Configuración del cliente para la verificación de la firma digital de respuestas: elección del método de verificación

Puede configurar las extensiones y los enlaces de seguridad de servicios web con los separadores Extensión de WS y Enlace de WS del Editor de servicios web de la herramienta de ensamblaje.

Antes de empezar

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6 y posteriores. La información sólo da soporte a aplicaciones de la versión 5.x que se utilizan con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.
Antes de completar estos pasos, lea cualquiera de los siguientes temas para familiarizarse con los separadores Extensión de WS y Enlace de WS del Editor de servicios web en las herramientas de ensamblaje de IBM®: Puede utilizar estos dos separadores para configurar las extensiones de Web Services Security y los enlaces de Web Services Security, respectivamente. Asimismo, debe especificar qué partes de mensaje contienen información de firma digital que debe verificar el cliente. Consulte Configuración del cliente para la verificación de la firma digital de respuestas: verificación de las partes del mensaje para especificar qué partes del mensaje debe firmar digitalmente el servidor y debe verificar el cliente. Las partes de mensaje especificadas para el remitente de respuestas de servidor deben coincidir con las partes del mensaje especificadas para el receptor de respuestas de cliente. Del mismo modo, el método de firma digital elegido para el servidor debe coincidir con el método de firma digital utilizado por el cliente.

Acerca de esta tarea

Efectúe los pasos siguientes para configurar el cliente para la verificación de firma digital de respuestas. En los pasos se describe cómo modificar las extensiones para indicar qué método de firma digital utilizará el cliente durante la verificación.

Procedimiento

  1. Inicie la herramienta de ensamblaje. Para obtener más información, consulte la información relacionada con las herramientas de ensamblaje.
  2. Cambie a la perspectiva Java™ Platform, Enterprise Edition (Java EE). Pulse Ventana > Abrir perspectiva > Otros > J2EE.
  3. Pulse Proyectos de cliente de aplicaciones > nombre_aplicación > appClientModule > META-INF.
  4. Pulse con el botón derecho del ratón en el archivo application-client.xml, seleccione Abrir con > Editor de descriptor de despliegue.
  5. Pulse el separador Enlace de WS.
  6. Expanda la sección Configuración de enlace receptor de respuestas de seguridad > Información de firmas.
  7. Pulse Editar para seleccionar un método de firma digital. Aparecerá el diálogo Información de firmante y, a continuación, seleccione o entre la siguiente información:
    • Algoritmo de método de canonicalización
    • Algoritmo de método de conversión
    • Algoritmo de método de firma
    • Nombre de clave de firma
    • Localizador de claves de firmas
    Para obtener más información sobre la firma digital de mensajes SOAP, consulte la firma digital XML. La siguiente tabla describe la finalidad de cada una de estas selecciones. Algunas de las siguientes definiciones se basan en la especificación de firmas XML, que se pueden encontrar en: http://www.w3.org/TR/xmldsig-core.
    Tabla 1. Métodos de firma digital. Utilice los métodos para configurar el cliente para la verificación de firmas digitales de respuesta.
    Name Finalidad
    Algoritmo de método de canonicalización El algoritmo de método de canonicalización se utiliza para canonicalizar el elemento <SignedInfo> antes de su conversión como parte de la operación de firma.
    Algoritmo de método de conversión El algoritmo de método de conversión es el algoritmo que se aplica a los datos después de que se efectúen las transformaciones, si así se especifican, para ceder el elemento <DigestValue>. La firma del elemento <DigestValue> enlaza el contenido del recurso con la clave de firmante. El algoritmo seleccionado para la configuración del receptor de respuestas de cliente debe coincidir con el algoritmo seleccionado en la configuración del remitente de respuestas de servidor.
    Algoritmo de método de firma El método de firma es el algoritmo que se utiliza para convertir el elemento <SignedInfo> canonicalizado en el elemento <SignatureValue>. El algoritmo seleccionado para la configuración del receptor de respuestas de cliente debe coincidir con el algoritmo seleccionado en la configuración del remitente de respuestas de servidor.
    Utilizar referencias de vías de acceso de certificados o Confiar en todos los certificados Cuando se firma un mensaje, la clave pública utilizada para firmar se transmite con el mensaje. Para validar esta clave pública en el extremo receptor, configure una referencia de vías de acceso de certificados. Al seleccionar Utilizar referencias de vías de acceso de certificados debe configurar una referencia de ancla de confianza y una referencia de almacén de certificados para validar el certificado enviado con el mensaje. Al seleccionar Confiar en todos los certificados, el certificado enviado con el mensaje valida la firma sin que se valide dicho certificado.
    Utilizar referencias de vías de acceso de certificados: referencia de ancla de confianza Un ancla de confianza es una configuración que hace referencia a un almacén de claves que contiene certificados autofirmados de confianza y certificados de CA (autoridad certificadora). Estos certificados son certificados de confianza que puede utilizar con cualquier aplicación que tenga desplegada.
    Utilizar referencias de vías de acceso de certificados: referencia de almacén de certificados Un almacén de certificados es una configuración que tiene una colección de certificados X.509. No todas las aplicaciones desplegadas se fían de estos certificados, aunque se pueden utilizar como intermediarios para validar certificados para una aplicación.
  8. Opcional: Seleccione Mostrar sólo algoritmos compatibles con FIPS si desea que en las listas desplegables Algoritmo de método de firma y Algoritmo del método de conversión sólo se muestren los algoritmos compatibles con FIPS. Utilice esta opción si tiene previsto ejecutar esta aplicación en un WebSphere Application Server en el que se ha establecido la opción Utilice los algoritmos del estándar FIPS (Federal Information Processing Standard) de EE.UU. en el panel Gestión de claves y certificados SSL de la consola administrativa de WebSphere Application Server.

Resultados

Importante: Si configura correctamente la información de firmas de cliente y servidor, pero recibe un error El cuerpo soap no está firmado al ejecutar el cliente, es posible que sea necesario configurar el actor. Puede configurar el actor en las siguientes ubicaciones en el cliente del Editor del cliente de servicios web dentro de una herramienta de ensamblaje:
  • Pulse Extensiones de seguridad > Detalles de configuración de servicio de cliente e indique la información de actor en el campo URI de actor.
  • Pulse Extensiones de seguridad > Configuración de emisor de solicitudes > Detalles e indique la información de actor en el campo Actor.
Debe configurar las mismas series de actor para el servicio web en el servidor, que procesa la solicitud y devuelve la respuesta. Configure el actor en las siguientes ubicaciones del Editor de servicios web dentro de una herramienta de ensamblaje:
  • Pulse Extensiones de seguridad > Configuración de servicio de servidor.
  • Pulse Extensiones de seguridad > Detalles de configuración del servicio emisor de respuestas > Detalles e indique la información de actor en el campo Actor.

La información de actor, tanto en el cliente como en el servidor, debe referirse exactamente a la misma serie. Cuando los campos de actor del cliente y del servidor coinciden, se actúa sobre la solicitud o respuesta en lugar de enviarlas en sentido descendente. Los campos de actor podrían ser distintos si tiene servicios web actuando como una pasarela para otros servicios web. Sin embargo, en todos los demás casos, asegúrese de que la información de actor coincide en el cliente y el servidor. Cuando los servicios web actúan como pasarela y no tienen el mismo actor configurado que la solicitud que pasa por la misma, éstos no procesarán el mensaje desde un cliente. De lo contrario, estos servicios web envían la solicitud en sentido descendente. El proceso en sentido descendente que contiene la serie de actor correcta procesa la solicitud. La misma situación ocurre para la respuesta. Por lo tanto, es importante que verifique que los campos de actor de cliente y de servidor estén sincronizados.

Habrá especificado qué métodos utiliza el cliente para verificar la firma digital en las partes de mensaje.

Qué hacer a continuación

Después de configurar el servidor para la firma de respuestas y el cliente para la verificación de firma digital de solicitudes, verifique que haya configurado el cliente y el servidor para que manejen la solicitud de mensaje.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmeth
File name: twbs_confclrespdigsignmeth.html