Configuración de generadores de señales mediante JAX-RPC para proteger la autenticidad de los mensajes en el nivel de servidor o célula

A nivel de servidor o de célula, el generador de señales se utiliza para especificar la información del generador de señales si estos enlaces no se han definido a nivel de aplicación. La información de firmas y la información de cifrado pueden compartir la información del generador de señales, que es por lo que se definen en el mismo nivel.

Antes de empezar

Debe saber que la información de almacén de claves/alias que proporcione para el generador y la información del almacén de claves/alias que proporcione para el consumidor se utilizan con fines distintos. La principal diferente se aplica a alias para un manejador de retorno de llamada de X.509.

Cuando se utiliza junto con un generador de cifrado, se utiliza el alias suministrado para el generador para recuperar la clave pública con el fin de cifrar el mensaje. No es necesaria ninguna contraseña. El alias que se indica en un manejador de devolución de llamada asociado a un generador de cifrado debe estar accesible sin una contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves. Cuando se utiliza junto con ungenerador de firmas, el alias proporcionado para el generador se utiliza para recuperar la clave privada para firmar el mensaje. Es necesaria una contraseña.

Acerca de esta tarea

WebSphere Application Server proporciona valores predeterminados para los enlaces. Para un entorno de producción, debe modificar los valores predeterminados.

Puede configurar el generador de señales en los niveles de servidor y de célula. En los pasos siguientes, utilice el primer paso para acceder a los enlaces predeterminados de nivel de servidor y utilice el segundo paso para acceder a los enlaces de nivel de célula.

Procedimiento

  1. Acceda a los enlaces predeterminados para el nivel de servidor.
    1. Pulse Servidores > Tipos de servidor > WebSphere Application Servers > nombre_servidor.
    2. En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
      Mixed-version environment Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios web: enlaces predeterminados para Web Services Security.mixv
  2. Pulse Seguridad > Servicios Web para acceder a los enlaces predeterminados en el nivel de célula.
  3. En Enlaces de generador predeterminados, pulse Generadores de señales.
  4. Pulse Nuevo para crear una configuración de generador de señales, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de generador de señales existente para editar sus valores. Si está creando una configuración nueva, escriba un nombre exclusivo para la configuración del generador de señales en el campo Nombre de generador de señales. Por ejemplo, puede especificar sig_tgen. Este campo especifica el nombre del elemento generador de señales.
  5. Especifique un nombre de clase en el campo Nombre de clase del generador de señales. La implementación del módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Service) se utiliza para crear la señal de seguridad del generador.
    Restricción: La interfaz com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent no se utiliza con los servicios web de JAX-WS. Si está utilizando los servicios web JAX-RPC, esta interfaz continúa siendo válida.

    El nombre de clase del generador de señales debe ser similar al nombre de clase del consumidor de señales. Por ejemplo, si la aplicación necesita un consumidor de señales de certificados X.509, puede especificar el nombre de clase com.ibm.wsspi.wssecurity.token.X509TokenConsumer en el panel Consumidor de señales y el nombre de clase com.ibm.wsspi.wssecurity.token.X509TokenGenerator en este campo. WebSphere Application Server proporciona las siguientes implementaciones de clase de generador de señales predeterminado:

    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    Esta implementación genera una señal de nombre de usuario.
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    Esta implementación genera una señal de certificado X.509.
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    Esta implementación genera una señal LTPA (Lightweight Third Party Authentication).
  6. Seleccione una opción de vía de acceso de certificado. La vía de acceso de certificado especifica la lista de revocación de certificados (CRL), que se utiliza para generar una señal de seguridad que se incorpora en un PKCS número 7 con una CRL. WebSphere Application Server proporciona las siguientes opciones de vía de acceso de certificado:
    Ninguno
    Seleccione esta opción si no se utiliza la CRL para generar una señal de seguridad. Debe seleccionar esta opción cuando el generador de señales no utilice el tipo de señal PKCS número 7.
    Información de firmas dedicada
    Si la CRL se incorpora en una señal de seguridad, seleccione Información de firmas dedicada y seleccione un nombre de almacén de certificados de colecciones en el campo Almacén de certificados. El campo Almacén de certificados muestra los nombres de los almacenes de certificados de colecciones que ya están definidos.

    Para definir un almacén de certificados de colecciones en el nivel de célula, consulte Configuración del certificado de colecciones a nivel de servidor o de célula.

  7. Seleccione la opción Añadir Nonce para incluir un Nonce en la señal de nombre de usuario para el generador de señales. Nonce es un número criptográfico exclusivo que se incorpora en un mensaje para facilitar la detención de repetidos ataques no autorizados de señales de nombre de usuario. La opción Añadir Nonce está disponible si especifica una señal de nombre de usuario para el generador de señales.
  8. Seleccione la opción Añadir indicación de la hora para incluir una indicación de la hora en la señal de nombre de usuario para el generador de señales.
  9. Especifique un nombre local del tipo de valor en el campo Nombre local. Esta entrada especifica el nombre local del tipo de valor para una señal de seguridad a la que se hace referencia mediante el identificador de claves. Este atributo es válido cuando se selecciona Identificador de clave como tipo de información de claves. Para especificar el tipo de información de claves, consulte Configuración de la información de claves para el enlace de generador mediante JAX-RPC a nivel de servidor o nivel de célula. WebSphere Application Server proporciona las siguientes configuraciones de señal de certificados X.509 predefinidas:
    Señal de certificado X.509
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    Certificados X.509 en una PKIPath
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    Una lista de certificados X.509 y CRL en un PKCS número 7
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    Para LTPA, el nombre local del tipo de valor es LTPA. Si escribe LTPA para el nombre local, debe especificar también el valor de URI (uniform resource identifier) http://www.ibm.com/websphere/appserver/tokentype/5.0.2 en el campo URI del tipo de valor.
    LTPA versión 2
    Para LTPA versión 2, el nombre local del tipo de valor es LTPAv2. Si especifica LTPAv2 para el nombre local, debe especificar también el valor del URI (uniform resource identifier) http://www.ibm.com/websphere/appserver/tokentype en el campo URI del tipo de valor.
    LTPA_PROPAGATION
    Para la propagación de señales de LTPA, el nombre local del tipo de valor es LTPA_PROPAGATION. Si escribe LTPA_PROPAGATION para el nombre local, también debe especificar el valor de URI http://www.ibm.com/websphere/appserver/tokentype en el campo URI del tipo de valor.
    Por ejemplo, cuando especifica una señal de certificado X.509, puede utilizar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 como nombre local.
  10. Especifique el URI del tipo de valor en el campo URI. Esta entrada especifica el URI del espacio de nombres del tipo de valor para una señal de seguridad a la que se hace referencia mediante el identificador de claves. Este atributo es válido cuando se selecciona Identificador de clave como tipo de información de claves en el panel Información de claves del generador predeterminado. Cuando se especifica la señal de certificados X.509, no es necesario que especifique el URI del espacio de nombres. Si se especifica otra señal, debe especificar el URI del espacio de nombres del tipo de valor.
  11. Pulse Aceptar y, a continuación, Guardar para guardar la configuración.
  12. Pulse el nombre de la configuración del generador de señales.
  13. En Propiedades adicionales, pulse Manejador de retorno de llamada para configurar las propiedades del manejador de retorno de llamada. El manejador de retorno de llamada especifica cómo adquirir la señal de seguridad insertada en la cabecera de seguridad de servicios web en el mensaje SOAP. La adquisición de la señal es una infraestructura conectable que refuerza la interfaz JAAS (Java Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler para adquirir la señal de seguridad.
    1. Especifique una implementación de clase del manejador de retorno de llamada en el campo Nombre de clase del manejador de retorno de llamada. Este atributo especifica el nombre de la implementación de la clase del manejador de retorno de llamada que se utiliza para conectar una infraestructura de señal de seguridad. La clase de manejador de retorno de llamada especificada debe implementar la clase javax.security.auth.callback.CallbackHandler. WebSphere Application Server proporciona las siguientes implementaciones de manejador de retorno de llamada predeterminado:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      Este manejador de retorno de llamada utiliza un indicador de inicio de sesión para reunir la información de nombre de usuario y contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, no se muestra un indicador y WebSphere Application Server devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java Platform, Enterprise Edition (Java EE).
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      Este manejador de retorno de llamada no emite un indicador y devuelve el nombre de usuario y la contraseña si se ha especificado en la sección de autenticación básica de este panel. Puede utilizar este manejador de retorno de llamada cuando el servicio web actúe como un cliente.
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      Este manejador de retorno de llamada utiliza un indicador de inicio de sesión estándar para reunir la información sobre el nombre de usuario y la contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, WebSphere Application Server no emite un indicador sino que devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java Platform, Enterprise Edition (Java EE).
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      Este manejador de retorno de llamada se utiliza para obtener la señal de seguridad LTPA (Lightweight Third Party Authentication) desde el sujeto de la invocación RunAs. Esta señal se inserta en la cabecera de seguridad de los servicios web en un mensaje SOAP como una señal de seguridad binaria. No obstante, si especifica el nombre de usuario y la contraseña en la sección de autenticación básica de este panel, WebSphere Application Server autentica el nombre de usuario y la contraseña para obtener la señal de seguridad LTPA. Obtiene la señal de seguridad de esta forma, en lugar de obtenerla del sujeto RunAs. Utilice este manejador de retorno de llamada cuando el servicio web actúe como un cliente en el servidor de aplicaciones. Se le recomienda que no utilice el manejador de retorno de llamada en un cliente de aplicaciones Java EE.
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      Este manejador de retorno de llamada se utiliza para crear el certificado X.509 que se inserta en la cabecera de seguridad de los servicios web en el mensaje SOAP como una señal de seguridad binaria. Para este manejador de retorno de llamada se necesitan un archivo de almacén de claves y una definición de claves.
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      El manejador de retorno de llamada se utiliza para crear certificados X.509 que se codifican con el formato PKCS número 7. El certificado se inserta en la cabecera de seguridad de los servicios web del mensaje SOAP como una señal de seguridad binaria. Se necesita un archivo de almacén de claves para este manejador de retorno de llamada. Debe especificar una lista de revocación de certificados (CRL) en el almacén de certificados de colecciones. El CRL se codifica con el certificado X.509 con el formato PKCS número 7. Para obtener más información sobre la configuración del almacén de certificados de colecciones, consulte Configuración del certificado de colecciones a nivel de servidor o de célula.
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      Este manejador de retorno de llamada se utiliza para crear certificados X.509 que se codifican con el formato PkiPath. El certificado se inserta en la cabecera de seguridad de los servicios web del mensaje SOAP como una señal de seguridad binaria. Se necesita un archivo de almacén de claves para este manejador de retorno de llamada. El manejador de retorno de llamada no soporta CRL; por lo tanto, no es necesario ni se utiliza el almacén de certificados de colecciones.

      Para una señal de certificados X.509, puede especificar la implementación com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.

    2. Opcional: Seleccione la opción Utilizar la aserción de identidad. Seleccione esta opción si ha definido la aserción de identidad en el descriptor de despliegue extendido de IBM®. Esta opción indica que solamente es necesaria la identidad del emisor inicial y se insertará en la cabecera de seguridad de los servicios web del mensaje SOAP. Por ejemplo, WebSphere Application Server sólo envía el nombre de usuario del interlocutor original de un generador de señales de nombre de usuario. Un generador de señales X.509, el servidor de aplicaciones envía solamente el certificado de firmante original.
    3. Opcional: Seleccione la opción Utilizar identidad RunAs. Seleccione esta opción si se cumplen las siguientes condiciones:
      • Si ha definido la aserción de identidad en el descriptor de despliegue extendido de IBM.
      • Si desea utilizar la identidad RunAs en lugar de la identidad del emisor inicial para la aserción de identidad para una llamada en sentido descendente.
    4. Opcional: Especifique un ID de usuario y una contraseña de autenticación básica en los campos ID de usuario y Contraseña. Esta entrada especifica el nombre de usuario y la contraseña que se pasan a los constructores de la implementación del manejador de retorno de llamada. El ID de usuario y la contraseña de autenticación básica se utilizan si especifica una de las implementaciones del manejador de retorno de llamada predeterminado siguientes que proporciona WebSphere Application Server:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. Opcional: Especifique una vía de acceso y una contraseña del almacén de claves. El almacén de claves y la información relacionada son necesarios cuando se utiliza la clave o el certificado para generar una señal. Por ejemplo, la información del almacén de claves es necesaria si selecciona una de las implementaciones del manejador de retorno de llamada predeterminado siguientes que proporciona WebSphere Application Server:
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      Los archivos de almacén de claves contienen claves públicas y privadas, certificados de CA (autoridad certificadora) raíz, certificados de CA intermedios, etc. Las claves recuperadas del archivo de almacén de claves se utilizan para firmar y validar o cifrar y descifrar los mensajes o partes de los mensajes. Para recuperar una clave de un archivo de almacén de claves, debe especificar la contraseña del almacén de claves, la vía de acceso del almacén de claves y el tipo de almacén de claves.

  14. Seleccione un almacén de claves del campo Tipo. WebSphere Application Server proporciona las siguientes opciones:
    JKS
    Utilice esta opción si no está utilizando JCE (Java Cryptography Extensions) y si el archivo del almacén de claves utiliza el formato JKS (Java Keystore).
    JCEKS
    Utilice esta opción si está utilizando JCE (Java Cryptography Extensions).
    [z/OS]JCERACFKS
    [z/OS]Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
    PKCS11KS (PKCS11)
    Utilice este formato si el archivo de almacén de claves utiliza el formato de archivo PKCS número 11. Los archivos de almacén de claves que utilizan este formato pueden contener claves RSA en el hardware criptográfico o pueden cifrar las claves que utilicen hardware criptográfico para garantizar la protección.
    PKCS12KS (PKCS12)
    Utilice esta opción si el archivo de almacén de claves utiliza el formato de archivo PKCS número 12.
  15. Pulse Aceptar y, a continuación, Guardar para guardar la configuración.
  16. Pulse el nombre de la configuración del generador de señales.
  17. En Propiedades adicionales, pulse Manejador de retorno de llamada > Claves.
  18. Pulse Nuevo para crear una configuración de clave, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de clave existente para editar sus valores. Si está creando una configuración nueva, escriba un nombre exclusivo para la configuración de claves en el campo Nombre de clave. Este nombre hace referencia al nombre del objeto de clave que se almacena en el archivo de almacén de claves.
  19. Especifique un alias para el objeto de clave en el campo Alias de clave. Utilice el alias cuando el localizador de claves busca los objetos de clave en el almacén de claves.
  20. Especifique la contraseña asociada a la clave en el campo Contraseña de clave.
  21. Pulse Aceptar y Guardar para guardar la configuración.

Resultados

Ha configurado los generadores de señales a nivel de servidor o a nivel de célula.

Qué hacer a continuación

Debe especificar una configuración de consumidor de señales parecida.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
File name: twbs_configtokengensvrcell.html