Configuration du serveur pour la vérification des signatures numériques des requêtes : vérification des parties de message

Configurez le serveur pour la vérification des signatures numériques des requêtes en modifiant les extensions pour indiquer les parties de la requête à vérifier.

Avant de commencer

Important : Il existe une différence importante entre les applications version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant de suivre ces étapes, lisez les rubriques suivantes afin de vous familiariser avec les onglets Extensions et Configurations de liaison de l'éditeur de services Web dans les outils d'assemblage : Vous pouvez utiliser ces deux onglets pour configurer les extensions de sécurité des services Web et les liaisons de sécurité des Services Web, respectivement. Vous devez également indiquer les parties du message comportant une signature numérique. Pour déterminer les parties de message signées numériquement, voir Configuration du client pour la signature des requêtes : signature numérique des parties d'un message. Les parties du message indiquées pour l'émetteur de la réponse du serveur doivent correspondre aux parties indiquées pour le destinataire de la réponse du serveur.

Pourquoi et quand exécuter cette tâche

Pour que le serveur vérifie la signature numérique de la requête, effectuez les opérations ci-dessous. Les étapes suivantes expliquent comment modifier les extensions pour indiquer les parties de la requête à vérifier.

Procédure

  1. Lancez un outil d'assemblage. Pour plus d'informations, voir les informations relatives aux outils d'assemblage.
  2. Passez à la perspective Java™ Platform, Enterprise Edition (Java EE). Cliquez sur Fenêtre > Ouvrir la perspective > Autre > J2EE.
  3. Cliquez sur Projets EJB > nom_application > ejbmodule > META-INF.
  4. A l'aide du bouton droit de la souris, cliquez sur le fichier webservices.xml puis sélectionnez Ouvrir avec > Editeur de services Web.
  5. Cliquez sur l'onglet Extensions dans l'éditeur de services Web.
  6. Développez la section Détails de configuration du service réceptionnaire de requête > Intégrité requise. L'option Intégrité requise désigne les parties du message dont la signature numérique doit être vérifiée. La vérification de la signature numérique permet de s'assurer que les parties du message n'ont pas été modifiées lors de leur transmission sur Internet.
  7. Indiquez les parties du message à vérifier en cliquant sur Ajouter et en sélectionnant l'une des trois parties suivantes : body, Timestamp ou SecurityToken. Vous pouvez déterminer les parties du message à vérifier en consultant la configuration du récepteur de la requête du service Web dans l'application client. Pour afficher les informations de configuration de l'expéditeur de la requête du service Web dans l'éditeur de client de services Web, cliquez sur l'onglet Extensions de sécurité et développez Configuration d'expéditeur de requête > Intégrité. La liste suivante inclut une description des parties de message :
    Corps
    Partie du message contenant les données utilisateur.
    Timestamp
    L'élément timestamp (horodatage) détermine si le message est valide en fonction de l'heure à laquelle il a été envoyé et reçu. Si vous avez sélectionné Timestamp, passez à l'étape suivante pour ajouter un horodatage créé au message.
    SecurityToken
    Le jeton de sécurité authentifie le client. Si vous avez sélectionné SecurityToken, le message est signé.
  8. Facultatif : Développez la section Ajouter l'horodatage reçu. La valeur de la zone Ajouter l'horodatage reçu permet de valider l'option Ajouter l'horodatage créé configuré par le client. Vous devez sélectionner cette option si vous avez choisi Ajouter l'horodatage créé sur le client. L'horodatage permet de garantir l'intégrité du message en indiquant l'ancienneté de la requête. Cette option contribue à la protection contre les attaques de type replay.

Résultats

Important : Si vous configurez correctement les informations de signature du client et du serveur mais que vous recevez une erreur Soap body not signed lors de l'exécution du client, il peut être nécessaire de configurer l'acteur. Vous pouvez configurer l'acteur dans les emplacements suivants :
  • Cliquez sur Extensions de sécurité > Détails de configuration de service client et indiquez les informations sur l'acteur dans la zone URI acteur.
  • Cliquez sur Extensions de sécurité > Configuration d'expéditeur de requête > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez l'acteur aux emplacements suivants :
  • Cliquez sur Extensions de sécurité > Configuration de fonction serveur.
  • Sélectionnez Extensions de sécurité > Détails de configuration du service expéditeur de réponse > Détails et indiquez les informations relatives à l'acteur dans la zone Acteur.

Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones de l'acteur du client et du serveur sont identiques, la demande ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones Acteur peuvent être différentes lorsque vous disposez de services Web assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval. Le processus en aval qui contient la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse. Il est donc indispensable de vérifier que les zones de l'acteur définies sur le client et le serveur sont synchronisées.

Vous avez indiqué les parties du message qui comportent une signature numérique et que le serveur doit vérifier lorsque le client envoie un message à un serveur.

Que faire ensuite

Une fois que vous avez indiqué les parties du message comportant une signature numérique que le serveur doit vérifier, vous devez configurer le serveur afin qu'il reconnaisse la méthode à utiliser pour associer la signature numérique au message. Pour plus d'informations, voir Configuration du serveur pour la vérification des signatures numériques des requêtes : choix de la méthode de vérification.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmsg
Nom du fichier : twbs_confsvrreqdigsignmsg.html