Vous pouvez configurer les informations de clé pour les liaisons de destinataire de demande (côté serveur) et de destinataire de réponse (côté client) au niveau de l'application.
Avant de commencer
Configurez les localisateurs de clé et les destinataires de jeton référencés dans les zones Référence du localisateur de clé et Référence de jeton du panneau contenant les informations de clé.
Pourquoi et quand exécuter cette tâche
Cette tâche fournit les étapes à suivre pour configurer les informations de clé pour les liaisons de destinataire de demande (côté serveur) et de destinataire de réponse (côté client) au niveau de l'application.
Les informations de clé côté destinataire permettent de spécifier les informations relatives à la clé afin de valider la signature numérique dans le message reçu ou de déchiffrer les parties chiffrées du message. Pour configurer les informations de clé pour la liaison de destinataire au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des informations de clé dans la console d'administration.
- Cliquez sur .
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous
pouvez accéder aux informations des clés relatives aux liaisons de destinataire de
demande et de réponse.
- Pour la liaison de destinataire (récepteur) de demande, cliquez
sur Services Web : Liaisons de sécurité du serveur. Sous Liaison de destinataire (récepteur) de demande, cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de destinataire de réponse (récepteur), cliquez
sur Services Web : Liaisons de sécurité du client. Sous Liaison de destinataire de réponse (récepteur),
cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés requises,
cliquez sur Informations sur les clés.
- Sélectionnez l'un des éléments suivants pour utiliser une configuration d'informations de clé :
- Nouveau
- Pour créer une configuration d'informations de clé. Entrez un nom dans la zone Nom de l'information de clé. Par exemple, vous pouvez spécifier con_signkeyinfo.
- Supprimer
- Pour supprimer une configuration (sélectionnée dans la case située à côté de cette configuration).
- une configuration d'informations de clé existante
- Pour modifier les paramètres d'une configuration d'informations de clé.
- Sélectionnez un type d'information de clé dans la zone de ce nom. Les informations de clé indiquent les différents mécanismes de référencement des jetons de sécurité utilisant l'élément <wsse:SecurityTokenReference> situé dans l'élément <ds:KeyInfo>. WebSphere Application Server prend en charge les types d'information de clé suivants :
- Identificateur de clé
- Le jeton de sécurité est référencé à l'aide d'une valeur opaque qui identifie le jeton de manière unique. L'algorithme utilisé pour générer la valeur <KeyIdentifier> varie en fonction du type de jeton. Par exemple, vous pouvez utiliser l'dientificateur pour les clés publiques définies dans Internet Engineering Task Force (IETF) Request for Comment
(RFC) 3280.
L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
/oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
/62wXO...
</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Nom de clé
- Le jeton de sécurité est référencé à l'aide d'un nom qui correspond à une vérification d'identité au sein du jeton. Il est déconseillé d'utiliser ce type de clé car plusieurs jetons de sécurité correspondant au nom spécifié peuvent être générés. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
En règle générale, il convient de spécifier un nom de clé lorsque vous utilisez un algorithme de signature numérique HMAC (Key-Hashing Message Authentication Code) tel que http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- Référence du jeton de sécurité
- Le jeton de sécurité est référencé directement à l'aide des URI (Universal Resource Identifiers). L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI='#SomeCert'
ValueType="http://docs.oasis-open.org/wss/2004/01/
oasis-200401-wss-x509-token-profile-1.0#X509v3" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Jeton imbriqué
- Le jeton de sécurité est imbriqué directement dans l'élément <SecurityTokenReference>. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- Nom et numéro de l'émetteur X509
- Le jeton de sécurité est référencé par un nom et un numéro d'émetteur de certificat X.509. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
Chaque type d'informations de clé est décrit dans la norme Web Services Security: SOAP Message Security 1.0 (WS-Security 2004) OASIS, disponible sur le site Web suivant : http://www.oasis-open.org/home/index.php, sousWeb Services Security.
- Sélectionnez une référence du localisateur de clé dans la zone de ce nom. La valeur de cette zone est une référence à un localisateur de clé
permettant à WebSphere Application
Server de localiser les clés utilisées pour la signature numérique et le chiffrement. Pour pouvoir sélectionner un localisateur de clé, vous devez en configurer un. Pour plus d'informations sur la configuration d'un localisateur de clé, voir Configuration du localisateur de clé à l'aide de JAX-RPC pour la liaison de destinataire au niveau de l'application.
- Sélectionnez une référence de jeton dans la zone de ce nom. La référence de jeton désigne un destinataire de jeton utilisé pour traiter le jeton de sécurité dans le message. Toutefois, dans WebSphere Application Server, cette zone ne doit être indiquée que si Référence du jeton de sécurité ou Jeton imbriqué est sélectionné dans la zone Type d'informations de clé. Avant de spécifier une référence de jeton, vous devez configurer un destinataire de jeton. Pour plus d'informations sur la configuration d'un destinataire de jeton, voir Configuration des destinataires de jetons à l'aide de JAX-RPC pour protéger l'authenticité des messages au niveau de l'application.
Sélectionnez (aucun) si aucun destinataire de jeton n'est requis pour cette configuration d'information de clé.
- Cliquez sur OK et Sauvegarder pour enregistrer cette configuration.
Résultats
Vous avez configuré les informations de clé pour la liaison de destinataire de demande ou de réponse (ou les deux) au niveau de l'application.
Que faire ensuite
Si vous n'avez pas configuré les informations de clé pour la liaison de générateur, vous devez spécifier une configuration d'informations de clé similaire pour le générateur. Après avoir configuré les informations de clé pour le destinataire et le générateur, configurez les informations de signature et de chiffrement qui référencent les informations de clé spécifiées dans cette tâche relative aux informations de clé.