Lors de la configuration du client pour la signature des demandes,
indiquez les parties à signer numériquement dans un message.
Avant de commencer
Important : Il existe une différence importante entre les applications
version 5.x, version 6 et ultérieure. Les informations concernent uniquement les applications
Version 5.x utilisées avec WebSphere Application
Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.
Avant de suivre cette procédure, voir les rubriques
suivantes pour vous familiariser avec l'onglet
Extensions de sécurité et
l'onglet
Liaison de port dans l'éditeur de client de services Web dans un
outil d'assemblage :
Ces deux onglets permettent de configurer respectivement les extensions et les liaisons de sécurité des Services Web. Vous devez indiquer les parties du message envoyées par le client comportant une signature numérique. Pour plus d'informations, voir
Configuration du client pour la signature des requêtes : signature numérique des parties d'un message.
Pourquoi et quand exécuter cette tâche
Pour indiquer les parties d'un message à chiffrer lors de la configuration du client pour la signature des requêtes, effectuez les opérations ci-dessous.
Procédure
- Lancez un outil d'assemblage. Pour plus d'informations, voir les informations relatives aux outils d'assemblage.
- Passez à la perspective Java™ Platform,
Enterprise Edition (Java EE). Cliquez sur .
- Cliquez sur .
- Cliquez avec le bouton droit sur le fichier application-client.xml,
sélectionnez , puis cliquez sur
l'onglet Liaison de service Web. L'éditeur de descripteur de déploiement
client est ouvert.
- Développez .
- Sélectionnez Editer pour afficher les informations de signature et
sélectionnez une méthode de signature numérique dans la zone Algorithme de méthode de
signature. Le tableau ci-après indique la finalité de ces informations. Certaines de ces définitions reposent sur la spécification Signature XML disponible sur le site Web http://www.w3.org/TR/xmldsig-core.
Tableau 1. Méthodes de signature numérique. Les informations de la méthode de signature numérique sont stockées dans le descripteur de déploiement du client.Chaîne |
Rôle |
Algorithme de méthode de canonisation |
Canonise l'élément <SignedInfo> avant que les informations ne soient traitées lors de l'opération de signature. |
Algorithme de méthode de synthèse (Digest) |
S'applique aux données après les opérations de conversion éventuelles pour générer l'élément <DigestValue>.
La signature de l'élément <DigestValue> lie le contenu de la ressource à la clé du signataire. L'algorithme sélectionné pour la configuration de l'expéditeur de la requête client doit correspondre à l'algorithme choisi dans la configuration du destinataire de la requête serveur. |
Algorithme de méthode de signature |
Convertit l'élément <SignedInfo> canonisé en
élément <SignatureValue>.
L'algorithme sélectionné pour la configuration de l'expéditeur de la requête client doit correspondre à l'algorithme choisi dans la configuration du destinataire de la requête serveur. |
Nom de clé de signature |
Représente la clé associée au releveur de coordonnées de clé de signature. La clé fait référence à un alias de la clé situé dans le fichier de clés et utilisé pour signer la requête. |
Releveur de coordonnées de clé de signature |
Représente une référence à la classe d'implémentation d'un releveur de coordonnées de clé qui localise le fichier de clés correct contenant l'alias et le certificat. |
- Facultatif : Sélectionnez Afficher uniquement les algorithmes compatibles FIPS
si vous souhaitez que les algorithmes compatibles FIPS soient affichés dans les listes déroulantes Algorithme de méthode Digest et Algorithme de méthode de signature. Utilisez cette option si vous prévoyez d'exécuter l'application sur un serveur WebSphere Application
Server pour lequel l'option Utiliser les algorithmes de la norme FIPS
(Federal Information Processing Standard) est définie dans le panneau Gestion des
certificats SSL et des clés de la console d'administration WebSphere.
Résultats
Important : Si vous configurez correctement les informations de
signature du client et du serveur mais que vous recevez une erreur
Soap body not
signed lors de l'exécution du client, il peut être nécessaire de configurer
l'acteur. Vous pouvez configurer l'acteur sur le système client à l'aide de l'éditeur de
client de services Web de l'outil d'assemblage dans les emplacements suivants :
- Cliquez sur et indiquez les informations sur l'acteur dans la zone URI acteur.
- Cliquez sur et indiquez les informations relatives à l'acteur dans la zone
Acteur.
Vous devez configurer les mêmes chaînes d'acteurs pour le service Web du serveur, qui traite la demande et renvoie la réponse. Configurez l'acteur dans les emplacements suivants à l'aide de l'éditeur de services
Web dans un outil d'assemblage :
- Cliquez sur .
- Sélectionnez et indiquez les informations relatives à
l'acteur dans la zone Acteur.
Les informations indiquées pour l'acteur sur le client et le serveur doivent faire référence à la même chaîne. Lorsque les zones de l'acteur du client et du serveur sont identiques, la demande ou la réponse est traitée au lieu d'être réacheminée en aval. Les zones Acteur peuvent être différentes lorsque vous disposez de services Web
assurant la fonction de passerelle pour d'autres services Web. Toutefois, dans tous les autres cas, assurez-vous que les informations de l'acteur sont identiques sur le client et le serveur. Lorsque les services web assurent la fonction de passerelle et qu'un acteur différent est configuré lors de la transmission de la requête sur la passerelle, les services Web ne traitent pas le message d'un client. A la place, les services Web envoient la requête en aval. Le processus en aval qui contient
la chaîne d'acteurs correcte traite la demande. La même procédure est exécutée pour la réponse.
Il est donc indispensable de vérifier que les zones de l'acteur définies sur le client et le serveur sont synchronisées.
Vous avez indiqué la méthode utilisée pour associer une signature numérique à un message lorsque le client transmet un message à un serveur.
Que faire ensuite
Une fois que vous avez configuré le client pour associer une signature numérique au message, vous devez configurer le serveur pour vérifier la signature numérique. Pour plus d'informations, voir
Configuration du serveur pour la vérification des signatures numériques des requêtes : vérification des parties de message.