Configuration des informations de signature à l'aide de JAX-RPC pour la liaison de générateur au niveau de l'application

Vous pouvez configurer les informations de signature pour les liaisons de générateur de demande côté client et générateur de réponse côté serveur au niveau de l'application.

Avant de commencer

Remarque : Uniquement pour les versions 6.x et antérieures de WebSphere Application Server, dans le fichier des extensions côté serveur (ibm-webservices-ext.xmi) et le fichier des extensions de descripteur de déploiement côté client (ibm-webservicesclient-ext.xmi), vous devez indiquer quelles parties du message sont signées. Vous devez également configurer les informations de clé référencées par les références d'informations de clé dans le panneau d'informations de signature accessible à partir de la console d'administration.

Pourquoi et quand exécuter cette tâche

Cette tâche présente les étapes à suivre pour configurer les informations de signature pour les liaisons de générateur de demande côté client et de réponse côté serveur au niveau de l'application. WebSphere Application Server utilise les informations de signature du générateur par défaut pour signer les parties du message, y compris le corps, l'horodatage et le jeton de nom d'utilisateur. WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, un administrateur doit modifier les valeurs par défaut pour le cas d'un environnement de production. Pour configurer les informations de signature pour les sections de générateur des fichiers de liaison au niveau de l'application, procédez comme suit :

Procédure

  1. Recherchez le panneau de configuration des informations de signature dans la console d'administration.
    1. Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
    2. Sous Gestion des modules, cliquez sur nom_URI.
    3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations relatives à la signature pour les liaisons de générateur de demande et de réponse.
      • Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
      • Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
    4. Dans la section Propriétés requises, cliquez sur Informations relatives à la signature.
    5. Cliquez sur Nouveau pour créer une configuration d'informations de signature, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de signature pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom des informations de signature. Par exemple, vous pouvez indiquer gen_signinfo.
  2. Sélectionnez un algorithme de méthode de signature dans la zone Méthode de signature. L'algorithme spécifié pour le générateur, qu'il s'agisse de la configuration de générateur de demande ou de réponse, doit correspondre à celui qui est défini pour le destinataire, qu'il s'agisse de la configuration de destinataire de demande ou de réponse. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
  3. Sélectionnez une méthode de canonisation dans la zone Méthode de canonisation. L'algorithme de canonisation spécifié pour le générateur doit correspondre à celui défini pour le destinataire. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  4. Sélectionnez un type de signature des informations de clé dans la zone de ce nom. WebSphere Application Server prend en charge les types de signature suivants :
    Aucun
    Indique que l'élément <KeyInfo> n'est pas signé.
    Keyinfo
    Indique que l'élément entier <KeyInfo> est signé.
    Keyinfochildelements
    Indique que les éléments enfant de l'élément <KeyInfo> sont signés.
    Le type de signature des informations de clé du gestionnaire doit correspondre au type de signature du destinataire. Les cas de figure suivants peuvent se présenter :
    • Si vous n'indiquez pas l'un des types de signatures précédents, WebSphere Application Server utilise keyinfo par défaut.
    • Si vous sélectionnez Keyinfo ou Keyinfochildelements, puis http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation dans une étape ultérieure, WebSphere Application Server signe également le jeton référencé.
  5. Sélectionnez une référence d'informations de clé de signature dans la zone Informations des clés de signature. Cette sélection est une référence à la clé de signature utilisée par WebSphere Application Server pour générer des signatures numériques.
  6. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
  7. Cliquez sur le nom de la configuration d'informations de signature. Cette configuration correspond à celle que vous avez spécifiée à une étape précédente.
  8. Indiquez la référence de partie, l'algorithme digest et l'algorithme de transformation. La référence de partie indique les parties du message à signer numériquement.
    1. Dans la section Propriétés supplémentaires, cliquez sur Références de partie > Nouveau pour créer une référence de partie, cliquez sur Références de partie > Supprimer pour supprimer une référence de partie ou cliquez sur un nom de partie pour modifier une référence de partie.
    2. Indiquez un nom de partie unique pour cette référence de partie. Par exemple, vous pouvez spécifier reqint.
    3. Sélectionnez une référence de partie dans la zone de ce nom.

      La référence de la portion fait référence à la partie du message signée numériquement. L'attribut de partie désigne le nom de l'élément <Integrity> dans le descripteur de déploiement lorsque l'élément <PartReference> est spécifié pour la signature. Vous pouvez spécifier plusieurs éléments <PartReference> dans l'élément <SigningInfo>. L'élément <PartReference> possède deux éléments enfant spécifiés pour la signature : <DigestTransform> et <Transform>.

    4. Sélectionnez un algorithme de méthode digest dans le menu. L'algorithme de méthode digest spécifié dans l'élément <DigestMethod> est utilisé dans l'élément <SigningInfo>.
      WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    5. Cliquez sur OK pour sauvegarder la configuration.
    6. Cliquez sur le nom de la nouvelle configuration de référence de partie. Cette configuration correspond à celle que vous avez spécifiée à une étape précédente.
    7. Dans la section Propriétés supplémentaires, cliquez sur Transformations > Nouveau pour créer une transformation, cliquez sur Transformations > Supprimer pour supprimer une transformation ou cliquez sur un nom de transformation pour modifier une transformation. Si vous créez une configuration de transformation, spécifiez un nom unique. Par exemple, vous pouvez indiquer reqint_body_transform1.
    8. Sélectionnez un algorithme de transformation dans le menu. L'algorithme de transformation correspond à celui défini dans l'élément <Transform> et il indique l'algorithme de transformation utilisé pour la signature. WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Restriction : N'utilisez pas cet algorithme de transformation si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile). A la place, utilisez http://www.w3.org/2002/06/xmldsig-filter2 pour assurer la compatibilité.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature
      L'algorithme de transformation sélectionné pour le générateur doit correspondre à celui qui est défini pour le destinataire.
      Important : Si les deux conditions suivantes sont vraies, WebSphere Application Server signe le jeton référencé :
      • Vous avez sélectionné précédemment l'option Keyinfo ou Keyinfochildelements dans la zone Type de signature des informations de clé, située dans le panneau des informations de signature.
      • Vous sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation.
  9. Cliquez sur Appliquer.
  10. Facultatif : Déterminez si vous devez désactiver la liste des préfixes d'espace de nom inclusive. La spécification Exclusive XML Canonicalization Version 1.0 recommande d'inclure toutes les déclarations d'espace de nom correspondant au préfixe d'espace de nom sous la forme de canonisation. Pour des raisons de sécurité, WebSphere Application Server inclut par défaut le préfixe compris dans la signature numérique pour la sécurité des services Web. Certaines implémentations de la sécurité des services Web ne permettent toutefois pas de gérer cette liste de préfixes. WebSphere Application Server peut gérer des messages associés à une signature numérique qui contiennent ou non la liste de préfixes. En cas d'incident de validation des signatures lors de l'envoi d'un message SOAP (Simple Object Access Protocol), si vous utilisez un autre fournisseur de services dans votre environnement, vérifiez auprès du fournisseur s'il existe un correctif pour son implémentation avant de désactiver cette propriété. Pour désactiver cette propriété, procédez comme suit :
    1. Dans Propriétés supplémentaires, cliquez sur Propriétés > Nouveau.
    2. Dans la zone Nom de la propriété, entrez com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces.
    3. Dans la zone Valeur de la propriété, entrez false.
    4. Cliquez sur OK.

    Vous pouvez définir cette propriété pour les configurations du générateur de demande et du générateur de réponse.

  11. Cliquez sur Sauvegarder pour sauvegarder votre configuration.

Résultats

Une fois les instructions suivies, les informations de signature sont configurées pour le générateur au niveau de l'application.

Que faire ensuite

Vous devez spécifier une configuration d'informations de signature similaire pour le destinataire.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
Nom du fichier : twbs_configsigninfogenapp.html