Configuraciones de ejemplo por omisión para JAX-RPC
Utilice configuraciones de ejemplo con la consola administrativa para hacer pruebas. Las configuraciones que especifique se reflejan a nivel de célula o servidor.
Esta información describe los enlaces por omisión de ejemplo, almacenes de claves, ubicadores de claves, almacén de certificados de colecciones, anclas de confianza y evaluadores de ID de confianza para WebSphere Application Server utilizando el modelo de programación de la API para RPC basado en XML (JAX-RPC). Puede desarrollar servicios web utilizando el modelo de programación de la API de Java™ para RPC basado en XML (JAX-RPC) o para WebSphere Application Server versión 7 y posteriores, utilizando el modelo de programación de la API de Java para servicios Web basados en XML (JAX-WS). Enlaces por omisión de ejemplo, almacenes de claves, ubicadores de claves, almacén de certificados de colección, anclas de confianza, evaluador de ID de confianza pueden diferir, según el modelo de programación que utilice.

No utilice estas configuraciones en un entorno de producción ya que únicamente son para fines de ejemplo y comprobación. Para modificar estas configuraciones de ejemplo, se recomienda que utilice la consola administrativa que proporciona WebSphere Application Server.
En una aplicación habilitada para Web Services Security, debe configurar correctamente un descriptor de despliegue y un enlace. En WebSphere Application Server, un conjunto de enlaces por omisión se comparte entre las aplicaciones para que el despliegue de la aplicación sea más sencillo. La información de enlace por omisión a nivel de célula y a nivel de servidor se puede alterar temporalmente mediante la información de enlace a nivel de aplicación. El servidor de aplicaciones busca la información de enlaces para una aplicación a nivel de aplicación antes de buscarla a nivel de servidor y, posteriormente, a nivel de célula.
Las configuraciones de ejemplo siguientes son para WebSphere Application Server utilizando el modelo de programación de la API para RPC basado en XML (JAX-RPC).
Enlace de generador predeterminado
WebSphere Application Server proporciona un conjunto de ejemplo de enlaces de generador por omisión. Los enlaces del generador por omisión contienen información de firmado y de cifrado.
- Utiliza los algoritmos siguientes para la configuración gen_signinfo:
- Método de firma: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Método de canonicalización: http://www.w3.org/2001/10/xml-exc-c14n#
- Hace referencia a la información de claves de firma gen_signkeyinfo.
La información siguiente pertenece a la configuración de gen_signkeyinfo:
- Contiene una configuración de referencia de partes que se denomina gen_signpart.
La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de gen_signpart:
- Utiliza la configuración de transformación denominada transform1.
Las transformaciones siguientes se han configurado para la información de firmas por omisión.
- Utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#
- Utiliza el método de conversión http://www.w3.org/2000/09/xmldsig#sha1
- Utiliza la configuración de transformación denominada transform1.
Las transformaciones siguientes se han configurado para la información de firmas por omisión.
- Utiliza la referencia de señal de seguridad, que es la información de claves por omisión configurada.
- Utiliza el localizador de claves SampleGeneratorSignatureKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
- Utiliza el generador de claves gen_signtgen que contiene la
configuración siguiente:
- Contiene el generador de señales X.509 que genera la señal X.509 del firmante.
- Contiene el URI del tipo de valor gen_signtgen_vtype.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
- Utiliza el manejador de retorno de llamada X.509. El manejador de retorno de llamada llama
al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- La contraseña del almacén de clave es client.
- El nombre de alias del certificado de confianza es soapca.
- El nombre de alias del certificado personal es soaprequester.
- El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
- Contiene una configuración de referencia de partes que se denomina gen_signpart.
La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de gen_signpart:
- Utiliza los algoritmos siguientes para la configuración gen_encinfo:
- Método de cifrado de datos: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Método de cifrado de claves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Hace referencia a la información de clave de cifrado de gen_enckeyinfo.La información siguiente pertenece a la configuración de gen_enckeyinfo:
- Utiliza el identificador de claves como información de claves por omisión.
- Contiene una referencia al localizador de claves SampleGeneratorEncryptionKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
- Utiliza el generador de claves gen_signtgen que tiene la configuración siguiente:
- Contiene el generador de señales X.509 que genera la señal X.509 del firmante.
- Contiene el URI del tipo de valor gen_enctgen_vtype.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
- Utiliza el manejador de retorno de llamada X.509. El manejador de retorno de llamada llama
al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
- La contraseña del almacén de clave es storepass.
- La clave secreta CN=Group1 tiene un nombre de alias de Group1 y una contraseña de claves de keypass.
- La clave pública CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves de keypass.
- La clave privada CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves de keypass.
Enlace de consumidor predeterminado
WebSphere Application Server proporciona un conjunto de ejemplo de enlaces de consumidor por omisión. Los enlaces del consumidor por omisión contienen información de firmado y de cifrado.
- Utiliza los algoritmos siguientes para la configuración con_signinfo:
- Método de firma: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Método de canonicalización: http://www.w3.org/2001/10/xml-exc-c14n#
- Utiliza la referencia de información de claves de firma con_signkeyinfo. La información siguiente pertenece a la configuración de con_signkeyinfo:
- Contiene una configuración de referencia de partes que se denomina con_signpart.
La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de con_signpart:
- Utiliza la configuración de transformación denominada reqint_body_transform1.
Las transformaciones siguientes se han configurado para la información de firmas por omisión.
- Utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#
- Utiliza el método de conversión http://www.w3.org/2000/09/xmldsig#sha1.
- Utiliza la configuración de transformación denominada reqint_body_transform1.
Las transformaciones siguientes se han configurado para la información de firmas por omisión.
- Utiliza la referencia de señal de seguridad, que es la información de claves por omisión configurada.
- Utiliza el localizador de claves SampleX509TokenKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
- Hace referencia a la configuración de consumidor de señales con_signtcon.
La información siguiente pertenece a la configuración de con_signtcon:
- Utiliza el consumidor de señales X.509 que se configura como el consumidor para la información de firmas por omisión.
- Contiene el URI de tipo de valor signtconsumer_vtype.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
- Contiene una configuración JAAS denominada system.wssecurity.X509BST que hace referencia a la información siguiente:
- Ancla de confianza: SampleClientTrustAnchor
- Almacén de certificados de la colección: SampleCollectionCertStore
- Contiene una configuración de referencia de partes que se denomina con_signpart.
La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de con_signpart:
- Utiliza los algoritmos siguientes para la configuración con_encinfo:
- Método de cifrado de datos: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Método de cifrado de claves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Hace referencia a la información de claves de cifrado con_enckeyinfo. Esta clave realmente descifra el mensaje. La información siguiente pertenece a la configuración de con_enckeyinfo:
- Utilice el identificador de claves que se configura como la información de claves para la información de cifrado por omisión.
- Contiene una referencia al localizador de clavesSampleConsumerEncryptionKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
- Hace referencia a la configuración de consumidor de señales con_enctcon.
La información siguiente pertenece a la configuración de con_enctcon:
- Utiliza el consumidor de señales X.509 que se configura para la información de cifrado por omisión.
- Contiene el URI de tipo de valor enctconsumer_vtype.
- Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
- Contiene una configuración JAAS denominada system.wssecurity.X509BST.
Configuraciones de almacén de claves de ejemplo
![[Windows]](../images/windows.gif)
- El programa de utilidad iKeyman se encuentra en el directorio siguiente: raíz_servidor_aplicaciones/bin/ikeyman
- La herramienta de claves se encuentra en el directorio siguiente: raíz_servidor_aplicaciones/java/jre/bin/keytool
![[AIX HP-UX Solaris]](../images/unix.gif)
![[Linux]](../images/linux.gif)
- El programa de utilidad iKeyman se encuentra en el directorio siguiente: raíz_servidor_aplicaciones\bin\ikeyman.sh
- La herramienta de claves se encuentra en el directorio siguiente: raíz_servidor_aplicaciones\java\jre\bin\keytool.sh
Los almacenes de claves de ejemplo siguientes son sólo de prueba; no utilice estos almacenes de claves en un entorno de producción:
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- El formato de almacén de claves es JKS.
- La contraseña del almacén de clave es client.
- El certificado de confianza tiene un nombre de alias soapca.
- El certificado personal tiene un nombre de alias soaprequester y una contraseña de claves de client que emite la autoridad certificadora de intermediarios Int CA2 que, a su vez, la emite soapca.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- El formato de almacén de claves es JKS.
- La contraseña del almacén de clave es server.
- El certificado de confianza tiene un nombre de alias soapca.
- El certificado personal tiene un nombre de alias soapprovider y una contraseña de claves de server que emite la autoridad certificadora de intermediarios Int CA2 que, a su vez, la emite soapca.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- El formato de almacén de claves es JCEKS.
- La contraseña del almacén de clave es storepass.
- La clave secreta DES CN=Group1 tiene un nombre de alias Group1 y una contraseña de claves keypass.
- La clave pública CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves keypass.
- La clave privada CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- El formato de almacén de claves es JCEKS.
- La contraseña del almacén de clave es storepass.
- La clave secreta DES CN=Group1 tiene un nombre de alias Group1 y una contraseña de claves keypass.
- La clave privada CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves keypass.
- La clave pública CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- El certificado de intermediarios lo firma soapca que también firma soaprequester y soapprovider.
Localizadores de claves de ejemplo
- Configuración del localizador de claves utilizando JAX-RPC para el enlace de generador en el nivel de aplicación
- Configuración del localizador de claves utilizando JAX-RPC para el enlace de consumidor en el nivel de aplicación
- Configuración del localizador de claves utilizando JAX-RPC en el nivel de servidor o de célula
- SampleClientSignerKey
- Este localizador de claves lo utiliza el emisor de peticiones para que una aplicación de la Versión 5.x firme el mensaje SOAP. El nombre de la clave de firmas es clientsignerkey, al que se hace referencia en la información de firmas como el nombre de claves de firma.
- SampleServerSignerKey
- Este localizador de claves lo utiliza el emisor de respuestas para que una aplicación de la Versión 5.x firme el mensaje SOAP. El nombre de clave de firma es serversignerkey, al que se puede hacer referencia en la información de firmas como el nombre de clave de firma.
- SampleSenderEncryptionKeyLocator
- Este localizador de claves lo utiliza el emisor para que una aplicación de la Versión 5.x cifre el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. La implementación se configura para la clave secreta DES. Para utilizar cifrado asimétrico (RSA), debe añadir las claves RSA adecuadas.
- SampleReceiverEncryptionKeyLocator
- Este localizador de clase lo utiliza el receptor para que una aplicación de la Versión 5.x descifre el mensaje SOAP cifrado. La implementación se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. La implementación se configura para cifrado simétrico (DES o TRIPLEDES). Para utilizar RSA, debe añadir la clave privada CN=Bob, O=IBM, C=US, nombre de alias bob y contraseña clave keypass.
- SampleResponseSenderEncryptionKeyLocator
- Este localizador de claves lo utiliza el emisor de respuestas para que una aplicación de la Versión 5.x cifre el mensaje de respuesta SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator. Este ubicador de claves correlaciona una identidad autenticada (de la hebra actual) con una clave pública para cifrado. De forma predeterminada, se ha configurado WebSphere Application Server para correlacionarse con la clave pública alice; debe cambiar WebSphere Application Server al usuario correspondiente. El localizador de claves SampleResponseSenderEncryptionKeyLocator también puede establecer de manera predeterminada una clave para cifrado. Por omisión, se configura este localizador de claves para que utilice la clave pública alice.
- SampleGeneratorSignatureKeyStoreKeyLocator
- Este localizador de claves lo utiliza el generador para firmar el mensaje SOAP. El nombre de la clave de firmas es SOAPRequester, al que se hace referencia en la información de firmas como el nombre de clave de firma. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleConsumerSignatureKeyStoreKeyLocator
- Habrá especificado qué métodos utiliza el consumidor para verificar la firma digital en el mensaje SOAP. La clave de firmas es SOAPProvider, a la que se hace referencia en la información de firmas. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleGeneratorEncryptionKeyStoreKeyLocator
- Este localizador de claves lo utiliza el generador para cifrar el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleConsumerEncryptionKeyStoreKeyLocator
- Este localizador de claves lo utiliza el generador para cifrar y descifrar el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleX509TokenKeyLocator
- Este localizador de claves lo utiliza el consumidor para verificar un certificado digital en un certificado X.509. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
Almacén de certificados de colecciones de ejemplo
- Configuración de los almacenes de certificados de colecciones para el enlace del generador en el nivel de aplicación
- Configuración de los almacenes de certificados de colecciones para el enlace de consumidor en el nivel de aplicación
- Configuración del certificado de colecciones a nivel de servidor o de célula
- SampleCollectionCertStore
- Este almacén de certificados de colecciones lo utiliza el consumidor de respuestas y el generador de peticiones para validar la vía de acceso del certificado de firmante.
Anclas de confianza de ejemplo
- Configuración de anclas de confianza para el enlace del generador en el nivel de aplicación
- Configuración de anclas de confianza para el enlace de consumidor en el nivel de aplicación
- Configuración de anclas de confianza a nivel de servidor o de célula
- SampleClientTrustAnchor
- Esta ancla de confianza la utiliza el consumidor de respuestas para validar el certificado de firmante. Este ancla de confianza está configurado para acceder al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- SampleServerTrustAnchor
- Esta ancla de confianza la utiliza el consumidor de peticiones para validar el certificado de firmante. Este ancla de confianza está configurado para acceder al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
Evaluadores de ID de confianza de ejemplo
- SampleTrustedIDEvaluator
- Este evaluador de ID de confianza utiliza la implementación com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. La implementación
predeterminada de com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator
contiene una lista de identidades de confianza. Esta lista, que se utiliza en la aserción de identidades, define el par de nombre de clave y valor de la identidad de confianza. El nombre de clave tiene el formato trustedId_* y el valor es la identidad de
confianza. Para obtener más información, consulte el ejemplo en Configuración de los evaluadores de ID de confianza a nivel de servidor o de célula.Efectúe los pasos siguientes para definir esta información a nivel de célula en la consola administrativa:
- Pulse Seguridad > Servicios Web.
- En Propiedades adicionales, pulse Evaluadores de ID de confianza > SampleTrustedIDEvaluator.