Configuraciones de ejemplo por omisión para JAX-RPC

Utilice configuraciones de ejemplo con la consola administrativa para hacer pruebas. Las configuraciones que especifique se reflejan a nivel de célula o servidor.

Esta información describe los enlaces por omisión de ejemplo, almacenes de claves, ubicadores de claves, almacén de certificados de colecciones, anclas de confianza y evaluadores de ID de confianza para WebSphere Application Server utilizando el modelo de programación de la API para RPC basado en XML (JAX-RPC). Puede desarrollar servicios web utilizando el modelo de programación de la API de Java™ para RPC basado en XML (JAX-RPC) o para WebSphere Application Server versión 7 y posteriores, utilizando el modelo de programación de la API de Java para servicios Web basados en XML (JAX-WS). Enlaces por omisión de ejemplo, almacenes de claves, ubicadores de claves, almacén de certificados de colección, anclas de confianza, evaluador de ID de confianza pueden diferir, según el modelo de programación que utilice.

Best practice Best practice: IBM® WebSphere Application Server soporta el modelo de programación JAX-WS (Java API for XML-Based Web Services) y el modelo de programación JAX-RPC (Java API for XML-based RPC). JAX-WS es la siguiente generación del modelo de programación de servicios que amplía la base proporcionada por el modelo de programación JAX-RPC. Con el modelo de programación JAX-WS estratégico, se simplifica el desarrollo de clientes y servicios web ya que se da soporte a un modelo de anotación basado en estándares. Aunque el modelo de programación JAX-RPC y las aplicaciones siguen recibiendo soporte, puede beneficiarse de la facilidad de implementación del modelo de programación JAX-WS para desarrollar nuevas aplicaciones y clientes de servicios web.best-practices

No utilice estas configuraciones en un entorno de producción ya que únicamente son para fines de ejemplo y comprobación. Para modificar estas configuraciones de ejemplo, se recomienda que utilice la consola administrativa que proporciona WebSphere Application Server.

En una aplicación habilitada para Web Services Security, debe configurar correctamente un descriptor de despliegue y un enlace. En WebSphere Application Server, un conjunto de enlaces por omisión se comparte entre las aplicaciones para que el despliegue de la aplicación sea más sencillo. La información de enlace por omisión a nivel de célula y a nivel de servidor se puede alterar temporalmente mediante la información de enlace a nivel de aplicación. El servidor de aplicaciones busca la información de enlaces para una aplicación a nivel de aplicación antes de buscarla a nivel de servidor y, posteriormente, a nivel de célula.

Las configuraciones de ejemplo siguientes son para WebSphere Application Server utilizando el modelo de programación de la API para RPC basado en XML (JAX-RPC).

Enlace de generador predeterminado

WebSphere Application Server proporciona un conjunto de ejemplo de enlaces de generador por omisión. Los enlaces del generador por omisión contienen información de firmado y de cifrado.

La configuración de información de firmado de ejemplo se denomina gen_signinfo y contiene las configuraciones siguientes:
  • Utiliza los algoritmos siguientes para la configuración gen_signinfo:
    • Método de firma: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Método de canonicalización: http://www.w3.org/2001/10/xml-exc-c14n#
  • Hace referencia a la información de claves de firma gen_signkeyinfo. La información siguiente pertenece a la configuración de gen_signkeyinfo:
    • Contiene una configuración de referencia de partes que se denomina gen_signpart. La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de gen_signpart:
      • Utiliza la configuración de transformación denominada transform1. Las transformaciones siguientes se han configurado para la información de firmas por omisión.
        • Utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#
        • Utiliza el método de conversión http://www.w3.org/2000/09/xmldsig#sha1
    • Utiliza la referencia de señal de seguridad, que es la información de claves por omisión configurada.
    • Utiliza el localizador de claves SampleGeneratorSignatureKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
    • Utiliza el generador de claves gen_signtgen que contiene la configuración siguiente:
      • Contiene el generador de señales X.509 que genera la señal X.509 del firmante.
      • Contiene el URI del tipo de valor gen_signtgen_vtype.
      • Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
    • Utiliza el manejador de retorno de llamada X.509. El manejador de retorno de llamada llama al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
      • La contraseña del almacén de clave es client.
      • El nombre de alias del certificado de confianza es soapca.
      • El nombre de alias del certificado personal es soaprequester.
      • El cliente de contraseña de clave emitido por la autoridad certificadora intermediaria Int CA2, que a su vez está emitido por soapca.
La configuración de información de cifrado de ejemplo se denominagen_encinfo y contiene las configuraciones siguientes:
  • Utiliza los algoritmos siguientes para la configuración gen_encinfo:
    • Método de cifrado de datos: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • Método de cifrado de claves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Hace referencia a la información de clave de cifrado de gen_enckeyinfo.La información siguiente pertenece a la configuración de gen_enckeyinfo:
    • Utiliza el identificador de claves como información de claves por omisión.
    • Contiene una referencia al localizador de claves SampleGeneratorEncryptionKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
    • Utiliza el generador de claves gen_signtgen que tiene la configuración siguiente:
      • Contiene el generador de señales X.509 que genera la señal X.509 del firmante.
      • Contiene el URI del tipo de valor gen_enctgen_vtype.
      • Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
    • Utiliza el manejador de retorno de llamada X.509. El manejador de retorno de llamada llama al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
      • La contraseña del almacén de clave es storepass.
      • La clave secreta CN=Group1 tiene un nombre de alias de Group1 y una contraseña de claves de keypass.
      • La clave pública CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves de keypass.
      • La clave privada CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves de keypass.

Enlace de consumidor predeterminado

WebSphere Application Server proporciona un conjunto de ejemplo de enlaces de consumidor por omisión. Los enlaces del consumidor por omisión contienen información de firmado y de cifrado.

La configuración de información de firmado de ejemplo se denomina con_signinfo y contiene las configuraciones siguientes:
  • Utiliza los algoritmos siguientes para la configuración con_signinfo:
    • Método de firma: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • Método de canonicalización: http://www.w3.org/2001/10/xml-exc-c14n#
  • Utiliza la referencia de información de claves de firma con_signkeyinfo. La información siguiente pertenece a la configuración de con_signkeyinfo:
    • Contiene una configuración de referencia de partes que se denomina con_signpart. La referencia de partes se utiliza en el enlace por omisión. La información de firmas se aplica a todos los elementos de integridad o de integridad necesaria contenidos en los descriptores de despliegue y la información se utiliza únicamente para fines de denominación. La información siguiente pertenece a la configuración de con_signpart:
      • Utiliza la configuración de transformación denominada reqint_body_transform1. Las transformaciones siguientes se han configurado para la información de firmas por omisión.
        • Utiliza el algoritmo http://www.w3.org/2001/10/xml-exc-c14n#
        • Utiliza el método de conversión http://www.w3.org/2000/09/xmldsig#sha1.
    • Utiliza la referencia de señal de seguridad, que es la información de claves por omisión configurada.
    • Utiliza el localizador de claves SampleX509TokenKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
    • Hace referencia a la configuración de consumidor de señales con_signtcon. La información siguiente pertenece a la configuración de con_signtcon:
      • Utiliza el consumidor de señales X.509 que se configura como el consumidor para la información de firmas por omisión.
      • Contiene el URI de tipo de valor signtconsumer_vtype.
      • Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
    • Contiene una configuración JAAS denominada system.wssecurity.X509BST que hace referencia a la información siguiente:
      • Ancla de confianza: SampleClientTrustAnchor
      • Almacén de certificados de la colección: SampleCollectionCertStore
La configuración de información de cifrado se denomina con_encinfo y contiene las configuraciones siguientes:
  • Utiliza los algoritmos siguientes para la configuración con_encinfo:
    • Método de cifrado de datos: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • Método de cifrado de claves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • Hace referencia a la información de claves de cifrado con_enckeyinfo. Esta clave realmente descifra el mensaje. La información siguiente pertenece a la configuración de con_enckeyinfo:
    • Utilice el identificador de claves que se configura como la información de claves para la información de cifrado por omisión.
    • Contiene una referencia al localizador de clavesSampleConsumerEncryptionKeyStoreKeyLocator. Para obtener más información acerca de este localizador de claves, consulte Localizadores de claves de ejemplo.
    • Hace referencia a la configuración de consumidor de señales con_enctcon. La información siguiente pertenece a la configuración de con_enctcon:
      • Utiliza el consumidor de señales X.509 que se configura para la información de cifrado por omisión.
      • Contiene el URI de tipo de valor enctconsumer_vtype.
      • Contiene el tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para el valor de nombre local.
    • Contiene una configuración JAAS denominada system.wssecurity.X509BST.

Configuraciones de almacén de claves de ejemplo

[Windows]WebSphere Application Server proporciona los almacenes de claves siguientes. Puede trabajar con estos almacenes de claves fuera del servidor de aplicaciones utilizando el programa de utilidad iKeyman o la herramienta de claves.
[AIX HP-UX Solaris][Linux]WebSphere Application Server proporciona los almacenes de claves siguientes. Puede trabajar con estos almacenes de claves fuera del servidor de aplicaciones utilizando el programa de utilidad iKeyman o la herramienta de claves.

Los almacenes de claves de ejemplo siguientes son sólo de prueba; no utilice estos almacenes de claves en un entorno de producción:

  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • El formato de almacén de claves es JKS.
    • La contraseña del almacén de clave es client.
    • El certificado de confianza tiene un nombre de alias soapca.
    • El certificado personal tiene un nombre de alias soaprequester y una contraseña de claves de client que emite la autoridad certificadora de intermediarios Int CA2 que, a su vez, la emite soapca.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • El formato de almacén de claves es JKS.
    • La contraseña del almacén de clave es server.
    • El certificado de confianza tiene un nombre de alias soapca.
    • El certificado personal tiene un nombre de alias soapprovider y una contraseña de claves de server que emite la autoridad certificadora de intermediarios Int CA2 que, a su vez, la emite soapca.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • El formato de almacén de claves es JCEKS.
    • La contraseña del almacén de clave es storepass.
    • La clave secreta DES CN=Group1 tiene un nombre de alias Group1 y una contraseña de claves keypass.
    • La clave pública CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves keypass.
    • La clave privada CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves keypass.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • El formato de almacén de claves es JCEKS.
    • La contraseña del almacén de clave es storepass.
    • La clave secreta DES CN=Group1 tiene un nombre de alias Group1 y una contraseña de claves keypass.
    • La clave privada CN=Bob, O=IBM, C=US tiene un nombre de alias bob y una contraseña de claves keypass.
    • La clave pública CN=Alice, O=IBM, C=US tiene un nombre de alias alice y una contraseña de claves keypass.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • El certificado de intermediarios lo firma soapca que también firma soaprequester y soapprovider.

Localizadores de claves de ejemplo

Los localizadores de claves se utilizan para localizar la clave para las firmas digitales, el cifrado y el descifrado. Para obtener información acerca de cómo modificar estas configuraciones de localizador de claves de ejemplo, consulte los siguientes artículos:
SampleClientSignerKey
Este localizador de claves lo utiliza el emisor de peticiones para que una aplicación de la Versión 5.x firme el mensaje SOAP. El nombre de la clave de firmas es clientsignerkey, al que se hace referencia en la información de firmas como el nombre de claves de firma.
SampleServerSignerKey
Este localizador de claves lo utiliza el emisor de respuestas para que una aplicación de la Versión 5.x firme el mensaje SOAP. El nombre de clave de firma es serversignerkey, al que se puede hacer referencia en la información de firmas como el nombre de clave de firma.
SampleSenderEncryptionKeyLocator
Este localizador de claves lo utiliza el emisor para que una aplicación de la Versión 5.x cifre el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. La implementación se configura para la clave secreta DES. Para utilizar cifrado asimétrico (RSA), debe añadir las claves RSA adecuadas.
SampleReceiverEncryptionKeyLocator
Este localizador de clase lo utiliza el receptor para que una aplicación de la Versión 5.x descifre el mensaje SOAP cifrado. La implementación se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. La implementación se configura para cifrado simétrico (DES o TRIPLEDES). Para utilizar RSA, debe añadir la clave privada CN=Bob, O=IBM, C=US, nombre de alias bob y contraseña clave keypass.
SampleResponseSenderEncryptionKeyLocator
Este localizador de claves lo utiliza el emisor de respuestas para que una aplicación de la Versión 5.x cifre el mensaje de respuesta SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator. Este ubicador de claves correlaciona una identidad autenticada (de la hebra actual) con una clave pública para cifrado. De forma predeterminada, se ha configurado WebSphere Application Server para correlacionarse con la clave pública alice; debe cambiar WebSphere Application Server al usuario correspondiente. El localizador de claves SampleResponseSenderEncryptionKeyLocator también puede establecer de manera predeterminada una clave para cifrado. Por omisión, se configura este localizador de claves para que utilice la clave pública alice.
SampleGeneratorSignatureKeyStoreKeyLocator
Este localizador de claves lo utiliza el generador para firmar el mensaje SOAP. El nombre de la clave de firmas es SOAPRequester, al que se hace referencia en la información de firmas como el nombre de clave de firma. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleConsumerSignatureKeyStoreKeyLocator
Habrá especificado qué métodos utiliza el consumidor para verificar la firma digital en el mensaje SOAP. La clave de firmas es SOAPProvider, a la que se hace referencia en la información de firmas. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleGeneratorEncryptionKeyStoreKeyLocator
Este localizador de claves lo utiliza el generador para cifrar el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks y el ubicador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleConsumerEncryptionKeyStoreKeyLocator
Este localizador de claves lo utiliza el generador para cifrar y descifrar el mensaje SOAP. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleX509TokenKeyLocator
Este localizador de claves lo utiliza el consumidor para verificar un certificado digital en un certificado X.509. Se configura para utilizar el almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks y el localizador de claves del almacén de claves com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.

Almacén de certificados de colecciones de ejemplo

Los almacenes de certificados de colecciones se utilizan para validar la vía de acceso de certificados. Para obtener información acerca de cómo modificar este almacén de certificados de colecciones, consulte los siguientes artículos:
SampleCollectionCertStore
Este almacén de certificados de colecciones lo utiliza el consumidor de respuestas y el generador de peticiones para validar la vía de acceso del certificado de firmante.

Anclas de confianza de ejemplo

Las anclas de confianza de ejemplo se utilizan para validar la confianza del certificado de firmante. Para obtener información acerca de cómo modificar estas configuraciones de anclas de confianza de ejemplo, consulte los siguientes artículos:
SampleClientTrustAnchor
Esta ancla de confianza la utiliza el consumidor de respuestas para validar el certificado de firmante. Este ancla de confianza está configurado para acceder al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
SampleServerTrustAnchor
Esta ancla de confianza la utiliza el consumidor de peticiones para validar el certificado de firmante. Este ancla de confianza está configurado para acceder al almacén de claves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.

Evaluadores de ID de confianza de ejemplo

Los evaluadores de ID de confianza se utilizan para establecer la confianza antes de confirmar la identidad en la aserción de identidad. Para obtener información sobre cómo modificar la configuración del evaluador del ID de confianza de ejemplo, consulte Configuración de los evaluadores de ID de confianza a nivel de servidor o de célula.
SampleTrustedIDEvaluator
Este evaluador de ID de confianza utiliza la implementación com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. La implementación predeterminada de com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator contiene una lista de identidades de confianza. Esta lista, que se utiliza en la aserción de identidades, define el par de nombre de clave y valor de la identidad de confianza. El nombre de clave tiene el formato trustedId_* y el valor es la identidad de confianza. Para obtener más información, consulte el ejemplo en Configuración de los evaluadores de ID de confianza a nivel de servidor o de célula.
Efectúe los pasos siguientes para definir esta información a nivel de célula en la consola administrativa:
  1. Pulse Seguridad > Servicios Web.
  2. En Propiedades adicionales, pulse Evaluadores de ID de confianza > SampleTrustedIDEvaluator.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxrpc
File name: cwbs_defaultconfigjaxrpc.html