Configuration des informations de signature à l'aide de JAX-RPC pour la liaison du générateur au niveau du serveur ou de la cellule

Vous pouvez configurer les informations de signature pour les liaisons de générateur de demande côté client et pour les liaisons de générateur de réponse côté serveur au niveau du serveur ou de la cellue.

Avant de commencer

Remarque : Uniquement pour les versions 6.x et antérieures de WebSphere Application Server, dans le fichier des extensions côté serveur (ibm-webservices-ext.xmi) et le fichier des extensions de descripteur de déploiement côté client (ibm-webservicesclient-ext.xmi), vous devez indiquer quelles parties du message sont signées. Vous devez également configurer les informations de clé référencées par les références d'informations de clé dans le panneau Informations relatives à la signature accessible à partir de la console d'administration.

Pourquoi et quand exécuter cette tâche

Cette tâche présente les étapes à suivre pour configurer les informations de signature pour les liaisons de générateur de demande côté client et de réponse côté serveur au niveau du serveur ou de la cellule. WebSphere Application Server utilise les informations de signature du générateur par défaut pour signer les parties du message qui comprennent le corps, l'horodatage et le jeton de nom d'utilisateur si ces liaisons ne sont pas définies au niveau de l'application. WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, un administrateur doit modifier les valeurs par défaut pour un environnement de production.

Vous pouvez configurer les informations de signature pour la liaison de générateur au niveau du serveur et de la cellule. Dans la procédure ci-dessous, la première étape permet de configurer les informations de signature au niveau du serveur et la deuxième permet de les configurer au niveau de la cellule.

Procédure

  1. Accédez aux liaisons par défaut au niveau du serveur.
    1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
    2. Sous Sécurité, cliquez sur Module d'exécution de sécurité JAX-WS et JAX-RPC.
      Environnement de version mixte Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
  2. Sélectionnez Sécurité > Services Web pour accéder aux liaisons par défaut au niveau de la cellule.
  3. Dans la section Liaisons de générateur par défaut, cliquez sur Informations de signature.
  4. Cliquez sur Nouveau pour créer une configuration d'informations de signature, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de signature pour modifier les paramètres. Si vous créez une configuration, entrez un nom unique pour la configuration de signature dans la zone Nom des informations de signature. Par exemple, vous pouvez indiquer gen_signinfo.
    Eviter les incidents Eviter les incidents: Si vous créez plusieurs configurations d'informations de signature, l'environnement d'exécution WS-Security honore uniquement la première configuration répertoriée dans le fichier de liaison.gotcha
  5. Sélectionnez un algorithme de méthode de signature dans la zone Méthode de signature. L'algorithme spécifié pour le générateur par défaut doit correspondre à celui qui est défini pour le destinataire par défaut. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
  6. Sélectionnez une méthode de canonisation dans la zone de ce nom. L'algorithme de canonisation spécifié pour le générateur doit correspondre à celui défini pour le destinataire. WebSphere Application Server prend en charge les algorithmes de canonisation XML canoniques et exclusifs préconfigurés suivants :
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  7. Sélectionnez un type de signature des informations de clé dans la zone Type de signature des informations de clé. Le type de signature des informations de clé détermine le mode de signature numérique de la clé. WebSphere Application Server prend en charge les types de signature suivants :
    Aucun
    Indique que l'élément <KeyInfo> n'est pas signé.
    Keyinfo
    Indique que l'élément entier <KeyInfo> est signé.
    Keyinfochildelements
    Indique que les éléments enfant de l'élément <KeyInfo> sont signés.
    Le type de signature des informations de clé du gestionnaire doit correspondre au type de signature du destinataire. Les cas de figure suivants peuvent se présenter :
    • Si vous n'indiquez pas l'un des types de signatures précédents, WebSphere Application Server utilise keyinfo par défaut.
    • Si vous sélectionnez Keyinfo ou Keyinfochildelements, puis http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation dans une étape ultérieure, WebSphere Application Server signe également le jeton référencé.
  8. Sélectionnez une référence d'informations de clé de signature dans la zone Informations des clés de signature. Cette sélection est une référence à la clé de signature utilisée par WebSphere Application Server pour générer des signatures numériques. Dans les fichiers de liaisons, ces informations sont spécifiées dans la balise <signingKeyInfo>. La clé utilisée pour la signature est indiquée par l'élément d'informations de clé, défini au même niveau que les informations de signature. Pour plus d'informations, voir la rubrique Configuration des informations de clé pour la liaison de générateur à l'aide de JAX-RPC au niveau du serveur ou de la cellule.
  9. Cliquez sur OK pour sauvegarder la configuration.
  10. Cliquez sur le nom de la configuration d'informations de signature. Cette configuration correspond à celle que vous avez spécifiée aux étapes précédentes.
  11. Indiquez la référence de partie, l'algorithme digest et l'algorithme de transformation. La référence de partie indique les parties du message à signer numériquement.
    1. Dans la section Propriétés supplémentaires, cliquez sur Références de partie > Nouveau pour créer une référence de partie, cliquez sur Références de partie > Supprimer pour supprimer une référence de partie ou cliquez sur un nom de partie pour modifier une référence de partie.
    2. Indiquez un nom de partie unique pour la partie de message devant être signée. Cette partie du message est spécifiée à la fois côté serveur et côté client. Vous devez spécifier un nom de partie identique côté serveur et côté client. Par exemple, vous pouvez spécifier reqint à la fois pour le générateur et le destinataire.
      Important : Il n'est pas nécessaire de spécifier une valeur pour la référence de partie dans les liaisons par défaut comme vous l'avez fait au niveau de l'application car la référence de partie au niveau de l'application désigne une partie particulière du message qui est signée. Etant donné que les liaisons par défaut au niveau du serveur et de la cellule peuvent s'appliquer à tous les services définis sur un serveur particulier, vous ne pouvez pas spécifier cette valeur.
    3. Sélectionnez un algorithme de méthode de synthèse (digest) dans la zone Algorithme de méthode de synthèse (digest). L'algorithme de méthode digest spécifié dans les fichiers de liaisons de l'élément <DigestMethod> est utilisé dans l'élément <SigningInfo>.
      WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    4. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
    5. Cliquez sur le nom de la nouvelle configuration de référence de partie. Cette configuration correspond à celle que vous avez spécifiée aux étapes précédentes.
    6. Dans la section Propriétés supplémentaires, cliquez sur Transformations > Nouveau pour créer une transformation, cliquez sur Transformations > Supprimer pour supprimer une transformation ou cliquez sur un nom de transformation pour modifier une transformation. Si vous créez une configuration de transformation, spécifiez un nom unique. Par exemple, vous pouvez indiquer reqint_body_transform1.
    7. Sélectionnez un algorithme de transformation dans le menu. L'algorithme de transformation est spécifié dans l'élément <Transform>. Cet élément indique l'algorithme de transformation pour la signature numérique. WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Restriction : N'utilisez pas cet algorithme de transformation si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile). A la place, utilisez http://www.w3.org/2002/06/xmldsig-filter2 pour assurer la compatibilité.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      L'algorithme de transformation sélectionné pour le générateur doit correspondre à celui qui est défini pour le destinataire.

      Important : Si les deux conditions suivantes sont vraies, WebSphere Application Server signe le jeton référencé :
      • Vous avez sélectionné précédemment l'option Keyinfo ou Keyinfochildelements dans la zone Type de signature des informations de clé, située dans le panneau des informations de signature.
      • Vous sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform en algorithme de transformation.
  12. Cliquez sur Appliquer.
  13. Cliquez sur Sauvegarder pour sauvegarder votre configuration.

Résultats

Une fois les instructions suivies, vous avez configuré les informations de signature du générateur au niveau du serveur ou de la cellule.

Que faire ensuite

Vous devez spécifier une configuration d'informations de signature similaire pour le destinataire.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogensvrcell
Nom du fichier : twbs_configsigninfogensvrcell.html