要求署名用クライアントの構成: デジタル署名メッセージ・パーツ

要求署名用クライアントを構成するには、クライアントを構成するときにデジタル署名するメッセージ・パーツを指定します。

始める前に

重要: バージョン 5.x とバージョン 6 以降のアプリケーションには重要な相違点があります。 この情報は、WebSphere® Application Server バージョン 6.0.x 以降で使用されるバージョン 5.x アプリケーションのみをサポートしています。 この情報はバージョン 6.0.x 以降のアプリケーションには適用されません。
次のステップを実行する前に、以下のいずれかのトピックに目を通して、アセンブリー・ツールに含まれる Web Services Client Editor の「セキュリティー拡張」タブおよび「 ポート・バインディング」タブについて十分理解してください。 これら 2 つのタブは、Web Services Security 拡張および Web Services Security バインディングをそれぞれ構成するために使用します。

このタスクについて

以下のステップを実行して、クライアントを要求署名用に構成するときに、どのメッセージ・パーツにデジタル署名するかを指定します。

手順

  1. アセンブリー・ツールを起動します。 詳しくは『アセンブリー・ツール』の関連情報を参照してください。
  2. 「ウィンドウ」 > 「パースペクティブを開く」 > 「その他」 > 「J2EE」とクリックします。
  3. 「アプリケーション・クライアント・プロジェクト」 > application_name > 「appClientModule」 > 「META-INF」とクリックします。
  4. application-client.xml ファイルを右クリックし、「アプリケーションから開く」 > 「デプロイメント記述子エディター」」と選択し、「WS Extension」タブをクリックします。 クライアント・デプロイメント記述子が表示されます。
  5. 「要求送信側構成」 > 「保全性」を展開します。 機密性が 暗号化を意味するのに対して、保全性 はデジタル署名を意味します。 保全性は、データがインターネットに伝送中に、そのデータが変更されるリスクを低減させます。 SOAP メッセージへのデジタル署名の詳細については、XML デジタル署名を参照してください。
  6. 追加」をクリックしてから、「body」、「timestamp」、 または「SecurityToken」を選択して、署名するメッセージ・パーツを指定します。 以下のリストには、メッセージ・パーツの説明が含まれています。
    本文
    これは、メッセージのユーザー・データ部分です。
    timestamp
    タイム・スタンプでは、メッセージが送信された日時と受信された日時を基にして、 メッセージが有効かどうかを判別します。 timestamp が選択されている場合には、次のステップに進み、 「Add created time stamp」を選択してタイム・スタンプをメッセージに追加します。
    SecurityToken
    セキュリティー・トークンは、クライアントの認証を行います。 このオプションが選択されている場合、メッセージは署名されます。

    Add created time stamp」が選択され、構成されている場合には、 タイム・スタンプを使用して、メッセージにデジタル署名することを選択できます。ログイン構成認証メソッドが選択されている場合には、セキュリティー・トークンを使用して、メッセージにデジタル署名することができます。

  7. オプション: タイム・スタンプをメッセージに追加するには、 「Add created time stamp」セクションを展開して、このオプションを選択します。 タイム・スタンプには、有効期限を指定できます。これによって、リプレイ・アタックを防ぐことができます。 期間の字句表記は、[ISO 8601] 拡張フォーマット PnYnMnDTnHnMnS です。各部分の意味は以下のとおりです。
    • nY は、年数を表します
    • nM は、月数を表します
    • nD は、日数を表します
    • T は、日付と時刻の分離文字です
    • nH は、時間数を表します
    • nM は、分数を表します
    • nS は、秒数を表します。秒数には、任意の精度の 10 進数を組み込むことができます。

    例えば、1 年、2 カ月、3 日、10 時間、および 30 分の期間を示すフォーマットは、P1Y2M3DT10H30M です。 通常、約 10 から 30 分のメッセージ・タイム・スタンプを構成します。 例えば、10 分は P0Y0M0DT0H10M0S と表します。 時間と日付の前に文字 P を配置します。

タスクの結果

重要: クライアントおよびサーバーの署名情報が正しく構成されているにもかかわらず、 クライアントの実行時に Soap body not signed エラーを受信した場合には、actor を構成する必要がある場合があります。アセンブリー・ツールの Web Services Client Editor において、クライアント上の以下の場所でアクターを構成できます。
  • 「セキュリティー拡張」 > 「クライアント・サービス構成詳細」とクリックして、「アクター URI」フィールドにアクター情報を指示します。
  • 「セキュリティー拡張」 > 「要求送信側構成」 > 「詳細」とクリックして、「アクター」フィールドで アクター情報を示します。
要求を処理して応答を戻すサーバー上の Web サービスに対しても、同じアクター・ストリングを構成する必要があります。 以下のロケーションでアクターを構成します。
  • 「セキュリティー拡張」 > 「サーバー・サービス構成」とクリックします。
  • 「セキュリティー拡張」 > 「応答送信側サービス構成の詳細」 > 「詳細」をクリックして、「アクター」フィールドでアクター情報を示します。

クライアントおよびサーバー上のアクター情報は、両方ともまったく同一のストリングである 必要があります。クライアントとサーバーの「アクター」フィールドが一致する場合には、 要求または応答はダウンストリームに転送されずに、処理されます。 他の Web サービスのゲートウェイとして動作する Web サービスがある場合は、「アクター」フィールドが異なる場合があります。 ただし、そのような Web サービスがない場合には、 アクター情報がクライアントとサーバーで一致していることを必ず確認してください。複数のWeb サービスがゲートウェイとして機能しており、それらの Web サービスに、そのゲートウェイを介して渡される要求として構成された同じアクターがない場合には、Web サービスはクライアントからのメッセージを処理しません。代わりに、これら Web サービスは、要求をダウンストリームに送信します。正しいアクター・ストリングを含む ダウンストリーム・プロセスによって、要求が処理されます。 応答でも同じ状況が発生します。 したがって、該当するクライアントとサーバーの「アクター」フィールドが同期化されていることを確認することが重要です。

次のタスク

デジタル署名するメッセージ・パーツを指定したら、次に、 そのメッセージのデジタル署名に使用するメソッドを指定する必要があります。 詳しくは、 要求署名用クライアントの構成: デジタル署名メソッドの選択 を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclreqsignmsg
ファイル名:twbs_confclreqsignmsg.html