Configuration des informations de signature à l'aide de JAX-RPC pour la liaison de destinataire au niveau du serveur ou de la cellule

Vous pouvez configurer les informations de signature pour les liaisons de générateur de demande côté client et de réponse côté serveur au niveau du serveur ou de la cellue.

Avant de commencer

Remarque : Uniquement pour les versions 6.x et antérieures de WebSphere Application Server, dans le fichier des extensions côté serveur (ibm-webservices-ext.xmi) et le fichier des extensions de descripteur de déploiement côté client (ibm-webservicesclient-ext.xmi), vous devez indiquer quelles parties du message sont signées. Vous devez également configurer les informations de clé référencées par les références d'informations de clé dans le panneau d'informations de signature accessible à partir de la console d'administration.

Pourquoi et quand exécuter cette tâche

Cette tâche explique comment procéder pour configurer les informations de signature pour les liaisons de générateur de demandes côté client et de générateur de réponses côté serveur au niveau du serveur ou de la cellule. WebSphere Application Server utilise les informations de signature du générateur par défaut pour signer les parties du message, y compris le corps, l'horodatage et le jeton de nom d'utilisateur si ces liaisons ne sont pas définies au niveau de l'application. WebSphere Application Server fournit les valeurs par défaut des liaisons. Toutefois, un administrateur doit modifier les valeurs par défaut pour un environnement de production.

Vous pouvez configurer les informations de signature pour la liaison de destinataire au niveau du serveur et de la cellule. Dans la procédure ci-dessous, la première étape permet d'accéder aux liaisons par défaut au niveau du serveur et la deuxième permet d'accéder aux liaisons au niveau de la cellule.

Procédure

  1. Accédez aux liaisons par défaut au niveau du serveur.
    1. Cliquez sur Serveurs > Types de serveurs > Serveurs d'applications WebSphere > nom_serveur.
    2. Sous Sécurité, cliquez sur Modules d'exécution de sécurité JAX-WS et JAX-RPC.
      Environnement de version mixte Environnement de version mixte: Dans une cellule de noeud mixte comportant un serveur WebSphere Application Server de version 6.1 ou antérieure, cliquez sur Services Web : Liaisons par défaut pour la sécurité des Services Web.mixv
  2. Sélectionnez Sécurité > Services Web pour accéder aux liaisons par défaut au niveau de la cellule.
  3. Dans la section Liaisons de destinataire par défaut, cliquez sur Informations de signature.
  4. Cliquez sur Nouveau pour créer une configuration d'informations de signature, cliquez sur Supprimer pour supprimer une configuration ou cliquez sur le nom d'une configuration d'informations de signature pour modifier les paramètres. Si vous créez une configuration, entrez un nom unique pour la configuration de signature dans la zone Nom des informations de signature. Par exemple, vous pouvez indiquer gen_signinfo.
    Eviter les incidents Eviter les incidents: Si vous créez plusieurs configurations d'informations de signature, l'environnement d'exécution WS-Security honore uniquement la première configuration répertoriée dans le fichier de liaison.gotcha
  5. Sélectionnez un algorithme de méthode de signature dans la zone Méthode de signature. L'algorithme spécifié pour le destinataire par défaut doit correspondre à celui qui est défini pour le générateur par défaut. WebSphere Application Server prend en charge les algorithmes préconfigurés suivants :
  6. Sélectionnez une méthode de canonisation dans la zone de ce nom. L'algorithme de canonisation spécifié pour le générateur doit correspondre à celui défini pour le destinataire. WebSphere Application Server prend en charge les algorithmes de canonisation XML canoniques et exclusifs préconfigurés suivants :
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  7. Sélectionnez un type de signature des informations de clé dans la zone de ce nom. Le type de signature des informations de clé détermine le mode de signature numérique de la clé. WebSphere Application Server prend en charge les types de signature suivants :
    Aucun
    Indique que l'élément KeyInfo n'est pas signé.
    Keyinfo
    Indique que l'élément KeyInfo entier est signé.
    Keyinfochildelements
    Indique que les éléments enfant de l'élément KeyInfo sont signés.
    Le type de signature des informations de clé du destinataire doit correspondre au type de signature du générateur. Les cas de figure suivants peuvent se présenter :
    • Si vous n'indiquez pas l'un des types de signature précédents, WebSphere Application Server utilise keyinfo par défaut.
    • Si vous sélectionnez Keyinfo ou Keyinfochildelements et sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform en algorithme de transformation à une étape ultérieure, WebSphere Application Server signe également le jeton référencé.
  8. Cliquez sur OK pour sauvegarder la configuration.
  9. Cliquez sur le nom de la configuration d'informations de signature. Cette configuration correspond à celle que vous avez spécifiée aux étapes précédentes.
  10. Indiquez la référence des informations de clé, la référence de partie, l'algorithme digest et l'algorithme de transformation.
    1. Dans la section Propriétés supplémentaires, cliquez sur Références des informations de clé > Nouveau pour créer une référence, cliquez sur Références des informations de clé > Supprimer pour supprimer une référence ou cliquez sur un nom de référence pour modifier une référence des informations de clé.
    2. Entrez le nom de la configuration dans la zone Nom. Par exemple, entrez con_skeyinfo.
    3. Sélectionnez une référence d'informations de clé dans la zone de ce nom. La référence des informations de clé désigne la clé utilisée par WebSphere Application Server pour la signature numérique. Dans les fichiers de liaisons, la référence est spécifiée dans l'élément <signingKeyInfo>. La clé utilisée pour la signature est indiquée par l'élément Informations de clé, défini au même niveau que les informations de signature. Pour plus d'informations, voir Configuration des informations de clé à l'aide de JAX-RPC pour la liaison de destinataire au niveau de l'application.
    4. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
    5. Dans la section Propriétés supplémentaires, cliquez sur Références de partie > Nouveau pour créer une référence de partie, cliquez sur Références de partie > Supprimer pour supprimer une référence de partie ou cliquez sur un nom de partie pour modifier une référence de partie. La référence de partie indique les parties de message à signer numériquement. L'attribut de partie désigne le nom de l'élément <RequiredIntegrity> dans le descripteur de déploiement lorsque <PartReference> est spécifié pour la signature numérique. WebSphere Application Server permet de spécifier plusieurs éléments <PartReference> pour l'élément <SigningInfo>. L'élément <PartReference> a deux éléments enfants : <DigestMethod> et <Transform>.
    6. Indiquez un nom de partie unique pour cette référence de partie. Par exemple, vous pouvez spécifier reqint.
      Important : Il n'est pas nécessaire de spécifier une valeur pour la zone Référence de partie comme vous l'avez fait au niveau de l'application car la référence de partie au niveau de l'application désigne une partie particulière du message qui est signée. Etant donné que les liaisons par défaut au niveau du serveur et de la cellule peuvent s'appliquer à tous les services définis sur un serveur particulier, vous ne pouvez pas spécifier cette valeur.
    7. Sélectionnez un algorithme de méthode de synthèse (digest) dans la zone Algorithme de méthode de synthèse (digest). L'algorithme de méthode digest spécifié dans l'élément <DigestMethod> est utilisé dans l'élément <SigningInfo>.
      WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    8. Cliquez sur OK et sur Sauvegarder pour enregistrer la configuration.
    9. Cliquez sur le nom de la nouvelle configuration de référence de partie. Cette configuration correspond à celle que vous avez spécifiée aux étapes précédentes.
    10. Dans la section Propriétés supplémentaires, cliquez sur Transformations > Nouveau pour créer une transformation, cliquez sur Transformations > Supprimer pour supprimer une transformation ou cliquez sur un nom de transformation pour modifier une transformation. Si vous créez une configuration de transformation, spécifiez un nom unique. Par exemple, vous pouvez indiquer reqint_body_transform1.
    11. Sélectionnez un algorithme de transformation dans le menu. L'algorithme de transformation est spécifié dans l'élément <Transform>. Il indique l'algorithme de transformation pour la signature. WebSphere Application Server prend en charge les algorithmes suivants :
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Restriction : N'utilisez pas cet algorithme de transformation si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile). A la place, utilisez http://www.w3.org/2002/06/xmldsig-filter2 pour assurer la compatibilité.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      L'algorithme de transformation sélectionné pour le destinataire doit correspondre à celui qui est défini pour le générateur.

      Important : Si les deux conditions suivantes sont vraies, WebSphere Application Server signe le jeton référencé :
      • Vous avez sélectionné précédemment l'option Keyinfo ou Keyinfochildelements dans la zone Type de signature des informations de clé, située dans le panneau des informations de signature.
      • Vous sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform comme algorithme de transformation.
  11. Cliquez sur OK.
  12. Cliquez sur Sauvegarder pour sauvegarder votre configuration.

Résultats

Une fois les instructions suivies, vous avez configuré les informations de signature du destinataire au niveau du serveur ou de la cellule.

Que faire ensuite

Vous devez spécifier une configuration d'informations de signature similaire pour le générateur.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfoconssvrcell
Nom du fichier : twbs_configsigninfoconssvrcell.html