Configuración del cliente para la firma de solicitudes: elección del método de firma digital

Para configurar el cliente para la firma de solicitudes, especifique qué partes del mensaje se van a firmar digitalmente al configurar el cliente.

Antes de empezar

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6 y posteriores. La información sólo da soporte a aplicaciones de la versión 5.x que se utilizan con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.
Antes de completar estos pasos, lea cualquiera de los siguientes temas para familiarizarse con los separadores Extensiones de seguridad y Enlace de puerto en el Editor de cliente de servicios web de una herramienta de ensamblaje: Estos dos separadores se utilizan para configurar las extensiones de Web Services Security y los enlaces de Web Services Security, respectivamente. Debe especificar qué partes del mensaje enviados por el cliente se deben firmar digitalmente. Para obtener más información, consulte el apartado Configuración del cliente para la firma de solicitudes: firma digital de partes del mensaje.

Acerca de esta tarea

Realice los pasos siguientes para especificar qué partes del mensaje se deben firmar digitalmente al configurar el cliente para la firma de solicitudes:

Procedimiento

  1. Inicie la herramienta de ensamblaje. Para obtener más información, consulte la información relacionada con las herramientas de ensamblaje.
  2. Cambie a la perspectiva de Java™ Platform, Enterprise Edition (Java EE). Pulse Ventana > Abrir perspectiva > Otros > J2EE.
  3. Pulse Proyectos de cliente de aplicaciones > nombre_aplicación > appClientModule > META-INF.
  4. Pulse con el botón derecho del ratón en el archivo application-client.xml, seleccione Abrir con > Editor de descriptor de despliegue y pulse el separador Enlace de WS. Aparece el Descriptor de despliegue de cliente.
  5. Expanda Configuración de enlace emisor de solicitudes de seguridad > Información de firmas.
  6. Seleccione Editar para ver la información de firmas y seleccione un método de firma digital en el campo Algoritmo de método de firma. La siguiente tabla describe la finalidad de esta información. Algunas de estas definiciones se basan en la especificación de firmas XML, que se puede consultar en el siguiente sitio web:http://www.w3.org/TR/xmldsig-core.
    Tabla 1. Métodos de firma digital. La información del método de firma digital se almacena en el descriptor de despliegue del cliente.
    Name Finalidad
    Algoritmo de método de canonicalización Convierte en canónico el elemento <SignedInfo> antes de su conversión como parte de la operación de firma.
    Algoritmo de método de conversión Se aplica a los datos después de que se efectúen las transformaciones, si así se especifican, para ceder el elemento <DigestValue>. La firma del elemento <DigestValue> enlaza el contenido del recurso con la clave de firmante. El algoritmo seleccionado para la configuración del remitente de solicitudes de cliente debe coincidir con el algoritmo seleccionado en la configuración del receptor de solicitudes de servidor.
    Algoritmo de método de firma Convierte el elemento canonicalizado <SignedInfo> en el elemento <SignatureValue>. El algoritmo seleccionado para la configuración del remitente de solicitudes de cliente debe coincidir con el algoritmo seleccionado en la configuración del receptor de solicitudes de servidor.
    Nombre de clave de firma Representa la entrada de clave asociada con el localizador de claves de firmas. La entrada de clave se refiere a un alias de la clave, que se encuentra en el almacén de claves para firmar la solicitud.
    Localizador de claves de firmas Representa una referencia a una clase de implementación de localizador de claves que localiza el almacén de claves correcto donde se encuentran el alias y el certificado.
  7. Opcional: Seleccione Mostrar sólo algoritmos compatibles con FIPS si desea que en las listas desplegables Algoritmo del método de conversión y Algoritmo de método de firma sólo se muestren los algoritmos compatibles con FIPS. Utilice esta opción si tiene previsto ejecutar esta aplicación en un WebSphere Application Server en el que se ha establecido la opción Utilice los algoritmos del estándar FIPS (Federal Information Processing Standard) de EE.UU. en el panel Certificado SSL y gestión de claves de la consola administrativa de WebSphere.

Resultados

Importante: Si configura correctamente la información de firmas de cliente y servidor, pero recibe un error El cuerpo soap no está firmado al ejecutar el cliente, es posible que sea necesario configurar el actor. Puede configurar el actor en las siguientes ubicaciones en el cliente del Editor del cliente de servicios web dentro de una herramienta de ensamblaje:
  • Pulse Extensiones de seguridad > Detalles de configuración de servicio de cliente e indique la información de actor en el campo URI de actor.
  • Pulse Extensiones de seguridad > Configuración de emisor de solicitudes > Detalles e indique la información de actor en el campo Actor.
Debe configurar las mismas series de actor para el servicio web en el servidor, que procesa la solicitud y devuelve la respuesta. Configure el actor en las siguientes ubicaciones del Editor de servicios web dentro de una herramienta de ensamblaje:
  • Pulse Extensiones de seguridad > Configuración de servicio de servidor.
  • Pulse Extensiones de seguridad > Detalles de configuración del servicio emisor de respuestas > Detalles e indique la información de actor en el campo Actor.

La información de actor, tanto en el cliente como en el servidor, debe referirse exactamente a la misma serie. Cuando los campos de actor del cliente y del servidor coinciden, se actúa sobre la solicitud o respuesta en lugar de enviarlas en sentido descendente. Los campos de Actor podrían ser distintos si tiene servicios web actuando como una pasarela para otros servicios web. Sin embargo, en todos los demás casos, asegúrese de que la información de actor coincide en el cliente y el servidor. Cuando los servicios web actúan como pasarela y no tienen el mismo actor configurado que la solicitud que pasa por la misma, éstos no procesarán el mensaje desde un cliente. De lo contrario, estos servicios web envían la solicitud en sentido descendente. El proceso en sentido descendente que contiene la serie de actor correcta procesa la solicitud. La misma situación ocurre para la respuesta. Por lo tanto, es importante que verifique que los campos de actor de cliente y de servidor estén sincronizados.

Habrá especificado qué método se utiliza para firmar digitalmente un mensaje cuando el cliente envíe un mensaje al servidor.

Qué hacer a continuación

Una vez que haya configurado el cliente para que firme digitalmente el mensaje, debe configurar el servidor para que verifique la firma digital. Para obtener más información, consulte el apartado Configuración del servidor para la verificación de la firma digital de solicitudes: verificación de las partes del mensaje.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclreqsignmeth
File name: twbs_confclreqsignmeth.html