Puede configurar la información de
firmante de los enlaces del generador de solicitudes en el cliente y del generador de
respuestas en el servidor a nivel de servidor o de célula.
Antes de empezar
Nota: Sólo para WebSphere Application Server versión 6.x o anterior, en el archivo de extensiones del lado del servidor (ibm-webservices-ext.xmi) y en el archivo de extensiones del descriptor de despliegue del cliente (ibm-webservicesclient-ext.xmi), debe especificar qué partes del mensaje están firmadas. Asimismo, debe configurar la
información de claves que aparece referenciada en las referencias de información de
claves en el panel Información de firmas en la consola administrativa.
Acerca de esta tarea
En esta tarea se explican los pasos necesarios para configurar la información
de firmas de los enlaces del generador de solicitudes en el lado del cliente y del generador de
respuestas en el lado del servidor a nivel de servidor o de célula. WebSphere Application Server utiliza la información de firmas para que el generador predeterminado firme partes del mensaje que incluyen el cuerpo, la indicación de la hora y la señal de nombre de usuario si estos enlaces no están definidos en el nivel de
aplicación.
WebSphere Application Server
proporciona valores predeterminados para los enlaces. Sin embargo, un administrador debe
modificar los valores predeterminados para un entorno de producción.
Puede configurar la información de firmas para el enlace de consumidor en el nivel de servidor y el nivel de célula. En los pasos siguientes, utilice
el primer paso para acceder a los enlaces predeterminados de nivel de servidor y utilice el segundo paso para acceder a los enlaces de nivel de célula.
Procedimiento
- Acceda a los enlaces predeterminados para el nivel de servidor.
- Pulse .
- En Seguridad, pulse Tiempo de ejecución de seguridad JAX-WS y JAX-RPC.
Mixed-version environment: En una célula de nodo mixto con un WebSphere Application Server versión 6.1 o
anterior, pulse
Servicios web: enlaces predeterminados para Web Services Security.
mixv
- Pulse para acceder a los enlaces predeterminados en el nivel de célula.
- En Enlaces de consumidor predeterminados, pulse Información de firmas.
- Pulse Nuevo para crear una configuración de información de firmas,
pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de
una configuración de información de firmas existente para editar los valores. Si está editando una nueva configuración, especifique un nombre exclusivo para la
información de firmas en el campo Nombre de la información de firmas. Por ejemplo, puede especificar gen_signinfo.
Avoid trouble: Si crea más de una configuración de información de firmas, el entorno de ejecución de WS-Security sólo respeta la primera configuración que aparece en la lista de archivo de enlaces.
gotcha
- Seleccione un algoritmo de método de firma del campo Método de firma. El algoritmo especificado para el consumidor predeterminado debe coincidir con el
algoritmo especificado para el generador predeterminado. WebSphere
Application Server admite los algoritmos preconfigurados siguientes:
- Seleccione un método de canonicalización en el campo Método de
canonicalización. El algoritmo de canonicalización especificado para el
generador debe coincidir con el algoritmo del consumidor. WebSphere Application Server da soporte a los siguientes algoritmos preconfigurados de
XML canónico y de Canonicalización exclusiva de XML:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Seleccione un tipo de firma de información de claves del campo Tipo de firma
de información de claves. El tipo de firma de información de claves determina cómo firmar digitalmente
la clave. WebSphere Application Server da soporte a los tipos de firmas siguientes:
- Ninguno
- Especifica que no se ha firmado el elemento KeyInfo.
- Keyinfo
- Especifica que se firma todo el elemento KeyInfo.
- Keyinfochildelements
- Especifica que se firman los elementos hijos del elemento KeyInfo.
El tipo de firma de información de claves para el consumidor debe
coincidir con el tipo de firma del generador. Se pueden dar las situaciones siguientes:
- Si no especifica uno de los tipos de firma previos, WebSphere Application Server
utiliza keyinfo, de manera predeterminada.
- Si selecciona Keyinfo o Keyinfochildelements y selecciona
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como algoritmo de transformación en un paso posterior, WebSphere Application Server
firmará también la señal referenciada.
- Pulse Aceptar para guardar la configuración.
- Pulse el nombre de la nueva configuración de información de firma. Esta configuración es la que ha especificado en los pasos anteriores.
- Especifique la referencia de información de claves, el algoritmo de resumen
y el algoritmo de transformación.
- En Propiedades adicionales, pulse para crear una nueva referencia, pulse para suprimir una referencia existente o pulse un nombre de referencia para editar
una referencia de información de claves existente.
- Especifique un nombre para la configuración en el campo Name (Nombre). Por ejemplo, especifique con_skeyinfo.
- Seleccione una referencia de información de claves del campo Referencia de
información de claves. La referencia de información de claves apunta a la clave que utiliza
WebSphere Application Server para la firma digital. En los archivos de
enlace, la referencia se especifica en el elemento <signingKeyInfo>. El elemento de información de claves especifica la clave utilizada para firmar y se define
en el mismo nivel que la información de firmas. Para obtener más información, consulte Configuración de la información de claves mediante JAX-RPC para el enlace del consumidor en el nivel de la aplicación.
- Pulse Aceptar y Guardar para guardar la configuración.
- En Propiedades adicionales, pulse para
crear una nueva referencia de parte, pulse para suprimir
una referencia de parte existente o bien pulse un nombre de parte para editar una referencia de parte existente. La referencia de parte especifica las partes del mensaje que deben
firmarse digitalmente. El atributo part hace referencia al nombre del elemento <RequiredIntegrity> en el descriptor de despliegue, cuando se
especifica <PartReference> para la firma digital. WebSphere Application Server le permite especificar varios elementos
<PartReference> para el elemento <SigningInfo>. El elemento <PartReference> tiene dos
elementos hijo: <DigestMethod> y <Transform>.
- Especifique un nombre de parte exclusivo para esta referencia de partes. Por ejemplo,
puede especificar reqint.
Importante: No es necesario especificar un valor en el campo Referencia de parte como se especifica a nivel de aplicación porque la referencia de parte a nivel
de la aplicación señala a una parte concreta del mensaje que está firmado. No puede especificar este valor porque los enlaces predeterminados en el nivel de servidor y
de célula se pueden aplicar a todos los servicios definidos en un servidor en particular.
- Seleccione un algoritmo de método de conversión en el campo Algoritmo del
método de conversión. Algoritmo de método de numeración especificado en el elemento <DigestMethod> utilizado en el
elemento <SigningInfo>.
WebSphere Application Server da soporte a los algoritmos siguientes:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse el nombre de la nueva configuración de referencia de partes. Esta configuración es la que ha especificado en los pasos anteriores.
- En Propiedades adicionales, pulse para crear una transformación nueva,
pulse para suprimir una transformación o bien pulse un nombre de
transformación para editar una transformación existente. Si crea una nueva configuración de transformación, especifique un nombre
exclusivo. Por ejemplo, puede
especificar reqint_body_transform1.
- Seleccione un algoritmo de transformación en el menú. El algoritmo de transformación se especifica en el elemento <Transform>. Especifica el algoritmo de transformación para la firma. WebSphere Application Server da soporte a los algoritmos siguientes:
El algoritmo de transformación que seleccione para el consumidor debe coincidir
con el algoritmo de transformación que seleccione para el generador.
Importante: Si se cumplen las dos condiciones siguientes,
WebSphere Application
Server firma la señal referenciada:
- Ha seleccionado anteriormente la opción Keyinfo o Keyinfochildelements en el campo
Tipo de firma de información de claves en el panel de información de firma.
- Ha seleccionado
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como algoritmo de transformación.
- Pulse Aceptar.
- Pulse Guardar para guardar la configuración.
Resultados
Después de realizar estos cambios, habrá configurado la información de
firmante para el consumidor a nivel de servidor
o de célula.
Qué hacer a continuación
Debe especificar una configuración de información de firmas similar para el
generador.