Configuration des informations de signature à l'aide de JAX-RPC pour la liaison de générateur au niveau de l'application
Vous pouvez configurer les informations de signature pour les liaisons de générateur de demande côté client et générateur de réponse côté serveur au niveau de l'application.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Cette tâche présente les étapes à suivre pour configurer les informations de signature pour les liaisons de générateur de demande côté client et de réponse côté serveur au niveau de l'application. WebSphere Application Server utilise les informations de signature du générateur par défaut pour signer les parties du message, y compris le corps, l'horodatage et le jeton de nom d'utilisateur. WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, un administrateur doit modifier les valeurs par défaut pour le cas d'un environnement de production. Pour configurer les informations de signature pour les sections de générateur des fichiers de liaison au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des informations de signature dans la console d'administration.
- Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous pouvez
accéder aux informations relatives à la signature pour les liaisons de générateur de demande et
de réponse.
- Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés requises, cliquez sur Informations relatives à la signature.
- Cliquez sur Nouveau pour créer une configuration d'informations de signature, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de signature pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom des informations de signature. Par exemple, vous pouvez indiquer gen_signinfo.
- Sélectionnez un algorithme de méthode de signature dans la zone Méthode de signature. L'algorithme spécifié pour le générateur, qu'il s'agisse de la configuration de générateur de demande ou de réponse, doit correspondre à celui qui est défini pour le destinataire, qu'il s'agisse de la configuration de destinataire de demande ou de réponse. WebSphere
Application Server prend en charge les algorithmes préconfigurés suivants :
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1Restriction : N'utilisez pas cet algorithme si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
Tout élément ds:SignatureMethod/@Algorithm d'une SIGNATURE reposant sur une clé symétrique doit avoir la valeur http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- Sélectionnez une méthode de canonisation dans la zone Méthode
de canonisation. L'algorithme de canonisation spécifié pour le générateur doit correspondre à celui défini pour le destinataire. WebSphere
Application Server prend en charge les algorithmes préconfigurés suivants :
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Sélectionnez un type de signature des informations de clé dans la zone de ce nom. WebSphere
Application Server prend en charge les types de signature suivants :
- Aucun
- Indique que l'élément <KeyInfo> n'est pas signé.
- Keyinfo
- Indique que l'élément entier <KeyInfo> est signé.
- Keyinfochildelements
- Indique que les éléments enfant de l'élément <KeyInfo> sont signés.
Le type de signature des informations de clé du gestionnaire doit correspondre au type de signature du destinataire. Les cas de figure suivants peuvent se présenter :- Si vous n'indiquez pas l'un des types de signatures précédents, WebSphere Application Server utilise keyinfo par défaut.
- Si vous sélectionnez Keyinfo ou Keyinfochildelements, puis http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation dans une étape ultérieure, WebSphere Application Server signe également le jeton référencé.
- Sélectionnez une référence d'informations de clé de signature dans la zone Informations des clés de signature. Cette sélection est une référence à la clé de signature utilisée par WebSphere Application Server pour générer des signatures numériques.
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
- Cliquez sur le nom de la configuration d'informations de signature. Cette configuration correspond à celle que vous avez spécifiée à une étape précédente.
- Indiquez la référence de partie, l'algorithme digest et l'algorithme de transformation. La référence de partie indique les parties du message à signer numériquement.
- Dans la section Propriétés supplémentaires, cliquez sur Références de partie > Nouveau pour créer une référence de partie, cliquez sur Références de partie > Supprimer pour supprimer une référence de partie ou cliquez sur un nom de partie pour modifier une référence de partie.
- Indiquez un nom de partie unique pour cette référence de partie. Par exemple, vous pouvez spécifier reqint.
- Sélectionnez une référence de partie dans la zone de ce nom.
La référence de la portion fait référence à la partie du message signée numériquement. L'attribut de partie désigne le nom de l'élément <Integrity> dans le descripteur de déploiement lorsque l'élément <PartReference> est spécifié pour la signature. Vous pouvez spécifier plusieurs éléments <PartReference> dans l'élément <SigningInfo>. L'élément <PartReference> possède deux éléments enfant spécifiés pour la signature : <DigestTransform> et <Transform>.
- Sélectionnez un algorithme de méthode digest dans le menu. L'algorithme de méthode digest spécifié dans l'élément <DigestMethod> est utilisé dans l'élément <SigningInfo>. WebSphere Application Server prend en charge les algorithmes suivants :
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Cliquez sur OK pour sauvegarder la configuration.
- Cliquez sur le nom de la nouvelle configuration de référence de partie. Cette configuration correspond à celle que vous avez spécifiée à une étape précédente.
- Dans la section Propriétés supplémentaires, cliquez sur Transformations > Nouveau pour créer une transformation, cliquez sur Transformations > Supprimer pour supprimer une transformation ou cliquez sur un nom de transformation pour modifier une transformation. Si vous créez une configuration de transformation, spécifiez un nom unique. Par exemple, vous pouvez indiquer reqint_body_transform1.
- Sélectionnez un algorithme de transformation dans le menu. L'algorithme de transformation correspond à celui défini dans l'élément <Transform> et
il indique l'algorithme de transformation utilisé pour la signature. WebSphere
Application Server prend en charge les algorithmes
suivants :
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116Restriction : N'utilisez pas cet algorithme de transformation si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile). A la place, utilisez http://www.w3.org/2002/06/xmldsig-filter2 pour assurer la compatibilité.
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
L'algorithme de transformation sélectionné pour le générateur doit correspondre à celui qui est défini pour le destinataire.Important : Si les deux conditions suivantes sont vraies, WebSphere Application Server signe le jeton référencé :- Vous avez sélectionné précédemment l'option Keyinfo ou Keyinfochildelements dans la zone Type de signature des informations de clé, située dans le panneau des informations de signature.
- Vous sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation.
- Cliquez sur Appliquer.
- Facultatif : Déterminez si vous devez désactiver la liste
des préfixes d'espace de nom inclusive. La spécification Exclusive XML Canonicalization Version 1.0 recommande d'inclure toutes les
déclarations d'espace de nom correspondant au préfixe d'espace de nom sous la forme
de canonisation. Pour des raisons de sécurité, WebSphere
Application Server inclut par défaut le
préfixe compris dans la signature numérique pour la sécurité des services Web. Certaines
implémentations de la sécurité des services Web ne permettent toutefois pas de gérer cette liste
de préfixes. WebSphere
Application Server peut gérer des messages associés à une signature numérique qui contiennent ou non la liste de préfixes. En cas d'incident de validation des signatures lors de l'envoi d'un message SOAP (Simple Object Access Protocol), si vous utilisez un autre fournisseur de services dans votre environnement, vérifiez auprès du fournisseur s'il existe un correctif pour son implémentation avant de désactiver cette propriété. Pour désactiver cette propriété,
procédez comme suit :
- Dans Propriétés supplémentaires, cliquez sur Propriétés > Nouveau.
- Dans la zone Nom de la propriété, entrez com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces.
- Dans la zone Valeur de la propriété, entrez false.
- Cliquez sur OK.
Vous pouvez définir cette propriété pour les configurations du générateur de demande et du générateur de réponse.
- Cliquez sur Sauvegarder pour sauvegarder votre configuration.
Résultats
Que faire ensuite
Sous-rubriques
Collection d'informations de signature
Cette page permet d'afficher la liste des paramètres de signature. Les informations de signature sont utilisées pour signer et valider certaines parties d'un message, notamment le corps, l'horodatage et le jeton du nom d'utilisateur. Vous pouvez également utiliser ces paramètres pour la validation X.509 lorsque la méthode d'authentification est IDAssertion et que le type d'ID est X509Certificate dans la configuration au niveau serveur. Dans de tels cas, vous devez uniquement compléter les zones relatives au chemin d'accès au certificat.Paramètres de configuration des informations de signature
Cette page permet de configurer de nouveaux paramètres de signature.Collection des références de partie
La page de collection des références de partie permet d'afficher les références de partie d'un message relatives à la signature et au chiffrement définis dans les descripteurs de déploiement.Paramètres de configuration des références de partie
Cette page de paramètres permet de spécifier une référence aux parties du message relatives à la signature et au chiffrement définies dans les descripteurs de déploiement.Collection des transformations
Cette page permet d'afficher l'algorithme de transformation utilisé pour le traitement du message de sécurité des services Web.Paramètres de configuration des transformations
Cette page permet de spécifier l'algorithme de transformation utilisé pour le traitement du message de sécurité des services Web.Collection d'informations de signature
Cette page permet d'afficher la liste des paramètres de signature. Les informations de signature sont utilisées pour signer et valider certaines parties d'un message, notamment le corps, l'horodatage et le jeton du nom d'utilisateur. Vous pouvez également utiliser ces paramètres pour la validation X.509 lorsque la méthode d'authentification est IDAssertion et que le type d'ID est X509Certificate dans la configuration au niveau serveur. Dans de tels cas, vous devez uniquement compléter les zones relatives au chemin d'accès au certificat.Paramètres de configuration des informations de signature
Cette page permet de configurer de nouveaux paramètres de signature.Collection des références de partie
La page de collection des références de partie permet d'afficher les références de partie d'un message relatives à la signature et au chiffrement définis dans les descripteurs de déploiement.Paramètres de configuration des références de partie
Cette page de paramètres permet de spécifier une référence aux parties du message relatives à la signature et au chiffrement définies dans les descripteurs de déploiement.Collection des transformations
Cette page permet d'afficher l'algorithme de transformation utilisé pour le traitement du message de sécurité des services Web.Paramètres de configuration des transformations
Cette page permet de spécifier l'algorithme de transformation utilisé pour le traitement du message de sécurité des services Web.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
Nom du fichier : twbs_configsigninfogenapp.html