Signature et chiffrement de parties de messages à l'aide d'ensembles de règles

Avec les services Web, vous pouvez signer et/ou chiffrer des parties de messages en fonction de la qualité de service définie pour un ensemble de règles. Ces actions sont possibles en définissant les informations de liaison dans une liaison d'association personnalisée.

Avant de commencer

Avant de commencer cette tâche, associez un ensemble de règles à un artefact de service comme une application, un service ou un noeud final, puis créez une liaison d'association personnalisée. Voir la documentation sur la création de liaisons personnalisées pour les ensembles de règles. L'ensemble de règles lié à l'artefact de service doit inclure une règle WS-Security signalant les parties des messages à signer ou à chiffrer. Voir la documentation sur la sécurisation de parties des messages à l'aide de la console d'administration.

Pourquoi et quand exécuter cette tâche

Pour signer et/ou chiffrer des parties de messages en fonction de la qualité de service définie pour un ensemble de règles, procédez comme suit :

Procédure

  1. Ouvrez la console d'administration.
  2. Pour signer et chiffrer des parties de messages pour un fournisseur de services, cliquez sur Applications > Applications d'entreprise > nom_application > Liaisons et ensembles de règles du fournisseur de services. Pour signer et chiffrer des parties de messages pour un client de services, cliquez sur Applications > Applications d'entreprise > nom_application > Liaisons et ensembles de règles du client de services.
  3. Cliquez sur le lien du nom de liaison pour l'artefact de service avec une liaison d'association personnalisée.
  4. Si la liaison ne contient pas de liaisons d'ensemble de règles WS-Security, cliquez sur Ajouter et sélectionnez WS-Security dans la liste.
  5. Cliquez sur les liaisons d'ensemble de règles WS-Security.
  6. Cliquez sur Authentification et protection. Le panneau qui s'ouvre contient les quatre tableaux suivants :
    • Jetons de protection : indique les jetons définis pour les règles de signature et de chiffrement symétriques et asymétriques dans l'ensemble de règles.
    • Jetons d'authentification : indique les jetons définis pour les règles de jeton de demande et de réponse.
    • Protection par chiffrement et signature du message de demande : indique les parties des messages définies dans la section Protection des parties de message de demande pour l'ensemble de règles.
    • Protection par chiffrement et signature du message de réponse : indique les parties des messages définies dans la section Protection des parties de message de réponse pour l'ensemble de règles.

    Au départ, chaque tableau présente des informations générées à partir de l'ensemble de règles lié à l'artefact de service. Les objets de configuration possibles en fonction de l'ensemble de règles sont affichés. La colonne Etat indique si l'objet est actuellement configuré dans la liaison d'association personnalisée.

  7. Si les jetons de protection ont l'état Non configuré, créez-les en cliquant sur le nom par défaut et en vérifiant les valeurs par défaut. Cliquez sur OK.
  8. [Facultatif] Si vous utilisez des jetons de protection X.509, vous devez configurer les fichiers de clés et les clés à employer pour signer, vérifier, chiffrer et déchiffrer des parties de messages. Vous devez éventuellement configurer aussi les fichiers de clés et les clés lorsque vous employez des jetons de protection personnalisés, selon leurs exigences. Lorsque vous utilisez un jeton de contexte de sécurité pour la protection (conversation sécurisée), il est inutile de configurer des fichiers de clés ou des clés. Si vous devez configurer les fichiers de clés et les clés, procédez comme suit :
    1. Cliquez sur le lien du nom de jeton.
    2. Cliquez sur le lien Gestionnaire d'appel sous Liaisons supplémentaires. Si ce lien n'est pas disponible, cliquez sur Appliquer, puis sur le lien.
    3. Utilisez un fichier de clés prédéfini ou personnalisé. Pour utiliser un fichier de clés prédéfini, sélectionnez-le dans la liste. Pour utiliser un fichier de clés personnalisé, sélectionnez Personnaliser dans la liste et cliquez sur le lien Configuration du fichier de clés personnalisée pour définir la configuration.
    4. Cliquez sur OK.
  9. Cliquez sur le nom de la référence aux parties du message de demande ou de réponse à signer ou à chiffrer. La colonne Protection indique si la partie du message est signée ou chiffrée en fonction de l'ensemble de règles.
  10. Indiquez un nom pour la partie du message.
  11. Pour les parties chiffrées, sélectionnez le type de chiffrement dans Utilisation des références aux informations sur la clé. Pour un chiffrement asymétrique ou X.509, sélectionnez Chiffrement des clés. Pour un chiffrement symétrique ou une conversation sécurisée, sélectionnez Chiffrement des données.
  12. [Facultatif] Pour les parties chiffrées, sélectionnez les options Inclure l'horodatage ou Inclure nonce afin d'inclure un horodatage ou nonce dans la partie chiffrée du message. Vous pouvez inclure l'une de ces options ou les deux dans la partie chiffrée du message.
  13. Pour les parties signées, indiquez une ou plusieurs références à des parties du message. Sélectionnez une référence dans la colonne Disponible et cliquez sur Ajouter.
  14. [Facultatif] Pour les parties signées, vous pouvez aussi décider d'ajouter un horodatage ou nonce à la partie signée du message. Sélectionnez une référence à une partie du message dans la colonne Affecté et cliquez sur Modifier. Sélectionnez les options Inclure l'horodatage ou Inclure nonce pour inclure un horodatage ou nonce dans la partie signée du message. Vous pouvez sélectionner l'une de ces options ou les deux dans la partie signée du message.
  15. Si aucune entrée d'informations de clé n'est disponible, créez-en une comme suit :
    1. Cliquez sur Nouveau.
    2. Indiquez un nom.
    3. Sélectionnez un jeton de protection dans la liste Générateur de jetons ou Nom du destinataire du jeton.
    4. Cliquez sur OK.
  16. Sélectionnez une entrée d'informations de clé dans la liste Disponible et cliquez sur Ajouter.
  17. [Facultatif] Indiquez si besoin est des propriétés personnalisées.
    1. Pour utiliser MTOM (Message Transmission Optimization Mechanism) pour le texte du code de chiffrement des données chiffrées, ajoutez la propriété personnalisée com.ibm.wsspi.wssecurity.enc.MTOM.Optimize avec la valeur true aux parties chiffrées sortantes pour les demandes client et les réponses serveur.
    2. Pour utiliser des en-têtes de chiffrement comme décrit dans la spécification WS-Security 1.0 au lieu du support d'en-tête chiffré décrit dans WS-Security 1.1, ajoutez la propriété personnalisée com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0 avec la valeur true aux parties chiffrées sortantes pour les demandes client et les réponses serveur.

      Pour un comportement de Web Services Security version 1.1 équivalent à WebSphere Application Server versions antérieures à la version 7.0, attribuez la valeur true à la propriété com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7 sur l'élément <encryptionInfo> dans la liaison. Lorsque cette propriété est spécifiée, l'élément <EncryptedHeader> inclut un paramètre wsu:Id et l'élément <EncryptedData> omet le paramètre ID. Cette propriété ne doit être utilisée que si la compatibilité avec Basic Security Profile 1.1 n'est pas requise.

  18. Cliquez sur OK.
  19. Cliquez sur Sauvegarder pour sauvegarder les modifications apportées à la configuration principale.

Résultats

Au terme de cette tâche, les parties du message sont signées et/ou chiffrées, selon la configuration employée pour communiquer avec l'artefact de service.

Exemple

Vous avez une application app1 avec l'ensemble de règles lié RAMP par défaut et une liaison d'association personnalisée myBinding, et vous souhaitez signer et chiffrer les parties du message.
  1. Cliquez sur l'application app1 dans la collection Applications > Applications d'entreprise.
  2. Cliquez sur le lien Liaisons et ensembles de règles du fournisseur de services ou Liaisons et ensembles de règles du client de services.
  3. Cliquez sur le lien myBinding.
  4. [Facultatif] Si WS-Security n'apparaît pas, sélectionnez Ajouter > WS-Security.
  5. Cliquez sur le lien WS-Security.
  6. Cliquez sur le lien Authentification et protection.
  7. Dans le tableau Jetons de protection, cliquez sur chacun des quatre liens puis sur OK dans le panneau qui s'affiche. Chaque entrée apparaît alors comme Configuré dans la colonne Etat.
  8. Dans le tableau Protection par chiffrement et signature du message de demande, cliquez sur request:app_encparts. Entrez le nom requestEncParts.
  9. Cliquez sur Nouveau dans Informations des clés. Entrez le nom requestEncKeyInfo.
  10. Sélectionnez SymmetricBindingRecipientEncryptionToken et cliquez sur OK.
  11. Sélectionnez requestEncKeyinfo dans la liste Disponible et cliquez sur Ajouter. Cliquez sur OK.
  12. Dans le tableau Protection par chiffrement et signature du message de demande, cliquez sur request:app_signparts.
  13. Entrez le nom requestSignParts.
  14. Cliquez sur Nouveau dans Informations des clés. Entrez le nom requestSignKeyInfo.
  15. Sélectionnez SymmetricBindingInitiatorSignatureToken et cliquez sur OK.
  16. Sélectionnez requestSignKeyinfo dans la liste Disponible et cliquez sur Ajouter. Cliquez sur OK.
  17. Répétez les étapes 8 à 16 pour les liens dans le tableau Protection par chiffrement et signature du message de demande.
  18. Cliquez sur Sauvegarder pour sauvegarder les modifications apportées à la configuration principale.

Que faire ensuite

Démarrer l'application.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_wsspssemp
Nom du fichier : twbs_wsspssemp.html