves. Si necesita configurar los almacenes de claves y las claves, realice las acciones siguientes:
- Pulse el enlace del nombre de la señal.
- Pulse el enlace Manejador de retorno de llamada en Enlaces adicionales.
Si no se puede pulsar el enlace Manejador de retorno de llamada, pulse Aplicar y, a continuación, pulse el enlace Manejador de retorno de llamada.
- Utilice indistintamente un almacén de claves predefinido o un almacén de claves personalizado. Para utilizar un almacén de claves predefinido, seleccione el almacén de claves de la lista. Para utilizar un almacén de claves personalizado, seleccione Personalizado de la lista y pulse el enlace Configuración del almacén de claves personalizado para especificar la configuración.
- Pulse Aceptar.
- Pulse el nombre de la referencia de la parte del mensaje de solicitud o de respuesta que se va a firmar o cifrar. La columna Protección muestra si la parte del mensaje se firma o cifra de acuerdo con el conjunto de políticas.
- Especifique un nombre para la parte del mensaje.
- Para las partes cifradas, seleccione el tipo de cifrado desde Uso de las referencias de información de claves. Para el cifrado asimétrico, o X.509, seleccione Cifrado de claves. Para el cifrado simétrico, o Secure Conversation, seleccione Cifrado de datos.
- [Opcional] Para las partes cifradas, seleccione las opciones Incluir indicación de fecha y hora o Incluir nonce para incluir una indicación de fecha y hora o nonce en la parte de mensaje cifrada. Puede incluir una o ambas de estas opciones en la parte de mensaje cifrada.
- Para las partes firmadas, especifique una o más referencias de parte de mensaje.
Seleccione una referencia de la columna Disponible y pulse Añadir.
- [Opcional] Para las partes firmadas, también puede seleccionar añadir una indicación de fecha y hora o nonce en la parte de mensaje firmada. Seleccione una referencia de parte de mensaje desde la columna Asignado y pulse Editar. Seleccione las opciones Incluir indicación de fecha y hora o Incluir nonce para incluir una indicación de fecha y hora o nonce en la parte de mensaje firmada. También puede seleccionar una o ambas opciones en la parte de mensaje firmada.
- Si no existen entradas de información de clave disponibles, cree una utilizando las acciones siguientes:
- Pulse Nuevo.
- Especifique un nombre.
- Seleccione una señal de protección desde la lista de nombres Generador de señales o Consumidor.
- Pulse Aceptar.
- Seleccione una entrada de información de clave en la lista Disponible y pulse Añadir.
- [Opcional] Especifique propiedades personalizadas, si fuera necesario.
- Para utilizar el mecanismos MTOM (Message Transmission Optimization Mechanism) para el texto
de cifrado de los datos cifrados, añada la propiedad personalizada, com.ibm.wsspi.wssecurity.enc.MTOM.Optimize, con el valor true en las partes cifradas de salida para solicitudes de cliente o respuestas de servidor.
- Para utilizar las cabeceras de cifrado tal como se describe en la especificación WS-Security 1.0, en lugar del soporte de cabecera cifrada descrito en WS-Security 1.1, añada la propiedad personalizada, com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0, con el valor true en las partes cifradas de salida para solicitudes de cliente o respuestas de servidor.
Para un comportamiento de Web Services Security Versión 1.1 equivalente a las versiones de WebSphere Application Server anteriores a la versión 7.0,
especifique la propiedad com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7
con el valor true en el elemento <encryptionInfo> del enlace. Cuando se especifica esta propiedad, el elemento <EncryptedHeader>
incluye un parámetro wsu:Id y el elemento <EncryptedData> omite el parámetro Id. Esta
propiedad sólo se debe utilizar si no es necesaria la conformidad con
Basic Security Profile 1.1.
- Pulse Aceptar.
- Pulse Guardar, para guardar los cambios en la configuración maestra.
Resultados
Cuando finalice esta tarea, las partes de mensaje se firman o se cifran, o ambas cosas, según la configuración utilizada cuando se comunica con el artefacto de servicio.
Ejemplo
Tiene una aplicación,
app1, con un conjunto de políticas conectado, un valor predeterminado RAMP y un enlace de conexión personalizado,
myBinding, y desea firmar y cifrar las partes de mensaje.
- Pulse la aplicación app1 en la colección Aplicaciones > Aplicaciones empresariales.
- Pulse el enlace Conjuntos de políticas y enlaces del proveedor de servicios, o bien el enlace Conjuntos de políticas y enlaces de cliente de servicio.
- Pulse el enlace myBinding.
- [Opcional] Si no está listada WS-Security, seleccione Añadir > WS-Security.
- Pulse el enlace WS-Security.
- Pulse el enlace Autenticación y protección.
- En la tabla Señales de protección, pulse cada uno de los cuatro enlaces y Aceptar en el panel resultante. Cada entrada aparece ahora como Configurado en la columna Estado.
- En la tabla Protección de firma y cifrado de mensaje de solicitud, pulse request:app_encparts.
Especifique el nombre, requestEncParts.
- Pulse Nuevo en Información de claves. Especifique el nombre, requestEncKeyInfo.
- Seleccione SymmetricBindingRecipientEncryptionToken y pulse Aceptar.
- Seleccione requestEncKeyinfo en la lista Disponible y pulse Añadir.
Pulse Aceptar.
- En la tabla Protección de firma y cifrado de mensaje de solicitud, pulse request:app_signparts.
- Especifique el nombre, requestSignParts.
- Pulse Nuevo en Información de claves. Especifique un nombre de requestSignKeyInfo.
- Seleccione SymmetricBindingInitiatorSignatureToken y pulse Aceptar.
- Seleccione requestSignKeyinfo en la lista Disponible y pulse Añadir.
Pulse Aceptar.
- Repita los pasos del 8 al 16 para los enlaces en la tabla Protección de cifrado y firma de mensaje de respuesta.
- Pulse Guardar, para guardar los cambios en la configuración maestra.
Qué hacer a continuación
Inicie la aplicación.