Configuración de generadores de señales mediante JAX-RPC para proteger la autenticidad de mensajes en el nivel de aplicación
Cuando especifica los generadores de señales a nivel de aplicación, se utiliza en el generador la información para generar la señal de seguridad.
Antes de empezar
Debe saber que la información de almacén de claves/alias que proporcione para el generador y la información del almacén de claves/alias que proporcione para el consumidor se utilizan con fines distintos. La principal diferente se aplica a alias para un manejador de retorno de llamada de X.509.
Cuando se utiliza junto con un generador de cifrado, se utiliza el alias suministrado para el generador para recuperar la clave pública con el fin de cifrar el mensaje. No es necesaria ninguna contraseña. El alias que se indica en un manejador de devolución de llamada asociado a un generador de cifrado debe estar accesible sin una contraseña. Esto significa que el alias no debe tener información de clave privada asociada en el almacén de claves. Cuando se utiliza junto con ungenerador de firmas, el alias proporcionado para el generador se utiliza para recuperar la clave privada para firmar el mensaje. Es necesaria una contraseña.
Acerca de esta tarea
Efectúe los pasos siguientes para configurar el generador de señales en el nivel de aplicación:
Procedimiento
- Localice el panel del generador de señales en la consola
administrativa.
- Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de Web Services Security,
puede acceder a los generadores de señales para los enlaces siguientes:
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades adicionales, pulse Generadores de señales.
- Pulse Nuevo para crear una configuración de generador de señales, seleccione una configuración existente. Pulse Suprimir para suprimir una configuración existente, o pulse el nombre de una configuración de generador de señales existente para editar sus valores. Si va a crear una configuración nueva, especifique un nombre exclusivo en el campo Nombre de generador de señales. Por ejemplo, puede especificar gen_signtgen.
- Especifique un nombre de clase en el campo Nombre de clase del generador de señales. La clase del generador de señales debe implementar la interfaz com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent. El nombre de clase del generador de señales para el generador de solicitudes y el generador de respuestas debe ser parecido al nombre de clase del consumidor de señales para el consumidor de solicitudes y el consumidor de respuestas. Por ejemplo, si la aplicación necesita un consumidor de señales de nombre de usuario, puede especificar el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer en el panel del consumidor de señales para el nivel de aplicación, y el nombre de clase com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator en este campo.
- Opcional: Seleccione una referencia de parte en el campo Referencia de parte. La referencia de partes indica el nombre de la señal de seguridad que se define en el descriptor de despliegue.
Importante: En el nivel de aplicación, si no especifica una señal de seguridad en el descriptor de despliegue, no se visualiza el campo Referencia de parte. Si define una señal de seguridad denominada user_tgen en el descriptor de despliegue, aparecerá user_tgen de opción en el campo Referencia de parte. Puede especificar una señal de seguridad en el descriptor de despliegue cuando ensamble la aplicación utilizando una herramienta de ensamblaje.
- Seleccione Ninguna o Información de firmas dedicada como
vía de acceso del certificado. Seleccione Ninguna cuando el
generador de señales no utilice el tipo de señal PKCS número 7. Cuando el
generador de señales utilice la señal de tipo PKCS número 7 y desea empaquetar
listas de revocación de certificados (CRL) en la señal de seguridad, seleccione
Información de firmas dedicada y seleccione un almacén de certificados de
colecciones. Para configurar un almacén de certificados de colecciones y listas de
revocación de certificados para los enlaces de generador en el nivel de la
aplicación, siga estos pasos:
- Pulse Aplicaciones > Tipos de aplicaciones > Aplicaciones de empresa WebSphere > nombre_aplicación .
- En Elementos relacionados, pulse Módulos EJB o Módulos web > nombre_URI.
- En Propiedades adicionales, puede acceder a la configuración del
almacén de certificados de colecciones para los enlaces siguientes:
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web: Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades adicionales, pulse Almacén de certificados de colecciones.
Consulte también la información que trata de la configuración de almacenes de certificados de colecciones.
- Opcional: Seleccione la opción Añadir nonce. Esta opción indica si se incluye un Nonce en la señal de nombre de usuario para
el generador de señales. Nonce es un número criptográfico exclusivo que se
incorpora en un mensaje para facilitar la detención de repetidos ataques no
autorizados de señales de nombre de usuario. La opción Añadir Nonce
solamente es válida cuando el tipo de señal generado es una señal de nombre de
usuario y sólo está disponible para el enlace del generador de solicitudes.
Si selecciona la opción Añadir Nonce, puede especificar las siguientes propiedades en Propiedades adicionales. El consumidor de solicitudes utiliza estas propiedades.
Tabla 1. Propiedades adicionales de Nonce. Utilice las propiedades nonce para incluir nonce en el símbolo de nombre de usuario. Nombre de propiedad Valor por omisión Explicación com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout 600 segundos Especifica el valor de tiempo de espera en segundos del valor de nonce que se almacena en la memoria caché del servidor. com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew 0 segundos Especifica la cantidad de tiempo en segundos antes de que caduque la indicación de la hora de Nonce. com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge 300 segundos Especifica el valor de desfase horario en segundos a tener en cuenta cuando WebSphere Application Server comprueba la puntualidad del mensaje. En los niveles de célula y servidor, puede especificar estas propiedades adicionales para un Nonce en el panel Enlaces predeterminados para Web Services Security en la consola administrativa.- Para el nivel de célula, pulse Seguridad > Servicios Web.
- Para el nivel de servidor, pulse Servidores > Tipos de servidor > WebSphere
Application Servers > nombre_servidor.En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o anterior, pulse Servicios web: enlaces predeterminados para Web Services Security.mixv
- Opcional: Seleccione la opción Añadir indicación de la hora. Esta opción indica si se debe insertar una indicación de la hora en la señal de nombre de usuario. La opción Añadir indicación de la hora solamente es válida cuando el tipo de señal generado es una señal de nombre de usuario y sólo está disponible para el enlace del generador de solicitudes.
- Especifique el nombre local del tipo de valor en el campo Nombre local. Para una señal de nombre de usuario y una señal de seguridad de certificado
X.509, WebSphereApplication Server proporciona nombres locales definidos
previamente del tipo de valor. Cuando especifique alguno de los siguientes nombres
locales, no es necesario especificar un URI de tipo de valor:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- Este nombre local especifica una señal de nombre de usuario.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Este nombre local especifica una señal de certificado X.509.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Este nombre local especifica certificados X.509 en una vía de acceso PKI (infraestructura de claves públicas).
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- Este nombre local especifica una lista de certificados X.509 y listas de revocación de certificados en un formato PKCS número 7.
Para una señal LTPA, puede utilizar LTPA como nombre local del tipo de valor y http://www.ibm.com/websphere/appserver/tokentype/5.0.2 como URI (identificador de recursos uniforme) del tipo de valor. En la propagación de señales LTPA, puede utilizar LTPA_PROPAGATION de nombre local del tipo de valor y http://www.ibm.com/websphere/appserver/tokentype de URI del tipo de valor.
- Opcional: Especifique el URI del tipo de valor en el campo URI. Esta entrada especifica el URI de espacio de nombres del tipo de valor de la señal generada.
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse el nombre de la configuración del generador de señales.
- En Propiedades adicionales, pulse Manejador de retorno de llamada.
- Especifique los valores del manejador de retorno de llamada.
- Especifique un nombre de clase en el campo Nombre de clase del manejador de devolución de llamada. Este nombre de clase es el nombre de la clase de implementación del manejador
de retorno de llamada que se utiliza para conectar una infraestructura de señales
de seguridad. La clase de manejador de retorno de llamada especificada debe
implementar la interfaz javax.security.auth.callback.CallbackHandler y debe
proporcionar un constructor utilizando la siguiente sintaxis:
MyCallbackHandler(String username, char[] password, java.util.Map properties)
Donde:- nombre de usuario
- Especifica el nombre de usuario que se pasa a la configuración.
- password
- Especifica la contraseña que se pasa a la configuración.
- propiedades
- Especifica las otras propiedades de configuración que se pasan a la configuración.
Este constructor es necesario si el manejador de retorno de llamada necesita un nombre de usuario y una contraseña. No obstante, si el manejador de retorno de llamada no necesita un nombre de usuario y una contraseña como, por ejemplo, X509CallbackHandler, utilice un constructor con la sintaxis siguiente:MyCallbackHandler(java.util.Map properties)
WebSphere Application Server proporciona las siguientes implementaciones de manejador de retorno de llamada predeterminado:- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Este manejador de retorno de llamada utiliza un indicador de inicio de sesión para reunir la información de nombre de usuario y contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, no se muestra un indicador y WebSphere Application Server devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java™ Platform, Enterprise Edition (Java EE). Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Este manejador de retorno de llamada no emite un indicador y devuelve el nombre de usuario y la contraseña si se ha especificado en este panel. Puede utilizar este manejador de retorno de llamada cuando el servicio web actúe como un cliente.Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Este manejador de retorno de llamada utiliza un indicador de inicio de sesión estándar para reunir la información sobre el nombre de usuario y la contraseña. No obstante, si especifica el nombre de usuario y la contraseña en este panel, WebSphere Application Server no emite un indicador sino que devuelve el nombre de usuario y la contraseña al generador de señales. Utilice esta implementación sólo para un cliente de aplicación Java Platform, Enterprise Edition (Java EE). Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Este manejador de retorno de llamada se utiliza para obtener la señal de seguridad LTPA (Lightweight Third Party Authentication) desde el sujeto de la invocación RunAs. Esta señal se inserta en la cabecera de seguridad de los servicios web en un mensaje SOAP como una señal de seguridad binaria. No obstante, si especifica el nombre de usuario y la contraseña en este panel, WebSphere Application Server autentica el nombre de usuario y la contraseña para obtener la señal de seguridad LTPA, en lugar de obtenerlo del sujeto RunAs. Utilice este manejador de retorno de llamada cuando el servicio web actúe como un cliente en el servidor de aplicaciones. Se le recomienda que no utilice el manejador de retorno de llamada en un cliente de aplicaciones Java EE. Si utiliza esta implementación, debe proporcionar un ID de usuario y una contraseña de autenticación básica en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Este manejador de retorno de llamada se utiliza para crear el certificado X.509 que se inserta en la cabecera de seguridad de los servicios web en el mensaje SOAP como una señal de seguridad binaria. Para este manejador de retorno de llamada es necesario un almacén de claves y una definición de claves. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- El manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PKCS número 7. El certificado se inserta en la cabecera de seguridad de los servicios web del mensaje SOAP como una señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. Puede especificar una lista de revocación de certificados (CRL) en el almacén de certificados de colecciones. El CRL se codifica con el certificado X.509 con el formato PKCS número 7. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Este manejador de retorno de llamada se utiliza para crear certificados X.509 codificados con el formato PkiPath. El certificado se inserta en la cabecera de Web Services Security en el mensaje SOAP como señal de seguridad binaria. Se necesita un almacén de claves para este manejador de retorno de llamada. El manejador de retorno de llamada no soporta CRL; por lo tanto, no es necesario ni se utiliza el almacén de certificados de colecciones. Si utiliza esta implementación, debe proporcionar una contraseña, una vía de acceso y un tipo de almacén de claves en este panel.
La implementación del manejador de retorno de llamada obtiene la señal de seguridad necesaria y la pasa al generador de señales. El generador de señales inserta la señal de seguridad en la cabecera de seguridad de los servicios web del mensaje SOAP. Asimismo, el generador de señales es el punto de conexión de la infraestructura de señales de seguridad conectable. Los suministradores de servicio pueden proporcionar su propia implementación, pero la implementación debe utilizar la interfaz com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent.
- Opcional: Seleccione la opción Utilizar la aserción de identidad. Seleccione esta opción si ha definido la aserción de identidad en el descriptor de despliegue extendido de IBM®. Esta opción indica que solamente es necesaria la identidad del emisor inicial y se insertará en la cabecera de seguridad de los servicios web del mensaje SOAP. Por ejemplo, WebSphere Application Server sólo envía el nombre de usuario del interlocutor original de un generador de señales de nombre de usuario. Un generador de señales X.509, el servidor de aplicaciones envía solamente el certificado de firmante original.
- Opcional: Seleccione la opción Utilizar identidad RunAs. Seleccione esta opción si ha definido la aserción de identidad del descriptor de IBM Extended Deployment y desea utilizar la identidad RunAs en lugar de la identidad del emisor inicial para la aserción de identidad en una llamada en sentido descendente. Esta opción sólo es válida si ha configurado el generador de señales del nombre de usuario como un generador de señales.
- Opcional: Especifique el ID de usuario de autenticación
básica en el campo ID de usuario de autenticación básica. Esta entrada
especifica el nombre de usuario que se pasa a los constructores de la implementación
del manejador de retorno de llamada. Se utiliza el nombre de usuario y la
contraseña de autenticación básica si ha especificado una de las siguientes
implementaciones del manejador de retorno de llamada predeterminado en el campo Nombre
de la clase del manejador de retorno de llamada:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Opcional: Especifique la contraseña de autenticación básica en el campo Contraseña de autenticación básica. Esta entrada especifica la contraseña que se pasa a los constructores de la implementación del manejador de retorno de llamada.
- Opcional: Especifique la contraseña del almacén de claves
en el campo Contraseña del almacén de claves. Esta entrada especifica la
contraseña que se utiliza para acceder al archivo de almacén de claves. Se utilizan
el almacén de claves y su configuración si selecciona una de las implementaciones
del manejador de retorno de llamada predeterminado siguientes que proporciona WebSphere
Application Server:
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Se utiliza el almacén de claves para crear el certificado X.509 con la vía de acceso de certificado.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Se utiliza el almacén de claves para recuperar el certificado X.509.
- Opcional: Especifique la vía de acceso del almacén de claves en el campo Vía de acceso. Se recomienda utilizar ${USER_INSTALL_ROOT} en el nombre de vía de acceso ya que esta variable se amplía hasta la vía de acceso de WebSphere Application Server de la máquina. Para cambiar la vía de acceso utilizada por esta variable, pulse Entorno > Variables de WebSphere y pulse USER_INSTALL_ROOT. Este campo es necesario cuando se utilizan las implementaciones del manejador de retorno de llamada com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler, com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler o com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.
- Opcional: Seleccione el tipo de almacén de claves en el
campo Tipo. Esta selección indica el formato que utiliza el archivo de
almacén de claves.
Puede seleccionar uno de los valores siguientes para este campo:
- JKS
- Utilice esta opción si el almacén de claves utiliza el formato JKS (Java Keystore).
- JCEKS
- Utilice esta opción si se configura Java Cryptography Extension en SDK (Software Development Kit). De forma predeterminada, IBM JCE está configurado en WebSphere Application Server. Esta opción proporciona una mayor protección para las claves privadas almacenadas utilizando el cifrado Triple DES.
- JCERACFKS
- Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
- PKCS11KS (PKCS11)
- Utilice este formato si el almacén de claves utiliza el formato de archivo PKCS número 11. Los almacenes de claves que utilizan este formato pueden contener claves RSA en el hardware criptográfico o pueden cifrar claves que utilicen hardware criptográfico para garantizar la protección.
- PKCS12KS (PKCS12)
- Utilice esta opción si el almacén de claves utiliza el formato de archivo PKCS número 12.
- Especifique un nombre de clase en el campo Nombre de clase del manejador de devolución de llamada. Este nombre de clase es el nombre de la clase de implementación del manejador
de retorno de llamada que se utiliza para conectar una infraestructura de señales
de seguridad. La clase de manejador de retorno de llamada especificada debe
implementar la interfaz javax.security.auth.callback.CallbackHandler y debe
proporcionar un constructor utilizando la siguiente sintaxis:
- Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.
- Pulse el nombre de la configuración del generador de señales.
- En Propiedades adicionales, pulse Manejador de retorno de llamada > Claves.
- Especifique el nombre de clave, el alias de clave y la contraseña
de clave.
- Pulse Nuevo para crear una configuración de clave, pulse Suprimir para suprimir una configuración existente o pulse el nombre de una configuración de clave existente para editar sus valores. Si crea una configuración nueva, especifique un nombre exclusivo en el campo Nombre de clave. Para las firmas digitales, la información de firmas del generador de solicitudes o del generador de respuestas utiliza el nombre de claves para determinar qué clave se utiliza para firmar digitalmente el mensaje. Para el cifrado, se utiliza el nombre de clave para determinar la clave que se utiliza para el cifrado. El nombre de clave debe ser un nombre distinguido y con todos los calificadores. Por ejemplo, CN=Bob,O=IBM,C=US.
- Especifique el alias de clave en el campo Alias de clave. El localizador de claves utiliza el alias de clave para buscar la clave dentro del archivo del almacén de claves.
- Especifique la contraseña de clave en el campo Contraseña de clave. Esta contraseña es necesaria para acceder al objeto de clave en el archivo de almacén de claves.
- Pulse Aceptar y Guardar para guardar la configuración.
Resultados
Qué hacer a continuación
Subtopics
Valores de configuración del Enlace del generador (remitente) de solicitudes
Utilice esta página para especificar la configuración del enlace del generador de solicitudes.Valores de configuración del Enlace del generador (remitente) de respuestas
Utilice esta página para especificar la configuración del enlace del generador de respuestas o remitente de respuestas.Valores de configuración de manejador de devolución de llamada para JAX-RPC
Utilice esta página para especificar cómo adquirir la señal de seguridad que se inserta en la cabecera de seguridad de los servicios web para JAX-RPC dentro del mensaje SOAP. La adquisición de la señal es una infraestructura conectable que refuerza la interfaz JAAS (Java Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler para adquirir la señal de seguridad.Grupo de claves
Utilice esta página para ver una lista de nombres lógicos que se correlaciona con un alias de clave en el archivo de almacén de claves.Valores de configuración de claves
Utilice esta página para definir la correlación de un nombre lógico con un alias de clave en un archivo de almacén de claves.Servicios web: grupo de enlaces de seguridad del cliente
Utilice esta página para ver una lista de configuraciones de enlaces de cliente a nivel de aplicación para Web Services Security. Estos enlaces se utilizan cuando un servicio web es cliente de otro servicio web.Servicios web: grupo de enlaces de seguridad del servidor
Utilice esta página para ver una lista de configuraciones de enlaces de servidor para Web Services Security.Valores de configuración del Enlace del generador (remitente) de solicitudes
Utilice esta página para especificar la configuración del enlace del generador de solicitudes.Valores de configuración del Enlace del generador (remitente) de respuestas
Utilice esta página para especificar la configuración del enlace del generador de respuestas o remitente de respuestas.Valores de configuración de manejador de devolución de llamada para JAX-RPC
Utilice esta página para especificar cómo adquirir la señal de seguridad que se inserta en la cabecera de seguridad de los servicios web para JAX-RPC dentro del mensaje SOAP. La adquisición de la señal es una infraestructura conectable que refuerza la interfaz JAAS (Java Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler para adquirir la señal de seguridad.Grupo de claves
Utilice esta página para ver una lista de nombres lógicos que se correlaciona con un alias de clave en el archivo de almacén de claves.Valores de configuración de claves
Utilice esta página para definir la correlación de un nombre lógico con un alias de clave en un archivo de almacén de claves.Servicios web: grupo de enlaces de seguridad del cliente
Utilice esta página para ver una lista de configuraciones de enlaces de cliente a nivel de aplicación para Web Services Security. Estos enlaces se utilizan cuando un servicio web es cliente de otro servicio web.Servicios web: grupo de enlaces de seguridad del servidor
Utilice esta página para ver una lista de configuraciones de enlaces de servidor para Web Services Security.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengenapp
File name: twbs_configtokengenapp.html