Configuration du localisateur de clé à l'aide de JAX-RPC pour la liaison de générateur au niveau de l'application

Les informations du localisateur de clé pour le générateur par défaut indiquent quelle implémentation de localisateur de clé utiliser pour localiser la clé à utiliser pour les informations de signature et de chiffrement. Les informations du localisateur de clé pour le générateur indiquent quelle implémentation de localisateur de clé utiliser pour localiser la clé à utiliser pour la validation de signature ou le chiffrement.

Pourquoi et quand exécuter cette tâche

WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, vous devez modifier les valeurs par défaut pour un environnement de production.

Pour configurer le localisateur de clé pour la liaison de générateur au niveau de l'application, procédez comme suit :

Procédure

  1. Recherchez le panneau de configuration des informations de chiffrement dans la console d'administration.
    1. Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
    2. Sous Gestion des modules, cliquez sur nom_URI.
    3. Sous Propriétés de la sécurité des services Web, vous pouvez accéder aux informations de clés pour les liaisons de générateur de demande et de réponse.
      • Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
      • Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
    4. Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
    5. Cliquez sur Nouveau pour créer une configuration de localisateur de clé, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique dans la zone Nom du localisateur de clé. Par exemple, vous pouvez spécifier gen_keyloc.
  2. Indiquez un nom de classe pour l'implémentation de classe du localisateur de clé dans la zone Nom de la classe du localisateur de clé. L'implémentation du module de connexion JAAS (Java™ Authentication and Authorization Service) permet de créer le jeton de sécurité côté générateur. Le nom de classe doit être indiqué en fonction des conditions requises par l'application. Par exemple, si la clé doit être lue à partir d'un fichier de clés, spécifiez l'implémentation com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator. WebSphere Application Server prend en charge les implémentations de classe de localisateur de clés suivantes pour les applications des version 6.0.x et ultérieures, disponibles pour une utilisation avec les générateurs de requête et de réponse :
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
    Cette implémentation recherche et extrait la clé du fichier de clés spécifié.
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    Cette implémentation utilise la clé publique du certificat d'auto-signature ; elle est utilisée par le générateur de réponse.
  3. Indiquez le mot de passe, l'emplacement et le type du fichier de clés. Les fichiers de clés contiennent des clés publiques et privées, des certificats d'autorité de certification (CA) racine, le certificat d'autorité de certification intermédiaire, etc. Les clés extraites du fichier de clés permettent de signer et valider ou de chiffrer et déchiffrer les messages ou les parties de message. Si vous avez spécifié l'implémentation com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator pour l'implémentation de classe du localisateur de clé, vous devez indiquer le mot de passe, l'emplacement et le type du fichier de clés.
    1. Indiquez un mot de passe dans la zone Mot de passe du fichier de clés. Ce mot de passe permet d'accéder au fichier du magasin de clés.
    2. Indiquez l'emplacement du fichier de clés dans la zone Chemin d'accès.
    3. Sélectionnez un type de fichier de clés dans la zone Type. L'extension JCE (Java Cryptography Extension) utilisée par IBM® prend en charge les types de fichier de clés suivants :
      JKS
      Utilisez cette option si vous n'employez pas les extensions JCE (Java Cryptography Extensions) et si votre fichier de clés utilise le format JKS (Java Keystore).
      JCEKS
      Utilisez cette option si vous utilisez les extensions JCE (Java Cryptography Extensions).
      JCERACFKS
      Utilisez JCERACFKS si les certificats sont stockés dans un fichier de clés SAF (z/OS uniquement).
      PKCS11KS (PKCS11)
      Utilisez cette option si votre fichier de clés utilise le format de fichier PKCS#11. Les fichiers de clés utilisant ce format peuvent contenir des clés RSA stockées sur du matériel de chiffrement, ou bien ils peuvent chiffrer des clés qui utilisent du matériel de ce type pour assurer la protection.
      PKCS12KS (PKCS12)
      Utilisez cette option si votre fichier de clés utilise le format de fichier PKCS#12.
      WebSphere Application Server fournit quelques exemples de fichiers de clés dans le répertoire ${USER_INSTALL_ROOT}/etc/ws-security/samples. Par exemple, vous pouvez utiliser le fichier de clés enc-receiver.jceks pour les clés de chiffrement. Le mot de passe de ce fichier est Storepass et son type est JCEKS.
      Restriction : N'utilisez pas les exemples de fichier de clés dans un environnement de production. Ces exemples sont fournis à des fins de test uniquement.
  4. Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
  5. Sous Propriétés supplémentaires, cliquez sur Clés.
  6. Cliquez sur Nouveau pour créer une configuration de clé, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de clé pour modifier ses paramètres. Cette entrée indique le nom de l'objet de clé contenu dans le fichier de clés. Si vous créez une configuration, entrez un nom unique dans la zone Nom de clé. Pour les signatures numériques, le nom de clé est utilisé par les informations de signature du générateur de demande ou de réponse pour déterminer quelle clé utiliser pour signer numériquement le message.

    Vous devez utiliser un nom distinctif complet comme nom de clé. Par exemple, vous pouvez spécifier CN=Bob,O=IBM,C=US.

    Important : N'utilisez pas les exemples de fichier de clés dans un environnement de production. Ces exemples sont fournis à des fins de test uniquement.
  7. Indiquez un alias dans la zone Alias de clé. L'alias de clé est utilisé par le localisateur de clé pour rechercher les objets de clé dans le fichier de clés.
  8. Indiquez un mot de passe dans la zone Mot de passe. Le mot de passe permet d'accéder à l'objet de clé dans le fichier de clés.
  9. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.

Résultats

Vous avez configuré le localisateur de clé pour la liaison de générateur au niveau de l'application.

Que faire ensuite

Vous devez spécifier une configuration d'informations de clé similaire pour le destinataire.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocgenapp
Nom du fichier : twbs_configkeylocgenapp.html