Valores de manejador de devolución de llamada para JAX-WS

Utilice esta página para configurar los valores del manejador de retorno de llamada para JAX-WS, que determinan cómo se adquieren las señales de seguridad de las cabeceras de mensajes.

Puede configurar los valores de manejador de retorno de llamada al editar un enlace de nivel de célula o de nivel de servidor. También puede configurar enlaces específicos de la aplicación para las señales y las partes del mensaje que el conjunto de políticas necesita.

Avoid trouble Avoid trouble: Antes de especificar ningún valor para las propiedades Almacén de claves y Clave en esta página, debe saber que la información del almacén de claves/alias que proporciona al generador y que la información del almacén de claves/alias que proporciona al consumidor se utilizan con fines distintos. La diferencia principal radica en el alias para un manejador de devolución de llamada X.509: gotcha
Generador
Cuando se utiliza junto con un generador de cifrado, se utiliza el alias suministrado para el generador para recuperar la clave pública con el fin de cifrar el mensaje. No es necesaria ninguna contraseña. El alias que se indica en un manejador de devolución de llamada asociado a un generador de cifrado debe estar accesible sin una contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves. Cuando se utiliza junto con un generador de firmas, el alias proporcionado para el generador se utiliza para recuperar la clave privada para firmar el mensaje. Es necesaria una contraseña.
Avoid trouble Avoid trouble: Debido a que un alias utilizado para firmar un mensaje necesita una contraseña, y un alias utilizado para cifrar un mensaje necesita que no exista ninguna contraseña, no puede utilizar el mismo alias para ambos, un generador de firmas y un generador de cifrado. gotcha
Consumidor
Cuando se utiliza junto con un consumidor de cifrado, el alias suministrado para el consumidor se utiliza para recuperar la clave privada con el fin de descifrar el mensaje. Se necesita una contraseña.

Cuando se utiliza asociado a un consumidor de firma, el alias suministrado para el consumidor se utiliza estrictamente para recuperar la clave pública que se utiliza para resolver un certificado X.509 que no se pasa a la cabecera de seguridad SOAP como BinarySecurityToken. No es necesaria ninguna contraseña.

El alias que se indica en un manejador de devolución de llamada asociado a un consumidor de firma debe estar accesible sin una contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves.

Cuando se detecta un certificado X.509 que no se pasa a la cabecera de seguridad SOAP como BinarySecurityToken, aparecerá SecurityTokenReference en el elemento KeyInfo dentro del elemento Firma en la cabecera de seguridad SOAP que se utilizará para resolver el certificado X.509. Los métodos que se pueden utilizar son Identificador de clave, Nombre de usuario y serie de usuario X509 y Certificado de huella. El consumidor aceptará cualquiera de estos tres métodos para resolver un certificado X.509 fuera del mensaje cuando se configura un almacén de claves/alias para un consumidor de señales X.509 asociado con un consumidor de firma. El consumidor de señales X.509 no resuelve dinámicamente los certificados que aparecen fuera del mensaje en entradas de un almacén de claves. Los certificados que se van a utilizar deben conocerse en el momento de la configuración y se deben codificar en el manejador de devolución de llamadas del consumidor de señales X.509.

Cuando un certificado X.509 se ha de resolver fuera del mensaje, puede resolver varios certificados cuando se utilizan enlaces generales, pero sólo uno cuando se utilizan enlaces específicos de la aplicación. Sólo se puede resolver un certificado fuera del mensaje cuando se utilizan enlaces específicos de la aplicación porque, en los enlaces específicos de la aplicación, sólo hay un consumidor de señales X.509 disponible para utilizarse. Dado que sólo hay un consumidor de señales X.509 para utilizar, sólo hay un alias para utilizarse, por lo tanto, sólo se puede resolver un certificado. Por ejemplo, si el consumidor de señal X.509 está configurado para el certificado A, si el cliente A envía keyIdentifier para un certificado A, el certificado se puede recuperar. No obstante, si el cliente B envía keyIdentifier para el certificado B, el certificado no se podrá recuperar y se rechazará el mensaje.

Cuando se utilizan los enlaces generales, se pueden crear varios consumidores de señales X.509 que tengan varios certificados configurados en cada uno de ellos (almacén de claves/alias). Todos los consumidores de señales X.509 asociados con los certificados que desea resolver se asignarían a la información de claves de firma de la configuración de la parte firmada en los enlaces.

Cuando se envía un certificado X.509 en la cabecera de seguridad SOAP como BinarySecurityToken, si hay configurado un almacén de claves/alias en el consumidor de señal X.509 asociado a un consumidor de firma, el certificado que se configure en el consumidor se comparará con el que se analice en el mensaje. Si no coinciden, se rechazará el mensaje. Este comportamiento es diferente de JAX-RPC. El certificado asociado al alias configurado en el consumidor de señales X.509 no se utiliza para evaluar la confianza en el certificado de entrada. Solamente se utilizan con este fin el almacén de confianza y los almacenes de certificados.

Si desea que el certificado configurado en el consumidor de señales X.509 asociado a un consumidor de firma esté disponible para la resolución de KeyInfo, pero que no rechace certificados X.509 que se pasan en el mensaje que no coinciden, puede añadir la siguiente propiedad personalizada al manejador de devolución de llamadas del consumidor de señales X.509:
com.ibm.wsspi.wssecurity.consumer.callbackHandlerKeystoreLimitsAccess=false
Avoid trouble Avoid trouble: Debido a que un alias utilizado para descifrar un mensaje necesita una contraseña, y un alias utilizado para verificar una firma necesita que no exista ninguna contraseña, no puede utilizar el mismo alias para ambos, un consumidor de firmas y un consumidor de cifrado. gotcha
Comprobación de las claves
Avoid trouble Avoid trouble: Puede comprobar que el alias que desea configurar para un manejador de devolución de llamada de generador o consumidor de señales X.509 es del tipo correcto utilizando la aplicación keytool.
La aplicación keytool se instala con el servidor de aplicaciones en el directorio (wasHome)/bin. Si ejecuta 'keytool' sin parámetros, muestra la sintaxis. Una invocación de ejemplo de la aplicación keytool es:
keytool -list -v -keystore myKeystore.p12 -storepass myPassword -storetype PKCS12

Utilice la aplicación keytool para mostrar el contenido del almacén de claves y, a continuación, compruebe si el tipo de entrada del alias es coherente con su uso previsto. Si está configurando una entrada que requiere una clave privada, el tipo de entrada debe ser keyEntry. Si está configurando una entrada que requiere una clave pública, el tipo de entrada debe ser trustedCertEntry.

gotcha
Para ver esta página de la consola administrativa al editar un enlace de nivel de célula general, realice las siguientes acciones:
  1. Pulse Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas por omisión. El panel de enlaces indica el enlace que se establece como enlace predeterminado, por ejemplo, el enlace Ejemplo de proveedor.
  2. Para editar este enlace predeterminado, pulse Servicios > Conjuntos de políticas > Enlaces de conjunto de políticas de proveedor generales.
  3. Pulse en el nombre del enlace predeterminado según se indica en el primer paso. Por ejemplo, Ejemplo de proveedor.
  4. Pulse la política WS-Security en la tabla Políticas.
  5. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  6. Pulse el enlace nombre_de_señal en la sección Señales de protección o en la sección Señales de autenticación.
  7. Pulse el enlace Manejador de devolución de llamada.
Para ver esta página de la consola administrativa cuando configure enlaces específicos de la aplicación para señales y partes de mensajes que sean necesarios para el conjunto de políticas, complete las acciones siguientes:
  1. Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones empresariales de WebSphere.
  2. Seleccione una aplicación que contenga servicios web. La aplicación debe contener un proveedor o cliente de servicios.
  3. Pulse el enlace Conjuntos de políticas y enlaces del proveedor de servicios o Conjuntos de políticas y enlaces del cliente de servicio en la sección Propiedades de servicios web.
  4. Seleccione un enlace. Debe tener previamente conectado un conjunto de políticas y asignado un enlace específico de aplicación.
  5. Pulse la política WS-Security en la tabla Políticas.
  6. Pulse en el enlace Autenticación y protección en la sección Enlaces principales de la política de seguridad de mensajes.
  7. Pulse el enlace nombre_de_señal en la sección Señales de protección o en la sección Señales de autenticación.
  8. Pulse el enlace Manejador de devolución de llamada.

Esta página de la consola administrativa se aplica sólo a las aplicaciones JAX-WS (Java™ API for XML Web Services).

El Manejador de retorno de llamada muestra campos de otra manera para los diferentes señales que se configuran. Según se configuren señales de generador o consumidor para la protección o señales de entrada o salida para la autenticación, las secciones y los campos de este panel muestran alguno o todos los campos que se describen en este tema, como se indica en la descripción de cada campo.

Nombre de clase

Los campos de la sección Nombre de clase están disponibles para todos los tipos de configuración de señales.

Seleccione el nombre de clase a utilizar para el manejador de retorno de llamada. Seleccione la opción Utilizar valor predeterminado incorporado para el funcionamiento normal. Utilice la opción Utilizar personalizado sólo si está utilizando un tipo de señal personalizada.

Para el tipo de señal personalizada Kerberos, utilice el nombre de clase, com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler, para la configuración del generador de señales. Utilice com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler para la configuración del consumidor de señales.

Utilizar valor predeterminado incorporado

Especifica que se utiliza el valor predeterminado para el nombre de clase. Utilice el valor predeterminado (que aparece en el campo) para el nombre de clase cuando selecciona este botón de selección. Este nombre se basa en el tipo de señal y si el manejador de retorno de llamada es para un consumidor o un generador de señales. Esta opción y la opción Utilizar personalizado son mutuamente excluyentes.

Utilizar personalizado

Especifica que se utiliza un valor personalizado para el nombre de clase. Seleccione este botón de selección y escriba el nombre en el campo para utilizar un nombre de clase personalizado.

No hay ningún valor predeterminado disponible para este campo de entrada. Utilice la información de la siguiente tabla para determinar este valor:

Tabla 1. Nombres de clase personalizada para el manejador de devolución de llamada y los tipos de señal asociados. El manejador de retorno de llamada determina cómo se adquieren las señales de seguridad de cabeceras de mensajes.
Tipo de señal Consumidor o generador Nombre de clase de manejador de retorno de llamada
UsernameToken consumidor com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler
UsernameToken generador com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler
X509Token consumidor com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler
X509Token generador com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler
LTPAToken/LTPAPropagationToken consumidor com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler
LTPAToken/LTPAPropagationToken generador com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler
SecureConversationToken consumidor com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler
SecureConversationToken generador com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler

Este botón y la opción Utilizar valor predeterminado incorporado son mutuamente excluyentes.

Certificados (generador)

Los campos de la sección Certificados están disponibles si está configurando una señal de protección. Para una señal de generador, puede pulsar para seleccionar un almacén de certificados de la lista o pulse el botón Nuevo para añadir un almacén de certificados.

Certificados (consumidor)

Los campos de la sección Certificados están disponibles si está configurando una señal de protección. Para una señal de consumidor, puede utilizar la opción Confiar en cualquier certificado o la opción Almacén de certificados para configurar el almacén de certificados.

Certificados - Confiar en cualquier certificado (consumidor)

Esta opción sólo es aplicable al consumidor de señales. Esta opción indica que el sistema confiará en todos los certificados y no define un almacén de certificados concreto. Esta opción y la opción Almacén de certificados se excluyen mutuamente.

Certificados - Almacén de certificados (consumidor)

Esta opción sólo es aplicable al consumidor de señales. Utilice esta opción para especificar una colección de almacén de certificados que contenga certificados intermedios, que pueden incluir listas de revocación de certificados (CRL). Seleccione esta opción para confiar en el almacén o los almacenes de certificados especificados en el campo de entrada. Esta opción y la opción Confiar en cualquier certificado se excluyen mutuamente. Cuando se selecciona la opción Almacén de certificados, el botón Nuevo se habilita para poder configurar un almacén de certificados nuevo y el almacén de ancla de confianza.

Puede establecer el valor del campo de almacén de certificados en el valor predeterminado, que es Ninguna. Sin embargo, el valor del almacén de ancla de confianza debe establecerse en un valor específico. No hay ningún valor predeterminado. El ancla de confianza es necesaria si no se ha seleccionado la opción Confiar en cualquier certificado.

Autenticación básica

Los campos de la sección Autenticación básica están disponibles si configura una señal de autenticación que no sea una señal de propagación LTPA.

Para el tipo de señal personalizada Kerberos, debe completar la sección Autenticación básica para el inicio de sesión en Kerberos.

Nombre de usuario

Especifica el nombre de usuario que desea autenticar.

Contraseña

Especifica la contraseña que se va a autenticar. Escriba en este campo de entrada la contraseña que desea autenticar.

Confirmar contraseña

Especifica la contraseña que desea confirmar.

Almacén de claves

Los campos del almacén de claves no están disponibles cuando el tiempo de ejecución determina que no son necesarios.

En la lista de nombres de almacén de claves, puede pulsar Personalizado para definir un almacén de claves personalizado, pulse uno de los nombres de almacenes de claves definidos externamente o pulse Ninguno si no es necesario ningún almacén de claves.

Almacén de claves - Nombre

Especifica el nombre del almacén de claves que desea utilizar.

Pulse el nombre de un almacén de claves de este menú o seleccione uno de los siguientes valores:
Ninguno
Especifica que no utiliza ningún un almacén de claves.
Personalizado
Especifica que se debe utilizar un almacén de claves definido por el usuario. Pulse el enlace Configuración de almacén de claves personalizado para configurar valores de claves y almacenes de claves personalizados.

Clave

Especifica los atributos de la clave que debe recuperarse del almacén de claves configurado. Algunos campos de la sección de clave no están disponibles cuando el tiempo de ejecución determina que no son necesarios.

Cuando se selecciona un almacén de claves gestionado centralmente para el almacén de claves, los campos de la sección de clave están disponibles.

Nombre

Especifica el nombre de la clave a utilizar. La lista se llena con las claves disponibles en el almacén de claves gestionado de forma centralizada. Seleccione el nombre de la clave que desea utilizar, o '(none)' si no debe utilizarse ninguna clave.

Alias

Visualiza el alias del nombre de clave seleccionado.

Contraseña

Especifica la contraseña para la clave que desea utilizar. Este campo sólo estará disponible cuando el tiempo de ejecución determine que es necesario.

No puede establecer una contraseña para claves públicas para el generador de cifrado asimétrico o el consumidor de firmas asimétrico. Consulte la sección 'evitar problemas' al principio del artículo.

Confirmar contraseña

Especifica la confirmación de la contraseña para la clave que desea utilizar. Este campo sólo estará disponible cuando el tiempo de ejecución determine que es necesario.

No proporcione una contraseña de confirmación de claves para las claves públicas para la firma de entrada o el cifrado de salida asimétrico.

Almacén de claves – Configuración de almacén de claves personalizado

Especifica un enlace para crear un almacén de claves personalizado. Pulse este enlace para abrir un panel en el que puede configurar un almacén de claves personalizado.

Contraseña del almacén de claves

Especifica la contraseña que se utiliza para acceder al archivo de almacén de claves.

Vía de acceso del almacén de claves

Especifica la ubicación del archivo de almacén de claves.

Utilice ${USER_INSTALL_ROOT} en el nombre de vía de acceso ya que esta variable se amplía hasta la vía de acceso del producto en su máquina. Para cambiar la vía de acceso utilizada por esta variable, pulse Entorno>Variables de WebSphere y pulse USER_INSTALL_ROOT.

Tipo de almacén de claves

Especifica el tipo de formato del archivo de almacén de claves

Seleccione uno de los valores siguientes para este campo:
JKS
Utilice esta opción si el almacén de claves utiliza el formato JKS (Java Keystore).
JCEKS
Utilice esta opción si se configura Java Cryptography Extension en SDK (Software Development Kit). El valor predeterminado de IBM® JCE se configura en el servidor de aplicaciones. Esta opción proporciona una mayor protección para las claves privadas almacenadas utilizando el cifrado Triple DES.
[z/OS]JCERACFKS
[z/OS]Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
PKCS12KS (PKCS12)
Utilice esta opción si el archivo de almacén de claves utiliza el formato de archivo PKCS número 12.

Propiedades personalizadas

Los campos de la sección Propiedades personalizadas están disponibles para todos los tipos de configuración de señales.

Puede añadir las propiedades personalizadas que el manejador de retorno de llamada necesita mediante pares de nombre-valor.

Para implementar el cifrado del certificado del firmante cuando se utiliza el modelo de programación JAX-WS, añada la propiedad personalizada com.ibm.wsspi.wssecurity.token.cert.useRequestorCert con el valor true en el manejador de retorno de llamada del generador de la señal de cifrado. Esta implementación utiliza el certificado del firmante de la solicitud SOAP para cifrar la respuesta SOAP. Esta propiedad personalizada la utiliza el generador de respuestas.

Para una señal personalizada Kerberos basada en la especificación OASIS Web Services Security para el perfil de señales Kerberos de la versión V1.1, especifique la siguiente propiedad para la generación de señales: com.ibm.wsspi.wssecurity.krbtoken.clientRealm. Esto especifica el nombre del reino Kerberos asociado con el cliente y permite que el reino de cliente Kerberos empiece el inicio de sesión de Kerberos. Si no se ha especificado, se utiliza el nombre de dominio Kerberos predeterminado. Esta propiedad es opcional para un solo entorno de reino Kerberos.

La propiedad personalizada de Kerberos, com.ibm.wsspi.wssecurity.krbtoken.loginPrompt, habilita el inicio de sesión de Kerberos cuando el valor es true. El valor predeterminado es false. Esta propiedad es opcional.

Al configurar una señal username para el modelo de programación JAX-WS, es muy recomendable, a fin de proteger contra ataques de reproducción, añadir las propiedades personalizadas siguientes a la configuración del manejador de devolución de llamada. Estas propiedades personalizadas habilitan y verifican el nonce y la indicación de fecha y hora para la autenticación de mensaje.
Nombre de propiedad (generador) Valor de propiedad
com.ibm.wsspi.wssecurity.token.username.addNonce true
com.ibm.wsspi.wssecurity.token.username.addTimestamp true
Nombre de propiedad (consumidor) Valor de propiedad
com.ibm.wsspi.wssecurity.token.username.verifyNonce true
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true

Nombre

Especifica el nombre de la propiedad personalizada a utilizar.

Las propiedades personalizadas al principio no se visualizan en esta columna. Pulse una de las siguientes acciones para las propiedades personalizadas:

Botón Acción resultante
Nuevo Crea una nueva entrada de propiedad personalizada. Para añadir una propiedad personalizada, especifique el nombre y el valor.
Suprimir Elimina la propiedad personalizada seleccionada.

Valor

Especifica el valor de la propiedad personalizada que se debe utilizar. Con el campo Valor, puede especificar o suprimir el valor para una propiedad personalizada.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwbs_wsspsbch
File name: uwbs_wsspsbch.html