Configuration du client pour la vérification des signatures numériques des réponses : choix de la méthode de vérification

Vous pouvez configurer les extensions et les liaisons de sécurité des Services Web via les onglets Extension de service Web et Liaison de service Web de l'éditeur de services Web dans un outil d'assemblage.

Avant de commencer

Important : Il existe une différence importante entre les applications version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant de suivre cette procédure, voir l'une des rubriques ci-après pour vous familiariser avec les onglets Extension de service Web et Liaison de service Web de l'éditeur de services Web dans les outils d'assemblage IBM® : Vous pouvez utiliser ces deux onglets pour configurer les extensions de sécurité des services Web et les liaisons de sécurité des services Web, respectivement. Vous devez également indiquer les parties du message comportant une signature numérique que le client doit vérifier. Pour indiquer les parties d'un message qui comportent la signature numérique du serveur et que le client doit vérifier, voir Configuration du client pour la vérification des signatures numériques des réponses : vérification des parties d'un message. Les parties du message indiquées pour l'émetteur de la réponse du serveur doivent correspondre aux parties indiquées pour le destinataire de la réponse du client. De la même manière, la méthode de signature numérique choisie pour le serveur doit correspondre à celle utilisée par le client.

Pourquoi et quand exécuter cette tâche

Pour que le client vérifie la signature numérique de la réponse, effectuez les opérations ci-dessous. Les étapes suivantes expliquent comment modifier les extensions pour indiquer quelle méthode de signature numérique le client utilisera lors de la vérification.

Procédure

  1. Lancez un outil d'assemblage. Pour plus d'informations, consultez les informations relatives aux outils d'assemblage.
  2. Passez à la perspective Java™ EE (Java Platform, Enterprise Edition). Cliquez sur Fenêtre > Ouvrir la perspective > Autre > J2EE.
  3. Cliquez sur Projets client d'application > nom_application > appClientModule > META-INF.
  4. A l'aide du bouton droit de la souris, cliquez sur le fichier application-client.xml et sélectionnez Ouvrir avec > Editeur de descripteur de déploiement.
  5. Cliquez sur l'onglet Liaison de service Web.
  6. Développez la section Configuration de sécurité de liaison de réceptionnaire de réponse > Informations de signature.
  7. Cliquez sur Editer pour sélectionner la méthode de signature numérique. La boîte de dialogue Informations de signature s'affiche. Sélectionnez ou entrez les informations suivantes :
    • Algorithme de méthode de canonisation
    • Algorithme de méthode de synthèse (Digest)
    • Algorithme de méthode de signature
    • le nom de la clé de signature,
    • Releveur de coordonnées de clé de signature
    Pour plus d'informations sur les concepts liés à la signature numérique des messages SOAP, voir Signature numérique XML. Le tableau ci-après indique la finalité de ces options. Certaines de ces définitions reprennent la spécification Signature XML disponible sur le site : http://www.w3.org/TR/xmldsig-core.
    Tableau 1. Méthodes de signature numérique. Utilisez les méthodes pour configurer le client pour la vérification de la signature numérique des réponses.
    Chaîne Rôle
    Algorithme de méthode de canonisation Cet algorithme est utilisé pour canoniser l'élément <SignedInfo> avant qu'il ne soit traité lors de l'opération de signature.
    Algorithme de méthode de synthèse (Digest) Cet algorithme s'applique aux données après les opérations de conversion éventuelles pour générer l'élément <DigestValue>. La signature de l'élément <DigestValue> lie le contenu de la ressource à la clé du signataire. L'algorithme sélectionné pour la configuration du destinataire de la réponse client doit correspondre à l'algorithme choisi dans la configuration de l'expéditeur de la réponse serveur.
    Algorithme de méthode de signature La méthode de signature correspond à l'algorithme utilisé pour convertir l'élément <SignedInfo> canonisé en élément <SignatureValue>. L'algorithme sélectionné pour la configuration du destinataire de la réponse client doit correspondre à l'algorithme choisi dans la configuration de l'expéditeur de la réponse serveur.
    Utiliser la référence de chemin de certificat ou Faire confiance à tout certificat La clé publique utilisée pour signer un message est transmise avec le message. Pour valider cette clé publique sur le système du destinataire, configurez une référence au chemin du certificat. Si vous sélectionnez Utiliser la référence de chemin de certificat, vous devez configurer une référence de point d'ancrage sécurisé et une référence de magasin de certificats pour valider le certificat envoyé avec le message. Si vous sélectionnez Faire confiance à tout certificat, la signature est validée par le certificat envoyé avec le message mais le certificat lui-même n'est pas validé.
    Utiliser la référence de chemin de certificat : Faire confiance à la référence d'ancrage Un point d'ancrage sécurisé est une configuration définissant un fichier de clés contenant des certificats sécurisés auto-signés et des certificats émis par les autorités de certification. Ces certificats sont sécurisés et peuvent être utilisés avec n'importe quelle application de votre déploiement.
    Utiliser la référence de chemin de certificat : Référence de magasin de certificats Un magasin de certificats correspond à une configuration comportant une collection de certificats X.509. Ces certificats ne sont pas sécurisés pour toutes les applications de votre déploiement mais ils peuvent être utilisés pour valider les certificats d'une application.
  8. Facultatif : Sélectionnez Afficher uniquement les algorithmes compatibles FIPS si vous souhaitez que les algorithmes compatibles FIPS soient affichés dans les listes déroulantes Algorithme de méthode de signature et Algorithme de méthode Digest. Utilisez cette option si l'application doit être exécutée sur un serveur WebSphere Application Server pour lequel l'option Utiliser les algorithmes de la norme FIPS (Federal Information Processing Standard) est définie sur le panneau Gestion des certificats SSL et des clés de la console d'administration de WebSphere Application Server.

Résultats

Important : Si vous configurez correctement les informations de signature du client et du serveur mais que vous recevez une erreur Soap body not signed lors de l'exécution du client, il peut être nécessaire de configurer l'acteur. Vous pouvez configurer l'acteur sur le système client à l'aide de l'éditeur de client de services Web de l'outil d'assemblage dans les emplacements suivants :
  • Cliquez sur Extensions de sécurité > Détails de configuration de service client et indiquez les informations sur l'acteur dans la zone URI acteur.
  • Cliquez sur Extensions de sécurité > Configuration d'expéditeur de requête > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez l'acteur dans les emplacements suivants à l'aide de l'éditeur de services Web dans un outil d'assemblage :
  • Cliquez sur Extensions de sécurité > Configuration de fonction serveur.
  • Sélectionnez Extensions de sécurité > Détails de configuration du service expéditeur de réponse > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.

Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones de l'acteur du client et du serveur sont identiques, la demande ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones de l'acteur peuvent être différentes lorsque vous disposez de services Web assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval. Le processus en aval qui contient la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse. Il est donc indispensable de vérifier que les zones de l'acteur définies sur le client et le serveur sont synchronisées.

Vous avez indiqué la méthode que le client doit utiliser pour vérifier la signature numérique dans les parties du message.

Que faire ensuite

Après avoir configuré le serveur pour la signature des réponses et le client pour la vérification de la signature numérique de la requête, vérifiez que vous avez configuré le client et le serveur pour prendre en charge la requête.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmeth
Nom du fichier : twbs_confclrespdigsignmeth.html