Exemples de configurations pour JAX-RPC par défaut

Vous pouvez utiliser des exemples de configuration avec la console d'administration pour les opérations de test. Les configurations que vous spécifiez sont reflétées au niveau de la cellule ou du serveur.

Ces informations décrivent les exemples de liaisons par défaut, les fichiers de clés, les localisateurs de clé, les magasins de certificats de collection, les points d'ancrage de confiance et les évaluateurs d'ID pour WebSphere Application Server selon le modèle de programmation JAX-RPC (API for XML-based RPC). Vous pouvez développer les services Web à l'aide du modèle de programmation JAX-RPC (Java™ API for XML-based RPC), ou, pour WebSphere Application Server version 7 et les versions ultérieures, à l'aide du modèle de programmation JAX-WS (Java API for XML-Based Web Services). Les exemples de liaisons par défaut, de fichiers de clés, de releveurs de coordonnées, de magasins de collections de certificats, d'ancrages sécurisés et d'évaluateurs d'ID dignes de confiance peuvent varier selon le modèle de programmation que vous utilisez.

meilleures pratiques : IBM® WebSphere Application Server prend en charge les modèles de programmation JAX-WS (Java API for XML-Based Web Services) et JAX-RPC (Java API for XML-based RPC). JAX-WS représente la future génération du modèle de programmation des services Web qui étend la base du modèle JAX-RPC. L'utilisation du modèle de programmation JAX-WS stratégique simplifie le développement des services et des clients Web par la prise en charge d'un modèle d'annotations normalisé. Bien que le modèle de programmation et les applications JAX-RPC soient toujours pris en charge, vous avez tout avantage à recourir au modèle de programmation JAX-WS, facile à mettre en oeuvre, pour développer de nouvelles applications et de nouveaux clients de services Web.

N'utilisez pas ces configurations dans un environnement de production car il s'agit d'exemples pouvant être utilisés pour des tests. Pour modifier ces exemples de configuration, utilisez la console d'administration mise à disposition par WebSphere Application Server.

Pour une application de Services Web avec sécurité activée, vous devez configurer correctement un descripteur de déploiement et une liaison. Dans WebSphere Application Server, les applications partagent un ensemble de liaisons par défaut pour faciliter le déploiement. Les informations relatives aux liaisons par défaut au niveau de la cellule et au niveau du serveur peuvent être remplacées par les informations figurant au niveau de l'application. Le serveur d'applications recherche les informations de liaison pour une application au niveau de l'application avant de les rechercher au niveau du serveur, puis au niveau de la cellule.

Les exemples de configuration suivants s'appliquent à WebSphere Application Server associé au modèle de programmation JAX-RPC (API for XML-based RPC).

Liaison de générateur par défaut

WebSphere Application Server propose un ensemble d'exemples de liaisons de générateur par défaut. Les liaisons de générateur par défaut contiennent des informations de signature et des informations de chiffrement.

L'exemple de configuration des informations de signature s'appelle gen_signinfo et contient les éléments de configuration ci-dessous.
  • Utilise les algorithmes suivants pour la configuration gen_signinfo :
    • méthode de signature : http://www.w3.org/2000/09/xmldsig#rsa-sha1,
    • méthode de canonisation : http://www.w3.org/2001/10/xml-exc-c14n#.
  • Fait référence aux informations de clé de signature gen_signkeyinfo. Les informations ci-dessous appartiennent à la configuration gen_signkeyinfo.
    • contient une configuration de référence de partie appelée gen_signpart. La référence de partie n'est pas utilisée par la liaison par défaut. Les informations de signature sont valables pour tous les éléments d'intégrité ou d'intégrité requise dans les descripteurs de déploiement et elles sont utilisées pour les opérations de dénomination uniquement. Les informations ci-dessous appartiennent à la configuration gen_signpart.
      • utilise la configuration de transformation appelée transform1. Les transformations suivantes sont configurées pour les informations de signature par défaut :
        • utilise l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#,
        • utilise la méthode de synthèse (digest) http://www.w3.org/2000/09/xmldsig#sha1.
    • utilise la référence du jeton de sécurité, qui correspond aux informations de clé par défaut configurées.
    • utilise le localisateur de clé SampleGeneratorSignatureKeyStoreKeyLocator. Pour plus d'informations sur ce localisateur de clé, voir Exemples de localisateurs de clé.
    • utilise le générateur de jetons gen_signtgen, dont la configuration est la suivante :
      • contient le générateur de jetons X.509, qui génère le jeton X.509 du signataire,
      • contient l'URI du type de valeur gen_signtgen_vtype,
      • Contient la valeur de nom local de type valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Utilise le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
      • Le mot de passe du fichier de clés est client.
      • Le nom d'alias du certificat digne de confiance est soapca.
      • Le nom d'alias du certificat personnel est soaprequester.
      • Le mot de passe clé client est émis par une autorité de certificat intermédiaire Int CA2, qui est elle-même émise par soapca.
L'exemple de configuration des informations de chiffrement s'appelle gen_encinfo et contient les éléments de configuration ci-dessous.
  • utilise les algorithmes suivants pour la configuration gen_encinfo :
    • méthode de chiffrement des données : http://www.w3.org/2001/04/xmlenc#tripledes-cbc,
    • méthode de chiffrement des clés : http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • Fait référence aux informations de clé de chiffrement gen_enckeyinfo. Les informations ci-dessous appartiennent à la configuration gen_enckeyinfo.
    • utilise l'identificateur de clé comme informations de clé par défaut.
    • contient une référence au localisateur de clé SampleGeneratorEncryptionKeyStoreKeyLocator. Pour plus d'informations sur ce localisateur de clé, voir Exemples de localisateurs de clé.
    • utilise le générateur de jetons gen_signtgen, dont la configuration est la suivante :
      • contient le générateur de jetons X.509, qui génère le jeton X.509 du signataire,
      • contient l'URI du type de valeur gen_enctgen_vtype,
      • Contient la valeur de nom local de type valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Utilise le gestionnaire de rappels X.509. Le gestionnaire de rappels appelle le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
      • Le mot de passe du fichier de clés est storepass.
      • Le nom d'alias de la clé secrète CN=Group1 est Group1 et son mot de passe clé est keypass.
      • Le nom d'alias de la clé publique CN=Bob, O=IBM, C=US est bob et son mot de passe clé est keypass.
      • Le nom d'alias de la clé privée CN=Alice, O=IBM, C=US est alice et son mot de passe clé est keypass.

Liaison de destinataire par défaut

WebSphere Application Server propose un ensemble d'exemples de liaisons de destinataire par défaut. La liaison de destinataire par défaut contient des informations de signature et des informations de chiffrement.

L'exemple de configuration des informations de signature s'appelle con_signinfo et contient les éléments de configuration ci-dessous.
  • utilise les algorithmes suivants pour la configuration con_signinfo :
    • méthode de signature : http://www.w3.org/2000/09/xmldsig#rsa-sha1,
    • méthode de canonisation : http://www.w3.org/2001/10/xml-exc-c14n#.
  • utilise la référence aux informations de clé de signature con_signkeyinfo. Les informations ci-dessous appartiennent à la configuration con_signkeyinfo.
    • contient une configuration de référence de partie appelée con_signpart. La référence de partie n'est pas utilisée par la liaison par défaut. Les informations de signature sont valables pour tous les éléments d'intégrité ou d'intégrité requise dans les descripteurs de déploiement et elles sont utilisées pour les opérations de dénomination uniquement. Les informations ci-dessous appartiennent à la configuration con_signpart.
      • utilise la configuration de transformation appelée reqint_body_transform1. Les transformations suivantes sont configurées pour les informations de signature par défaut :
        • utilise l'algorithme http://www.w3.org/2001/10/xml-exc-c14n#,
        • utilise la méthode de synthèse (digest) http://www.w3.org/2000/09/xmldsig#sha1.
    • utilise la référence du jeton de sécurité, qui correspond aux informations de clé par défaut configurées.
    • utilise le localisateur de clé SampleX509TokenKeyLocator. Pour plus d'informations sur ce localisateur de clé, voir Exemples de localisateurs de clé.
    • fait référence à la configuration du destinataire du jeton con_signtcon. Les informations ci-dessous appartiennent à la configuration con_signtcon.
      • utilise le destinataire du jeton X.509, qui est configuré en tant que destinataire des informations de signature par défaut.
      • contient l'URI du type de valeur signtconsumer_signtgen_vtype.
      • Contient la valeur de nom local de type valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • contient une configuration JAAS appelée system.wssecurity.X509BST qui fait référence aux informations suivantes :
      • Ancrage de confiance : SampleClientTrustAnchor
      • magasin de certificats de collection : SampleCollectionCertStore.
La configuration des informations de chiffrement s'appelle con_encinfo et contient les éléments de configuration ci-dessous.
  • Utilise les algorithmes suivants pour la configuration con_encinfo :
    • méthode de chiffrement des données : http://www.w3.org/2001/04/xmlenc#tripledes-cbc,
    • méthode de chiffrement des clés : http://www.w3.org/2001/04/xmlenc#rsa-1_5.
  • Fait référence aux informations de clé de chiffrement con_enckeyinfo. Cette clé déchiffre le message. Les informations ci-dessous appartiennent à la configuration con_enckeyinfo.
    • Utilise l'identificateur de clé, qui correspond aux informations de clé pour les informations de chiffrement par défaut.
    • Contient une référence au localisateur de clé SampleConsumerEncryptionKeyStoreKeyLocator. Pour plus d'informations sur ce localisateur de clé, voir Exemples de localisateurs de clé.
    • Fait référence à la configuration du destinataire du jeton con_enctcon. Les informations ci-dessous appartiennent à la configuration con_enctcon.
      • Utilise le destinataire du jeton X.509, qui est configuré pour les informations de chiffrement par défaut.
      • Contient l'URI du type de valeur enctconsumer_vtype.
      • Contient la valeur de nom local de type valeur http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
    • Contient une configuration JAAS appelée system.wssecurity.X509BST.

Exemples de configurations des fichiers de clés

[Windows]WebSphere Application Server propose les fichiers de clés suivants. Vous pouvez les utiliser hors du serveur d'applications à l'aide de l'utilitaire iKeyman ou de l'outil de clés.
  • L'utilitaire iKeyman se trouve dans le répertoire suivant : racine_serveur_app/bin/ikeyman
  • L'outil de clés se trouve dans le répertoire suivant : racine_serveur_app/java/jre/bin/keytool
[AIX HP-UX Solaris][Linux]WebSphere Application Server propose les fichiers de clés suivants. Vous pouvez les utiliser hors du serveur d'applications à l'aide de l'utilitaire iKeyman ou de l'outil de clés.
  • L'utilitaire iKeyman se trouve dans le répertoire suivant : racine_serveur_app\bin\ikeyman.sh
  • L'outil de clés se trouve dans le répertoire suivant : racine_serveur_app\java\jre\bin\keytool.sh

Les exemples de fichiers de clés suivants sont conçus pour des activités de test uniquement ; ne les utilisez pas dans un environnement de production.

  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • Le format du fichier de clés est JKS.
    • Le mot de passe du fichier de clés est client.
    • Le nom d'alias du certificat digne de confiance est soapca.
    • Le nom d'alias du certificat personnel est soaprequester et son mot de passe clé, émis par l'autorité de certificat intermédiaire Int CA2, qui elle-même est émise par soapca, est client.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • Le format du fichier de clés est JKS.
    • Le mot de passe du fichier de clés est server.
    • Le nom d'alias du certificat digne de confiance est soapca.
    • Le nom d'alias du certificat personnel est soapprovider et son mot de passe clé, émis par l'autorité de certificat intermédiaire Int CA2, qui elle-même est émise par soapca, est server.
  • ${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/enc-sender.jceks
    • Le format du fichier de clés est JCEKS.
    • Le mot de passe du fichier de clés est storepass.
    • Le nom d'alias de la clé secrète DES CN=Group1 est Group1 et son mot de passe clé est keypass.
    • Le nom d'alias de la clé publique CN=Bob, O=IBM, C=US est bob et son mot de passe clé est keypass.
    • Le nom d'alias de la clé privée CN=Alice, O=IBM, C=US est alice et son mot de passe clé est keypass.
  • ${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/enc-receiver.jceks
    • Le format du fichier de clés est JCEKS.
    • Le mot de passe du fichier de clés est storepass.
    • Le nom d'alias de la clé secrète DES CN=Group1 est Group1 et son mot de passe clé est keypass.
    • Le nom d'alias de la clé privée CN=Bob, O=IBM, C=US est bob et son mot de passe clé est keypass.
    • Le nom d'alias de la clé publique CN=Alice, O=IBM, C=US est alice et son mot de passe clé est keypass.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • Le certificat intermédiaire est signé par soapca, qui signe soaprequester et soapprovider.

Exemples de localisateurs de clé

Les localisateurs de clé permettent de rechercher la clé de la signature numérique, du chiffrement et du déchiffrement. Pour des informations relatives à la modification des exemples de configuration des localisateurs de clé, consultez les articles suivants :
SampleClientSignerKey
L'expéditeur de la demande d'une application de version 5.x utilise ce localisateur de clé pour signer le message SOAP. Le nom de la clé de signature est clientsignerkey et est référencé dans les informations de signature en tant que nom de la clé de signature.
SampleServerSignerKey
L'expéditeur de la réponse d'une application de version 5.x utilise ce localisateur de clé pour signer le message SOAP. Le nom de la clé de signature est serversignerkey, qui peut être référencé dans les informations de signature comme le nom de la clé de signature.
SampleSenderEncryptionKeyLocator
L'émetteur d'une application de version 5.x utilise ce localisateur de clé pour chiffrer le message SOAP. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. L'implémentation est configurée pour la clé secrète DES. Pour utiliser le chiffrement asymétrique (RSA), vous devez ajouter les clés RSA appropriées.
SampleReceiverEncryptionKeyLocator
Le destinataire d'une application de version 5.x utilise ce localisateur de clé pour déchiffrer le message SOAP. L'implémentation est configurée pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks et le releveur de coordonnées de fichier de clés com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. L'implémentation est configurée pour le chiffrement symétrique (DES ou TRIPLEDES). Pour utiliser RSA, vous devez ajouter la clé privée CN=Bob, O=IBM, C=US, dont le nom d'alias est bob et le mot de passe clé keypass.
SampleResponseSenderEncryptionKeyLocator
L'expéditeur de la réponse d'une application de version 5.x utilise ce localisateur de clé pour chiffrer le message de réponse SOAP. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks et le releveur de coordonnées de fichier de clés com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator. Ce localisateur de clé mappe une identité authentifiée (de l'unité d'exécution en cours) vers une clé publique pour le chiffrement. Par défaut, WebSphere Application Server est configuré pour un mappage vers la clé publique alice et vous devez modifier la configuration de WebSphere Application Server pour lui affecter l'utilisateur approprié. Le localisateur de clé SampleResponseSenderEncryptionKeyLocator peut également définir une clé par défaut pour le chiffrement. Par défaut, ce localisateur de clé est configuré pour utiliser la clé publique alice.
SampleGeneratorSignatureKeyStoreKeyLocator
Le générateur utilise ce localisateur de clé pour signer le message SOAP. Le nom de la clé de signature est SOAPRequester et est référencée dans les informations de signature en tant que nom de la clé de signature. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleConsumerSignatureKeyStoreKeyLocator
Le destinataire utilise ce localisateur de clé pour vérifier la signature numérique dans le message SOAP. La clé de signature est SOAPProvider et est référencée dans les informations de signature. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleGeneratorEncryptionKeyStoreKeyLocator
Le générateur utilise ce localisateur de clé pour chiffrer le message SOAP. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleConsumerEncryptionKeyStoreKeyLocator
Le destinataire utilise ce localisateur de clé pour déchiffrer un message SOAP codé. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
SampleX509TokenKeyLocator
Le destinataire utilise ce localisateur de clé pour vérifier un certificat numérique dans un certificat X.509. Il est configuré pour utiliser le fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks et le releveur de coordonnées de fichier de clé com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.

Exemple de magasin de certificats de collection

Les magasins de certificats de collection permettent de valider le chemin d'accès à un certificat. Pour des informations relatives à la modification de l'exemple de magasin de certificats de collection, consultez les articles suivants :
SampleCollectionCertStore
Le destinataire de la réponse et le générateur de la demande utilisent ce magasin de certificats de collection pour valider le chemin d'accès au certificat du signataire.

Exemples de point d'ancrage de confiance

Les ancrages de confiance permettent de valider la fiabilité du certificat de signataire. Pour obtenir des informations relatives à la modification des exemples de configuration d'ancrage de confiance, voir les articles suivants :
SampleClientTrustAnchor
Cet ancrage de confiance est utilisé par le consommateur de réponse pour valider le certificat de signataire. Il est configuré de sorte qu'il puisse accéder au fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
SampleServerTrustAnchor
Cet ancrage de confiance est utilisé par le consommateur de demande pour valider le certificat de signataire. Il est configuré de sorte qu'il puisse accéder au fichier de clés ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.

Exemples d'évaluateurs d'ID dignes de confiance

Les évaluateurs d'ID dignes de confiance permettent d'établir une relation de confiance avant d'assumer l'identité dans le cadre du processus d'assertion d'identité. Pour des informations sur la modification de l'exemple de configuration de l'évaluateur d'ID dignes de confiance, voir Configuration des évaluateurs d'ID dignes de confiance au niveau du serveur ou de la cellule.
SampleTrustedIDEvaluator
Cet évaluateur d'ID dignes de confiance utilise l'implémentation com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. L'implémentation par défaut com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator contient une liste d'identités fiables. Cette liste, qui est utilisée pour l'assertion d'identités, définit une paire nom de clé/valeur pour chaque identité fiable. Le nom de clé est de la forme trustedId_* et la valeur est l'identité proprement dite. Pour plus d'informations, voir l'exemple dans la section Configuration des évaluateurs d'ID dignes de confiance au niveau du serveur ou de la cellule.
Procédez aux opérations ci-dessous pour définir ces informations au niveau de la cellule dans la console d'administration.
  1. Cliquez sur Sécurité > Services Web.
  2. Dans la section Propriétés supplémentaires, sélectionnez Evaluateurs d'ID dignes de confiance > SampleTrustedIDEvaluator.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxrpc
Nom du fichier : cwbs_defaultconfigjaxrpc.html