Puede configurar la información de
firmante de los enlaces del generador de solicitudes en el cliente y del generador de
respuestas en el servidor a nivel de servidor o de célula.
Antes de empezar
Nota: Sólo para WebSphere Application Server versión 6.x o anterior, en el archivo de extensiones del lado del servidor (ibm-webservices-ext.xmi) y en el archivo de extensiones del descriptor de despliegue del cliente (ibm-webservicesclient-ext.xmi), debe especificar qué partes del mensaje están firmadas. Asimismo, debe configurar la
información de claves que aparece referenciada en las referencias de información de
claves en el panel Información de firmas en la consola administrativa.
Acerca de esta tarea
En esta tarea se explican los pasos necesarios para configurar la información
de firmante de los enlaces del generador de solicitudes en el cliente y del generador de
respuestas en el servidor a nivel de servidor o de célula. WebSphere Application Server utiliza la información de firmas para que el generador predeterminado firme partes del mensaje que incluyen el cuerpo, la indicación de la hora y la señal de nombre de usuario si estos enlaces no están definidos en el nivel de
aplicación.
WebSphere Application Server
proporciona valores predeterminados para los enlaces. Sin embargo, un administrador debe
modificar los valores predeterminados para un entorno de producción.
Puede configurar la información de firmas para el enlace del generador en el nivel de servidor y el nivel de célula. En los pasos siguientes, utilice el primer paso para configurar la información de firmas
en el nivel de servidor y utilice el segundo paso para configurar la información de
firmas en el nivel de célula:
Procedimiento
- Acceda a los enlaces predeterminados para el nivel de servidor.
- Pulse .
- En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o
anterior, pulse
Servicios web: enlaces predeterminados para Web Services Security.
mixv
- Pulse para acceder a los enlaces predeterminados en el nivel de célula.
- En Enlaces de generador predeterminados, pulse Información de firmas.
- Pulse Nuevo para crear una configuración de información de firmas,
pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de
una configuración de información de firmas existente para editar los valores. Si está editando una nueva configuración, especifique un nombre exclusivo para la
información de firmas en el campo Nombre de la información de firmas. Por ejemplo, puede especificar gen_signinfo.
Avoid trouble: Si crea más de una configuración de información de firmas, el entorno de ejecución de WS-Security sólo respeta la primera configuración que aparece en la lista de archivo de enlaces.
gotcha
- Seleccione un algoritmo de método de firma del campo Método de firma. El algoritmo especificado para el generador predeterminado debe coincidir con el
algoritmo especificado para el consumidor predeterminado. WebSphere
Application Server admite los algoritmos preconfigurados siguientes:
- Seleccione un método de canonicalización en el campo Método de
canonicalización. El algoritmo de canonicalización especificado para el
generador debe coincidir con el algoritmo del consumidor. WebSphere Application Server da soporte a los siguientes algoritmos preconfigurados de
XML canónico y de Canonicalización exclusiva de XML:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Seleccione un tipo de firma de información de claves del campo Tipo de firma
de información de claves. El tipo de firma de información de claves determina cómo firmar digitalmente
la clave. WebSphere Application Server da soporte a los tipos de firmas siguientes:
- Ninguno
- Especifica que el elemento <KeyInfo> no está firmado.
- Keyinfo
- Especifica que el elemento <KeyInfo> completo está firmado.
- Keyinfochildelements
- Especifica que los elementos hijos del elemento <KeyInfo> están firmados.
El tipo de firma de información de claves para el generador debe
coincidir con el tipo de firma del consumidor. Se pueden dar las situaciones siguientes:
- Si no especifica uno de los tipos de firma previos, WebSphere Application Server
utiliza keyinfo, de manera predeterminada.
- Si selecciona Keyinfo o Keyinfochildelements y selecciona
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como algoritmo de transformación en un paso posterior, WebSphere Application Server
firmará también la señal referenciada.
- Seleccione una referencia de información de claves de firmas del campo
Información de claves de firmas. Esta selección es una referencia a la clave de firmas que utiliza el servidor
de aplicaciones para generar firmas digitales. En los archivos de enlace, esta información se especifica en el código <signingKeyInfo>. El elemento de información de claves especifica la clave utilizada para firmar y se
define en el mismo nivel que la información de firmas. Para obtener más información, consulte Configuración de la información de claves para el enlace de generador mediante JAX-RPC a nivel de servidor o nivel de célula.
- Pulse Aceptar para guardar la configuración.
- Pulse el nombre de la nueva configuración de información de firma. Esta configuración es la que ha especificado en los pasos anteriores.
- Especifique la referencia de parte, el algoritmo de resumen y el algoritmo
de transformación. La referencia de parte especifica las partes del mensaje que deben firmarse
digitalmente.
- En Propiedades adicionales, pulse para
crear una nueva referencia de parte, pulse para suprimir
una referencia de parte existente o bien pulse un nombre de parte para editar una referencia de parte existente.
- Especifique un nombre de parte exclusivo para la parte del mensaje que
precisa firma. Esta parte del mensaje se especifica en el servidor y en el cliente. Debe especificar un nombre de parte idéntico en el servidor y en el cliente. Por ejemplo, puede especificar reqint para generador y
consumidor.
Importante: No es necesario especificar un valor en el
campo Referencia de partes en los enlaces predeterminados como se especifica en el nivel de
aplicación porque la referencia de partes en el nivel de aplicación apunta una parte
concreta del mensaje que está firmada. No puede especificar este valor porque los enlaces predeterminados en el nivel de servidor y
de célula se pueden aplicar a todos los servicios definidos en un servidor en particular.
- Seleccione un algoritmo de método de conversión en el campo Algoritmo del
método de conversión. El algoritmo del método de conversión que se especifica en los archivos de enlaces dentro del elemento
<DigestMethod> se utiliza en el elemento <SigningInfo>.
WebSphere Application Server da soporte a los algoritmos siguientes:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse el nombre de la nueva configuración de referencia de partes. Esta configuración es la que ha especificado en los pasos anteriores.
- En Propiedades adicionales, pulse para crear una transformación nueva,
pulse para suprimir una transformación o bien pulse un nombre de
transformación para editar una transformación existente. Si crea una nueva configuración de transformación, especifique un nombre
exclusivo. Por ejemplo, puede
especificar reqint_body_transform1.
- Seleccione un algoritmo de transformación en el menú. El algoritmo de transformación se especifica en el elemento <Transform>. Este algoritmo especifica el algoritmo de transformación para la firma digital. WebSphere Application Server da soporte a los algoritmos siguientes:
El algoritmo de transformación que seleccione para el generador debe coincidir
con el algoritmo de transformación que seleccione para el consumidor.
Importante: Si se cumplen las dos condiciones siguientes,
WebSphere Application
Server firma la señal referenciada:
- Ha seleccionado anteriormente la opción Keyinfo o
la opción Keyinfochildelements en el campo
Tipo de firma de información de claves en el panel de información de firmas.
- Ha seleccionado
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como algoritmo de transformación.
- Pulse Aplicar.
- Pulse Guardar para guardar la configuración.
Resultados
Después de realizar estos cambios, habrá configurado la información de
firmante para el generador a nivel de servidor
o de célula.
Qué hacer a continuación
Debe especificar una configuración de información de firmas similar para el
consumidor.