Configuration du localisateur de clé à l'aide de JAX-RPC pour la liaison de générateur au niveau de l'application
Les informations du localisateur de clé pour le générateur par défaut indiquent quelle implémentation de localisateur de clé utiliser pour localiser la clé à utiliser pour les informations de signature et de chiffrement. Les informations du localisateur de clé pour le générateur indiquent quelle implémentation de localisateur de clé utiliser pour localiser la clé à utiliser pour la validation de signature ou le chiffrement.
Pourquoi et quand exécuter cette tâche
WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, vous devez modifier les valeurs par défaut pour un environnement de production.
Pour configurer le localisateur de clé pour la liaison de générateur au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des informations de chiffrement dans la console d'administration.
- Cliquez sur Applications > Types d'applications > Applications d'entreprise WebSphere > nom_application.
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous pouvez
accéder aux informations de clés pour les liaisons de générateur de demande et de réponse.
- Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés supplémentaires, cliquez sur Localisateurs de clé.
- Cliquez sur Nouveau pour créer une configuration de localisateur de clé, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de magasin de certificats de collection pour modifier ses paramètres. Si vous créez une configuration, entrez un nom unique dans la zone Nom du localisateur de clé. Par exemple, vous pouvez spécifier gen_keyloc.
- Indiquez un nom de classe pour l'implémentation de classe du localisateur de
clé dans la zone Nom de la classe du localisateur de clé. L'implémentation du module de connexion JAAS (Java™
Authentication and Authorization Service) permet de créer le jeton de sécurité côté générateur. Le nom de classe doit être indiqué en fonction des conditions requises par l'application. Par exemple, si la clé doit être lue à partir d'un fichier de clés, spécifiez l'implémentation com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator. WebSphere Application
Server prend en charge les implémentations de classe de localisateur de clés suivantes pour
les applications des version 6.0.x et ultérieures, disponibles pour une utilisation avec les générateurs de requête et de réponse :
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
- Cette implémentation recherche et extrait la clé du fichier de clés spécifié.
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- Cette implémentation utilise la clé publique du certificat d'auto-signature ; elle est utilisée par le générateur de réponse.
- Indiquez le mot de passe, l'emplacement et le type du fichier de clés. Les fichiers de clés contiennent des clés publiques et privées, des certificats d'autorité de certification (CA) racine, le certificat d'autorité de certification intermédiaire, etc. Les clés extraites du fichier de clés permettent de signer et valider ou de chiffrer et déchiffrer les messages ou les parties de message.
Si vous avez spécifié l'implémentation com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator pour l'implémentation de classe du localisateur de clé, vous devez indiquer le mot de passe, l'emplacement et le type du fichier de clés.
- Indiquez un mot de passe dans la zone Mot de passe du fichier de clés. Ce mot de passe permet d'accéder au fichier du magasin de clés.
- Indiquez l'emplacement du fichier de clés dans la zone Chemin d'accès.
- Sélectionnez un type de fichier de clés dans la zone Type. L'extension JCE (Java Cryptography Extension) utilisée par IBM® prend en charge les types de fichier de clés suivants :
- JKS
- Utilisez cette option si vous n'employez pas les extensions JCE (Java Cryptography Extensions) et si votre fichier de clés utilise le format JKS (Java Keystore).
- JCEKS
- Utilisez cette option si vous utilisez les extensions JCE (Java Cryptography Extensions).
- JCERACFKS
- Utilisez JCERACFKS si les certificats sont stockés dans un fichier de clés SAF (z/OS uniquement).
- PKCS11KS (PKCS11)
- Utilisez cette option si votre fichier de clés utilise le format de fichier PKCS#11. Les fichiers de clés utilisant ce format peuvent contenir des clés RSA stockées sur du matériel de chiffrement, ou bien ils peuvent chiffrer des clés qui utilisent du matériel de ce type pour assurer la protection.
- PKCS12KS (PKCS12)
- Utilisez cette option si votre fichier de clés utilise le format de fichier PKCS#12.
WebSphere Application Server fournit quelques exemples de fichiers de clés dans le répertoire ${USER_INSTALL_ROOT}/etc/ws-security/samples. Par exemple, vous pouvez utiliser le fichier de clés enc-receiver.jceks pour les clés de chiffrement. Le mot de passe de ce fichier est Storepass et son type est JCEKS.Restriction : N'utilisez pas les exemples de fichier de clés dans un environnement de production. Ces exemples sont fournis à des fins de test uniquement.
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
- Sous Propriétés supplémentaires, cliquez sur Clés.
- Cliquez sur Nouveau pour créer une configuration de clé, cochez la case située en regard de la configuration et cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration de clé pour modifier ses paramètres. Cette entrée indique le nom de l'objet de clé contenu dans le fichier de clés. Si vous créez une configuration, entrez un nom unique dans la zone Nom de clé.
Pour les signatures numériques, le nom de clé est utilisé par les informations de signature du générateur de demande ou de réponse pour déterminer quelle clé utiliser pour signer numériquement le message.
Vous devez utiliser un nom distinctif complet comme nom de clé. Par exemple, vous pouvez spécifier CN=Bob,O=IBM,C=US.
Important : N'utilisez pas les exemples de fichier de clés dans un environnement de production. Ces exemples sont fournis à des fins de test uniquement. - Indiquez un alias dans la zone Alias de clé. L'alias de clé est utilisé par le localisateur de clé pour rechercher les objets de clé dans le fichier de clés.
- Indiquez un mot de passe dans la zone Mot de passe. Le mot de passe permet d'accéder à l'objet de clé dans le fichier de clés.
- Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
Résultats
Que faire ensuite
Sous-rubriques
Collection de localisateurs de clé
Utilisez cette page pour visualiser la liste des configurations de localisateur de clé chargées d'extraire les clés du fichier de clés à des fins de signature numérique et de chiffrement. Un localisateur de clé doit implémenter l'interface com.ibm.wsspi.wssecurity.config.KeyLocator.Paramètres de configuration du localisateur de clé
Utilisez cette page pour spécifier les paramètres d'une configuration de localisateur de clé. Les localisateurs de clé extraient les clés du fichier de clés pour la signature numérique et le chiffrement. Ce produit permet d'ajouter une configuration de localisateur de clé personnalisée.Collection des propriétés de la sécurité des services Web
Cette page permet d'afficher la liste des propriétés supplémentaires pour la configuration.Paramètres de configuration des propriétés de sécurité des services Web
Cette page permet de configurer des propriétés de sécurité supplémentaires.Collection de localisateurs de clé
Utilisez cette page pour visualiser la liste des configurations de localisateur de clé chargées d'extraire les clés du fichier de clés à des fins de signature numérique et de chiffrement. Un localisateur de clé doit implémenter l'interface com.ibm.wsspi.wssecurity.config.KeyLocator.Paramètres de configuration du localisateur de clé
Utilisez cette page pour spécifier les paramètres d'une configuration de localisateur de clé. Les localisateurs de clé extraient les clés du fichier de clés pour la signature numérique et le chiffrement. Ce produit permet d'ajouter une configuration de localisateur de clé personnalisée.Collection des propriétés de la sécurité des services Web
Cette page permet d'afficher la liste des propriétés supplémentaires pour la configuration.Paramètres de configuration des propriétés de sécurité des services Web
Cette page permet de configurer des propriétés de sécurité supplémentaires.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocgenapp
Nom du fichier : twbs_configkeylocgenapp.html