Configurez le serveur pour la vérification des signatures numériques des
requêtes en modifiant les extensions pour indiquer les parties de la requête à vérifier.
Avant de commencer
Important : Il existe une différence importante entre les applications
version 5.x, version 6 et ultérieure. Les informations dans cette rubrique concernent uniquement les applications
Version 5.x utilisées avec WebSphere Application
Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant de suivre ces étapes,
lisez les rubriques suivantes afin de vous familiariser avec les onglets
Extensions et
Configurations de liaison de l'éditeur de services Web dans les outils
d'assemblage :
Vous pouvez utiliser ces deux onglets pour configurer les extensions de sécurité des services Web et les liaisons de sécurité des Services Web, respectivement.
Vous devez également indiquer les parties du message comportant une signature numérique. Pour déterminer les parties de message signées numériquement, voir
Configuration du client pour la signature des requêtes : signature numérique des parties d'un message. Les parties du message indiquées pour l'émetteur de la réponse du serveur doivent correspondre aux parties indiquées pour le destinataire de la réponse du serveur.
Pourquoi et quand exécuter cette tâche
Pour que le serveur vérifie la signature numérique de la requête, effectuez les opérations ci-dessous. Les étapes suivantes expliquent comment modifier les extensions pour indiquer les
parties de la requête à vérifier.
Procédure
- Lancez un outil d'assemblage. Pour plus d'informations, voir les informations relatives aux outils d'assemblage.
- Passez à la perspective Java™ Platform,
Enterprise Edition (Java EE). Cliquez sur .
- Cliquez sur .
- A l'aide du bouton droit de la souris, cliquez sur le fichier
webservices.xml puis sélectionnez .
- Cliquez sur l'onglet Extensions dans l'éditeur de services Web.
- Développez la section . L'option Intégrité requise désigne les parties du message dont la signature numérique doit être vérifiée.
La vérification de la signature numérique permet de s'assurer que les parties du message n'ont pas été modifiées lors de leur transmission sur Internet.
- Indiquez les parties du message à vérifier en cliquant sur Ajouter et en sélectionnant l'une des trois parties suivantes :
body, Timestamp ou
SecurityToken. Vous pouvez déterminer les
parties du message à vérifier en consultant la configuration du récepteur de la requête du service Web dans l'application client.
Pour afficher les informations de configuration de l'expéditeur de la requête du
service Web dans l'éditeur de client de services Web, cliquez sur l'onglet
Extensions de sécurité et développez . La liste suivante inclut une description des parties de message :
- Corps
- Partie du message contenant les données utilisateur.
- Timestamp
- L'élément timestamp (horodatage) détermine si le message est valide en fonction de l'heure à laquelle il a été envoyé
et reçu. Si vous avez sélectionné
Timestamp,
passez à l'étape
suivante pour ajouter un horodatage créé au message.
- SecurityToken
- Le jeton de sécurité authentifie le client. Si
vous avez sélectionné SecurityToken, le
message est signé.
- Facultatif : Développez la section Ajouter l'horodatage reçu. La valeur de la zone Ajouter l'horodatage reçu permet de valider l'option Ajouter l'horodatage créé configuré par le client. Vous devez sélectionner cette option si vous avez
choisi Ajouter l'horodatage créé sur le client. L'horodatage permet de garantir l'intégrité du
message en indiquant l'ancienneté de la requête. Cette option contribue à la protection contre les attaques de type replay.
Résultats
Important : Si vous configurez correctement les informations de
signature du client et du serveur mais que vous recevez une erreur
Soap body not
signed lors de l'exécution du client, il peut être nécessaire de configurer
l'acteur. Vous pouvez configurer
l'acteur dans les emplacements suivants :
- Cliquez sur et indiquez les informations sur l'acteur dans la zone URI acteur.
- Cliquez sur et indiquez les informations relatives à l'acteur dans la zone
Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez
l'acteur aux emplacements suivants :
- Cliquez sur .
- Sélectionnez et indiquez les informations relatives à
l'acteur dans la zone Acteur.
Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones de l'acteur du client et du serveur sont identiques, la demande ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones Acteur peuvent être différentes lorsque vous disposez de services Web
assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval.
Le processus en aval qui contient
la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse. Il est donc indispensable de vérifier que les zones de l'acteur définies sur le client et le serveur sont synchronisées.
Vous avez indiqué les parties du message qui comportent une signature numérique et que le serveur doit vérifier lorsque le client envoie un message à un serveur.
Que faire ensuite
Une fois que vous avez indiqué les parties du message comportant une signature numérique que le serveur doit vérifier, vous devez configurer le serveur afin qu'il reconnaisse la méthode à utiliser pour associer la signature numérique au message. Pour plus d'informations, voir
Configuration du serveur pour la vérification des signatures numériques des requêtes : choix de la méthode de vérification.