Configuration des informations de clé à l'aide de JAX-RPC pour la liaison de générateur au niveau de l'application
Les informations de clé permettent de spécifier la configuration nécessaire pour générer la clé pour la signature numérique et le chiffrement. Les configurations d'informations de signature et de chiffrement peuvent partager les mêmes informations de clé ; elles sont donc définies toutes les deux au même niveau.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Cette tâche fournit les étapes à suivre pour configurer les informations de clé pour les liaisons de générateur de demande (côté client) et de générateur de réponse (côté serveur) au niveau de l'application.
Pour configurer les informations de clé pour la liaison de générateur au niveau de l'application, procédez comme suit :
Procédure
- Recherchez le panneau de configuration des informations de clé dans la console d'administration.
- Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > nom_application.
- Sous Gestion des modules, cliquez sur nom_URI.
- Sous Propriétés de la sécurité des services Web, vous pouvez
accéder aux informations de clés pour les liaisons de générateur de demande et de réponse.
- Pour la liaison de générateur de demande (émetteur), cliquez sur Services Web : Liaisons de sécurité du client. Dans la section Liaison du générateur de demande (émetteur), cliquez sur Editer les valeurs personnalisées.
- Pour la liaison de générateur de réponse (émetteur), cliquez sur Services Web : Liaisons de sécurité du serveur. Sous Liaison du générateur de réponse (émetteur), cliquez sur Editer les valeurs personnalisées.
- Dans la section Propriétés requises, cliquez sur Informations sur les clés.
- Cliquez sur Nouveau pour créer une configuration d'informations de clé, cochez la case située en regard d'une configuration et cliquez sur Supprimer pour supprimer cette configuration ou cliquez sur le nom d'une configuration d'informations de signature pour modifier ses paramètres. Si vous créez une configuration, entrez son nom dans la zone Nom des informations de clé. Par exemple, vous pouvez spécifier gen_signkeyinfo.
- Sélectionnez un type d'information de clé dans la zone de ce nom. Le type d'information de clé indique comment référencer les jetons de sécurité. WebSphere Application Server prend en charge les types d'information de clé suivants :
- Identificateur de clé
- Le jeton de sécurité est référencé à l'aide d'une valeur opaque qui identifie le jeton de manière unique. L'algorithme utilisé pour générer la valeur <KeyIdentifier> varie en fonction du type de jeton. Par exemple, le hachage des éléments importants du jeton de sécurité est utilisé pour générer la valeur de l'élément <KeyIdentifier>. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference> <wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO... </wsse:KeyIdentifier> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Nom de clé
- Le jeton de sécurité est référencé à l'aide d'un nom qui correspond à une vérification d'identité au sein du jeton. Il est déconseillé d'utiliser ce type de clé car plusieurs jetons de sécurité correspondant au nom spécifié peuvent être générés. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo> <ds:KeyName>CN=Group1</ds:KeyName> </ds:KeyInfo>
- Référence du jeton de sécurité
- Le jeton de sécurité est référencé directement à l'aide des URI (Universal Resource Identifiers). L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Reference URI="#mytoken" /> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Jeton imbriqué
- Le jeton de sécurité est imbriqué directement dans l'élément <SecurityTokenReference>. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Embedded wsu:Id=”tok1” /> ... </wsse:Embedded> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Nom et numéro de l'émetteur X509
- Le jeton de sécurité est référencé par un nom et un numéro d'émetteur de certificat X.509. L'élément <KeyInfo> suivant est généré dans le message SOAP pour ce type d'information de clé :
<ds:KeyInfo> <wsse:SecurityTokenReference> <ds:X509Data> <ds:X509IssuerSerial> <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName> <ds:X509SerialNumber>1040152879 </ds:X509SerialNumber> </ds:X509IssuerSerial> </ds:X509Data> </wsse:SecurityTokenReference> </ds:KeyInfo>
- Sélectionnez une référence du localisateur de clé dans la zone de ce nom. Cette référence indique un localisateur de clé permettant à WebSphere Application Server de localiser les clés utilisées pour la signature numérique et le chiffrement. Pour pouvoir sélectionner un localisateur de clé, vous devez l'avoir configuré. Pour plus d'informations sur la configuration d'un localisateur de clé, voir les articles suivants :
- Cliquez sur Obtenir les clés pour afficher une liste des références de nom de clé. Après avoir cliqué sur Obtenir les clés, les noms de clés définis dans l'élément <sig_klocator> figurent dans le menu Référence du nom de clé. Si vous modifiez la référence du localisateur de clé, vous devez cliquer à nouveau sur Obtenir les clés pour afficher la liste des noms de clé associés au nouveau localisateur de clé.
- Sélectionnez une référence du nom de clé dans la zone de ce nom. Cette référence spécifie le nom d'une clé utilisée pour générer une signature numérique et pour le chiffrement. La liste des noms de clé fournis provient du localisateur de clé spécifié avec la référence du localisateur de clé.
- Sélectionnez une référence de jeton dans la zone de ce nom. Cette référence de jeton spécifie le nom du générateur de jeton utilisé pour traiter le jeton de sécurité. Toutefois, dans WebSphere Application Server, cette zone ne doit être indiquée que si Référence du jeton de sécurité ou Jeton imbriqué est sélectionné dans la zone Type d'informations de clé. Avant de spécifier une référence de jeton, vous devez configurer un générateur de jeton. Pour plus d'informations sur la configuration d'un générateur de jetons, voir Configuration des générateurs de jetons à l'aide de JAX-RPC pour protéger l'authenticité des messages au niveau de l'application.
- Facultatif : Si vous sélectionnez Identificateur de clé comme type d'information de clé dans ce panneau, vous devez spécifier une méthode de codage, une méthode de calcul, un URI d'espace de nom de type de valeur et un nom local de type de valeur.
- Sélectionnez une méthode de codage dans la zone de ce nom. La méthode de codage indique le format de codage de l'identificateur de clé. WebSphere Application
Server prend en charge les méthodes de codage suivantes :
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- Sélectionnez une méthode de calcul dans la zone de ce nom. WebSphere Application
Server prend en charge les méthodes de calcul suivantes :
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- Spécifiez un URI (Uniform Resource Identifier) d'espace de nom de type de valeur dans la zone URI de l'espace de nom. Dans cette zone, spécifiez l'URI de l'espace de nom du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé. Il n'est pas nécessaire de définir cette option lorsque vous spécifiez le jeton de certificat X.509. Pour spécifier un jeton différent, vous devez indiquer l'URI du nom complet (QName) pour le type de valeur.
- Spécifiez un nom local de type de valeur. Ce nom correspond au nom local
du type de valeur d'un jeton de sécurité référencé par l'identificateur de clé. Lorsque ce nom local est utilisé conjointement avec l'URI de l'espace de nom correspondant, les informations ont pour nom le nom complet de type de valeur ou QName.Lorsque vous spécifiez le jeton de certificat X.509, il est conseillé d'utiliser les noms locaux prédéfinis. Il n'est pas nécessaire de définir l'URI de l'espace de nom du type de valeur lorsque vous spécifiez les noms locaux prédéfinis. Cependant, si vous n'utilisez pas l'un des noms locaux prédéfinis, vous devez spécifier à la fois l'URI (Uniform Resource Identifier) et le nom local. WebSphere Application Server fournit les noms locaux prédéfinis suivants :
- Jeton de certificat X.509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificats X.509 figurant dans un PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Liste de certificats X509 et de listes CRL dans un PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- Jeton LTPA (Lightweight Third-Party Authentication). Lorsque vous spécifiez un nom local de type LTPA, vous devez également indiquer un identificateur URI d'espace de nom de http://www.ibm.com/websphere/appserver/tokentype/5.0.2.
- LTPA_PROPAGATION
- Jeton de propagation LTPA (Lightweight Third-Party Authentication). Lorsque vous spécifiez un nom local de type LTPA_PROPAGATION, vous devez également indiquer un identificateur URI d'espace de nom de http://www.ibm.com/websphere/appserver/tokentype.
- Sélectionnez une méthode de codage dans la zone de ce nom. La méthode de codage indique le format de codage de l'identificateur de clé. WebSphere Application
Server prend en charge les méthodes de codage suivantes :
- Cliquez sur OK, puis sur Sauvegarder pour enregistrer la configuration.
Résultats
Que faire ensuite
Sous-rubriques
Collection des informations de clé
La page de collection des informations de clé permet d'afficher les configurations disponibles pour la génération ou l'utilisation de la clé des signatures numériques XML et du chiffrement XML.Paramètres de configuration des informations de clé
La page des paramètres de configuration des informations de clé permet d'indiquer la configuration nécessaire à la spécification de la clé de signature numérique XML et de chiffrement XML.Collection des informations de clé
La page de collection des informations de clé permet d'afficher les configurations disponibles pour la génération ou l'utilisation de la clé des signatures numériques XML et du chiffrement XML.Paramètres de configuration des informations de clé
La page des paramètres de configuration des informations de clé permet d'indiquer la configuration nécessaire à la spécification de la clé de signature numérique XML et de chiffrement XML.
Tâches associées:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfogenapp
Nom du fichier : twbs_configkeyinfogenapp.html