Configuration du serveur pour la vérification des signatures numériques des requêtes : choix de la méthode de vérification

Pour configurer le serveur afin qu'il vérifie les signatures numériques des requêtes, utilisez un outil d'assemblage pour modifier les extensions et indiquer quelle méthode de signature numérique le serveur utilisera lors de la vérification.

Avant de commencer

Important : Il existe une différence importante entre les applications version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant d'effectuer ces étapes, reportez-vous aux rubriques suivantes pour vous familiariser avec les onglets Extensions et Configurations de liaison de l'Editeur de services Web de l'outil d'assemblage IBM® : Vous pouvez utiliser ces deux onglets pour configurer les extensions de sécurité des services Web et les liaisons de sécurité des Services Web, respectivement. Vous devez également indiquer les parties du message contenant des informations de signature numérique que le serveur doit vérifier. Voir Configuration du serveur pour la vérification des signatures numériques des requêtes : vérification des parties de message. Les parties du message indiquées pour l'émetteur de la réponse du serveur doivent correspondre aux parties indiquées pour le destinataire de la réponse du serveur. De la même manière, la méthode de signature numérique choisie pour le client doit correspondre à celle utilisée par le serveur.

Pourquoi et quand exécuter cette tâche

Pour que le serveur vérifie la signature numérique de la requête, effectuez les opérations ci-dessous. Les étapes suivantes expliquent comment modifier les extensions pour indiquer quelle méthode de signature numérique le serveur utilisera lors de la vérification.

Procédure

  1. Lancez un outil d'assemblage. Pour plus d'informations, consultez les informations relatives aux outils d'assemblage.
  2. Passez à la perspective Java™ EE (Java Platform, Enterprise Edition). Cliquez sur Fenêtre > Ouvrir la perspective > Autre > J2EE.
  3. Cliquez sur Projets EJB > nom_application > ejbmodule > META-INF.
  4. A l'aide du bouton droit de la souris, cliquez sur le fichier webservices.xml puis sélectionnez Ouvrir avec > Editeur de services Web.
  5. Cliquez sur l'onglet Configurations de liaison.
  6. Développez la section Détails de configuration de liaison de réceptionnaire de requête > Informations de signature.
  7. Cliquez sur Editer pour modifier les informations de signature. La boîte de dialogue Informations de signature s'affiche. Sélectionnez ou entrez les informations suivantes :
    • Algorithme de méthode de canonisation
    • Algorithme de méthode de synthèse (Digest)
    • Algorithme de méthode de signature
    • Utiliser la référence de chemin de certificat
    • Référence du point d'ancrage sécurisé
    • Référence de magasin de certificats
    • Faire confiance à tout certificat
    Pour plus d'informations sur les concepts liés à la signature numérique des messages SOAP, voir Signature numérique XML. Le tableau ci-après indique la finalité de ces options. Certaines de ces définitions reposent sur la spécification Signature XML, disponible sur le site http://www.w3.org/TR/xmldsig-core.
    Tableau 1. Méthodes de signature numérique. La méthode de signature numérique fait partie de la configuration de liaison.
    Chaîne Rôle
    Algorithme de méthode de canonisation Canonise l'élément <SignedInfo> avant que les informations ne soient traitées lors de l'opération de signature. L'algorithme sélectionné pour la configuration du récepteur de la requête serveur doit correspondre à l'algorithme choisi dans la configuration de l'expéditeur de la requête client.
    Algorithme de méthode de synthèse (Digest) S'applique aux données après les opérations de conversion éventuelles pour générer l'élément <DigestValue>. La signature de l'élément <DigestValue> lie le contenu de la ressource à la clé du signataire. L'algorithme sélectionné pour la configuration du récepteur de la requête serveur doit correspondre à l'algorithme choisi dans la configuration de l'expéditeur de la requête client.
    Algorithme de méthode de signature Convertit l'élément <SignedInfo> canonisé en élément <SignatureValue>. L'algorithme sélectionné pour la configuration du récepteur de la requête serveur doit correspondre à l'algorithme choisi dans la configuration de l'expéditeur de la requête client.
    Utiliser la référence de chemin de certificat ou Faire confiance à tout certificat Valide un certificat ou une signature envoyé(e) avec un message. La clé publique utilisée pour signer un message est transmise avec le message. La clé publique ou le certificat peuvent ne pas être validés par le récepteur. Si vous sélectionnez Utiliser la référence de chemin de certificat, vous devez configurer une référence de point d'ancrage sécurisé et une référence de magasin de certificats pour valider le certificat envoyé avec le message. Si vous sélectionnez Faire confiance à tout certificat, la signature est validée par le certificat envoyé avec le message mais le certificat lui-même n'est pas validé.
    Utiliser la référence de chemin de certificat : Faire confiance à la référence d'ancrage Correspond à un fichier de clés contenant des certificats sécurisés, auto-signés et des certificats émis par les autorités de certification. Ces certificats sont sécurisés et peuvent être utilisés avec n'importe quelle application de votre déploiement.
    Utiliser la référence de chemin de certificat : Référence de magasin de certificats Contient une collection de certificats X.509. Ces certificats ne sont pas sécurisés pour toutes les applications de votre déploiement mais ils peuvent être utilisés pour valider les certificats d'une application.
  8. Facultatif : Sélectionnez Afficher uniquement les algorithmes compatibles FIPS si vous souhaitez que les algorithmes compatibles FIPS soient affichés dans les listes déroulantes Algorithme de méthode de signature et Algorithme de méthode Digest. Utilisez cette option si vous prévoyez d'exécuter l'application sur un serveur WebSphere Application Server pour lequel l'option Utiliser les algorithmes de la norme FIPS (Federal Information Processing Standard) est définie dans le panneau Gestion des certificats SSL et des clés de la console d'administration.

Résultats

Important : Si vous configurez correctement les informations de signature du client et du serveur mais que vous recevez une erreur Soap body not signed lors de l'exécution du client, il peut être nécessaire de configurer l'acteur. Vous pouvez configurer l'acteur aux emplacements suivants sur le client :
  • Cliquez sur Extensions de sécurité > Détails de configuration de service client et indiquez les informations sur l'acteur dans la zone URI acteur.
  • Cliquez sur Extensions de sécurité > Configuration d'expéditeur de requête > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez l'acteur aux emplacements suivants :
  • Cliquez sur Extensions de sécurité > Configuration de fonction serveur.
  • Sélectionnez Extensions de sécurité > Détails de configuration du service expéditeur de réponse > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.

Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones de l'acteur du client et du serveur sont identiques, la demande ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones Acteur peuvent être différentes lorsque vous disposez de services Web assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval. Le processus en aval qui contient la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse. Il est donc indispensable de vérifier que les zones de l'acteur définies sur le client et le serveur sont synchronisées.

Vous avez indiqué la méthode que le serveur doit utiliser pour vérifier la signature numérique dans les parties du message.

Que faire ensuite

Après avoir configuré le client pour la signature des requêtes et le serveur pour la vérification de la signature numérique de la requête, vous devez configurer le serveur et le client pour prendre en charge la réponse. Indiquez ensuite la signature de la réponse pour le serveur. Pour plus d'informations, voir Configuration du serveur pour la signature des réponses : signature numérique des parties d'un message.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
Nom du fichier : twbs_confsvrreqdigsignmeth.html