Ligações de Amostra Gerais para Aplicativos JAX-WS
É possível usar ligações de amostra com o console administrativo para fins de teste. As configurações especificadas são refletidas no nível da célula ou do servidor.
O WebSphere Application Server Versão 7.0 e mais recente inclui ligações de amostra do provedor e do cliente para fins de teste. Nas ligações, o produto fornece valores de amostra para suportar diferentes tipos de token, como X.509, de nome de usuário, LTPA e Kerberos. As ligações também incluem valores de amostra de informações de proteção de mensagem para tipos de token como X.509 e conversação segura. As ligações de amostra do provedor e do cliente podem ser aplicadas aos aplicativos conectados a um conjunto de política do sistema, ou a um conjunto de política do aplicativo, a partir do repositório local padrão.
Não utilize essas ligações de amostra do provedor e do cliente em seus estados padrão em um ambiente de produção. Modifique as ligações para atender a suas necessidades de segurança antes de utilizá-las em um ambiente de produção, fazendo uma cópia das ligações e, em seguida, modificando a cópia. Por exemplo, altere as configurações de chave e de armazenamento de chaves para garantir a segurança e modifique as configurações de ligação de acordo com seu ambiente.

- Padrão do nível do servidor
- Padrão do nível de domínio de segurança
- Padrão de segurança global (célula)
Ligações Gerais de Amostra do Cliente
- A configuração de amostra para geração de informações de assinatura, chamada
asymmetric-signingInfoRequest, contém a seguinte configuração:
- Faz referência às informações chave sobre assinatura gen_signkeyinfo.
- A configuração de referência de parte, que contém a configuração de transformação que utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, gen_signkeyinfo, que contêm
esta configuração:
- A referência de token de segurança.
- O gerador de assinatura assimétrica de token de proteção
gen_signx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.generate.x509.
- O X.509 Callback Handler. O manipulador de retorno de chamada chama o armazenamento
de chaves customizado em ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks,
com estas características:
- O tipo de armazenamento de chaves é JKS.
- A senha do armazenamento de chave é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é soaprequester.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2, que por sua vez é emitida por soapca.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de assinatura chamada
symmetric-signingInfoRequest contém a seguinte configuração:
- Faz referência a informações de chave de assinatura gen_signsctkeyinfo.
- A configuração de referência de parte, que contém a configuração de transformação que utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, gen_signsctkeyinfo, que
contêm esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token Versão 1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como o valor da parte de local.
- Contém o login do JAAS wss.generate.sct
- O WS-Trust Callback Handler.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de criptografia, chamada
asymmetric-encryptionInfoRequest, contém a seguinte configuração:
- Faz referência às informações chave de criptografia gen_enckeyinfo.
- As informações de chave de criptografia, denominadas gen_enckeyinfo,
que contêm esta configuração:
- O identificador de chave.
- O gerador de criptografia assimétrica de token de proteção
gen_encx509token, como se segue:
- O tipo de armazenamento de chaves é JCEKS.
- A senha do armazenamento de chaves é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é bob.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2, que por sua vez é emitida por soapca.
- O X.509 Callback Handler. O manipulador de retorno de chamada chama o armazenamento de chaves customizado em ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
- O método de criptografia de chave http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- A configuração de amostra para geração de informações de criptografia, chamada
symmetric-encryptionInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de criptografia gen_encsctkeyinfo.
- As informações de chave de criptografia, gen_encsctkeyinfo, que
contêm esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_scttoken, que contém a seguinte
configuração:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.generate.sct.
- O WS-Trust Callback Handler.
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para consumo de informações de assinatura, chamada
asymmetric-signingInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_signkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas con_signkeyinfo,
que contêm a seguinte configuração:
- O consumidor de assinatura assimétrica de token de proteção
con_signx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.consume.x509.
- O X.509 Callback Handler, como se segue:
- Faz referência a um armazenamento de certificados denominado DigSigCertStore.
- Faz referência a um armazenamento de âncora confiável denominado DigSigTrustAnchor.
- O consumidor de assinatura assimétrica de token de proteção
con_signx509token, como se segue:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de assinatura, chamada
symmetric-signingInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_sctsignkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas
con_sctsignkeyinfo, que contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.consume.sct.
- O WS-SecureConversation Callback Handler.
- A chave derivada, conforme a seguir:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de criptografia, chamada
asymmetric-encryptionInfoResponse, que contém a seguinte configuração:
- Faz referência a informações de chave de criptografia dec_keyinfo.
- As informações de chave de criptografia, denominadas dec_keyinfo,
que contêm a seguinte configuração:
- O consumidor de criptografia assimétrica de token de proteção
con_encx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.consume.x509.
- O X.509 Callback Handler. O manipulador de retorno de chamada chama o armazenamento
de chaves customizado em
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks, com as
seguintes características:
- O tipo de armazenamento de chaves é JCEKS.
- A senha do armazenamento de chave é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é alice.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2 que, por sua vez, é emitida por soapca.
- O consumidor de criptografia assimétrica de token de proteção
con_encx509token, como se segue:
- O método de criptografia de chave http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- A configuração de amostra para consumo de informações de criptografia, chamada
symmetric-encryptionInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de criptografia dec_sctkeyinfo.
- As informações de chave de criptografia, denominadas dec_sctkeyinfo,
contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.consume.sct.
- O WS-SecureConversation Callback Handler.
- A chave derivada, conforme a seguir:
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para geração de token de autenticação, chamada
gen_signkrb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos v5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- As seguintes propriedades customizadas:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, o nome do serviço Kerberos de destino.
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, o nome do host
associado ao nome do serviço Kerberos de destino.
Forneça os valores corretos para seu ambiente antes de usar essa configuração.
- O manipulador de retorno de chamada do token Kerberos customizado. Forneça os valores corretos para senha e proprietário do cliente Kerberos.
- A configuração de amostra para geração de token de autenticação, chamada
gen_signltpaproptoken, contém a seguinte configuração:
- O tipo de token de propagação LTPA, como se segue:
- Contém LTPA_PROPAGATION como valor da parte de local.
- Contém http://www.ibm.com/websphere/appserver/tokentype como valor de URI do Espaço de Nomes.
- Contém o login do JAAS wss.generate.ltpaProp.
- Utiliza o manipulador de retorno de chamada de token LTPA.
- O tipo de token de propagação LTPA, como se segue:
- A configuração de amostra para geração de token de autenticação, chamada
gen_signltpatoken, contém a seguinte configuração:
- O tipo de token LTPA Token v2.0, como se segue:
- Contém LTPA_PROPAGATION como valor da parte de local.
- Contém http://www.ibm.com/websphere/appserver/tokentype como valor de URI do Espaço de Nomes.
- O login do JAAS wss.generate.ltpa.
- O manipulador de retorno de chamada do token LTPA.
- O tipo de token LTPA Token v2.0, como se segue:
- A configuração de amostra para geração de token de autenticação, chamada
gen_signunametoken, contém a seguinte configuração:
- O tipo de token Username Token v1.0, que utiliza http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken como valor da parte de local.
- O login do JAAS wss.generate.unt.
- O manipulador de retorno de chamada do token de nome de usuário, como se segue:
- Contém campos de autenticação básica. Forneça os valores corretos de seu ambiente para senha e proprietário do cliente.
- Contém as seguintes propriedades customizadas:
- com.ibm.wsspi.wssecurity.token.username.addNonce para incluir o valor de nonce.
- com.ibm.wsspi.wssecurity.token.username.addTimestamp para incluir o valor do registro de data e hora.
Ligações de Amostra de Cliente V2
Duas novas ligações de amostra gerais, Amostra de Cliente V2, e Amostra de Provedor V2, foram incluídas no produto. Enquanto muitas das configurações são as mesmas das versões anteriores das ligações de amostra de cliente e de provedor, existem várias configurações de amostra novas. Para usar essas novas ligações, crie um novo perfil após instalar o produto. Para obter informações adicionais, leia o tópico Configurando conjuntos de política do Kerberos e ligações de amostra gerais V2.
- A configuração de amostra para geração de informações de assinatura, chamada
symmetric-KrbsignInfoRequest, contém a seguinte configuração:
- Faz referência às informações chave sobre assinatura gen_reqKRBsignkeyinfo.
- A configuração de referência de parte, que contém a configuração de transformação que utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, gen_reqKRBsignkeyinfo, que contêm
esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de criptografia, chamada
symmetric-KrbEncInfoRequest, contém a seguinte configuração:
- Faz referência às informações chave de criptografia gen_reqKRBenckeyinfo.
- As informações de chave de criptografia, gen_reqKRBenckeyinfo, que
contêm esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_krb5token, que contém a seguinte
configuração:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para consumo de informações de assinatura, chamada
symmetric-KrbsignInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_respKRBsignkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas
con_respKRBsignkeyinfo, que contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.consume.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- A chave derivada, conforme a seguir:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de criptografia, chamada
symmetric-KrbEncInfoResponse, contém a seguinte configuração:
- Faz referência às informações chave de criptografia con_respKRBenckeyinfo.
- As informações de chave de criptografia, denominadas
con_respKRBenckeyinfo, contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.consume.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- A chave derivada, conforme a seguir:
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para geração de token de autenticação, chamada
gen_krb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- As seguintes propriedades customizadas:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName, o nome do serviço Kerberos de destino.
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, o nome do host
associado ao nome do serviço Kerberos de destino.Nota: Forneça os valores corretos para seu ambiente antes de usar essa configuração.
- O manipulador de retorno de chamada do token Kerberos customizado. Nota: Forneça os valores corretos para senha e proprietário do cliente Kerberos.
- A configuração de amostra para consumo de token de autenticação, chamada
con_krb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- O login do JAAS wss.consume.KRB5BST.
- O manipulador de retorno de chamada do token Kerberos customizado.
Ligações Gerais de Amostra do Provedor
- A configuração de amostra para consumo de informações de assinatura, chamada
asymmetric-signingInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_signkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas con_signkeyinfo,
que contêm a seguinte configuração:
- O consumidor de assinatura assimétrica de token de proteção
con_signx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.consume.x509.
- O X.509 Callback Handler, como se segue:
- Faz referência a um armazenamento de certificados denominado DigSigCertStore.
- Faz referência a um armazenamento de âncora confiável denominado DigSigTrustAnchor.
- O consumidor de assinatura assimétrica de token de proteção
con_signx509token, como se segue:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de assinatura, chamada
symmetric-signingInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_sctsignkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas
con_sctsignkeyinfo, que contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção con_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.consume.sct.
- O WS-SecureConversation Callback Handler.
- A chave derivada, conforme a seguir:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de criptografia, chamada
asymmetric-encryptionInfoRequest, contém as seguintes configurações:
- Faz referência a informações de chave de criptografia dec_keyinfo.
- As informações de chave de criptografia, denominadas dec_keyinfo,
que contêm a seguinte configuração:
- O consumidor de criptografia assimétrica de token de proteção
con_encx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.consume.x509.
- O X.509 Callback Handler. O manipulador de retorno
de chamada chama o armazenamento de chaves customizado em
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks, com as
seguintes características:
- O tipo de armazenamento de chaves é JCEKS.
- A senha do armazenamento de chave é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é bob.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2 que, por sua vez, é emitida por soapca.
- O consumidor de criptografia assimétrica de token de proteção
con_encx509token, como se segue:
- O método de criptografia de chave http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- A configuração de amostra para consumo de informações de criptografia, chamada
symmetric-encryptionInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de criptografia dec_sctkeyinfo.
- As informações de chave de criptografia, denominadas dec_sctkeyinfo,
que contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.consume.sct.
- O WS-SecureConversation Callback Handler.
- A chave derivada, conforme a seguir:
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para geração de informações de assinatura, chamada
asymmetric-signingInfoResponse, contém a seguinte configuração:
- Faz referência às informações chave sobre assinatura gen_signkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas gen_signkeyinfo,
que contêm a seguinte configuração:
- A referência de token de segurança.
- O gerador de assinatura assimétrica de token de proteção
gen_signx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.generate.x509.
- O X.509 Callback Handler. O manipulador de retorno de chamada chama o armazenamento
de chaves customizado em
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks, com as
seguintes características:
- O tipo de armazenamento de chaves é JKS.
- A senha do armazenamento de chave é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é soapprovider.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2 que, por sua vez, é emitida por soapca.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#rsa-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de assinatura, chamada
symmetric-signingInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura gen_signsctkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas
gen_signsctkeyinfo, que contêm a seguinte configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.generate.sct.
- O WS-Trust Callback Handler.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de criptografia, chamada
asymmetric-encryptionInfoResponse, contém a seguinte configuração:
- Faz referência às informações chave de criptografia gen_enckeyinfo.
- As informações de chave de criptografia, denominadas gen_enckeyinfo,
contêm a seguinte configuração:
- O identificador de chave.
- O gerador de criptografia assimétrica de token de proteção
gen_encx509token, como se segue:
- Contém o tipo de token X.509 V3 Token v1.0.
- Contém o tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 para o valor da parte de local.
- Contém o login do JAAS wss.generate.x509.
- Utiliza a Rotina de Tratamento de Retorno de Chamada X.509. O manipulador de retorno
de chamada chama o armazenamento de chaves customizado em
${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks, com as
seguintes características:
- O tipo de armazenamento de chaves é JCEKS.
- A senha do armazenamento de chave é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é alice.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2 que, por sua vez, é emitida por soapca.
- O método de criptografia de chave http://www.w3.org/2001/04/xmlenc#rsa-1_5.
- A configuração de amostra para geração de informações de criptografia, chamada
symmetric-encryptionInfoResponse, contém a seguinte configuração:
- Faz referência a informações de chave de criptografia gen_encsctkeyinfo.
- As informações de chave de criptografia, denominadas
gen_encsctkeyinfo, contêm a seguinte configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_scttoken, como a seguir:
- Contém o tipo de token Secure Conversation Token v1.3.
- Contém o tipo de valor http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct como valor da parte de local.
- Contém o login do JAAS wss.generate.sct.
- O WS-Trust Callback Handler.
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para consumo de token de autenticação, chamada
con_krb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos v5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- O login do JAAS wss.consume.KRB5BST.
- O manipulador de retorno de chamada do token Kerberos customizado.
- A configuração de amostra para consumo de token de autenticação, chamada
con_ltpaproptoken, contém a seguinte configuração:
- O tipo de token de propagação LTPA.
- O login do JAAS wss.consume.ltpaProp.
- O manipulador de retorno de chamada do token LTPA.
- A configuração de amostra para consumo de token de autenticação, chamada
con_ltpatoken, contém a seguinte configuração:
- O tipo de token LTPA Token v2.0, com as seguintes características:
- Contém LTPAv2 como valor da parte de local.
- Contém http://www.ibm.com/websphere/appserver/tokentype como valor de URI do Espaço de Nomes.
- O login do JAAS wss.consume.ltpa
- O manipulador de retorno de chamada do token LTPA.
- O tipo de token LTPA Token v2.0, com as seguintes características:
- A configuração de amostra para consumo de token de autenticação, chamada
con_unametoken, contém a seguinte configuração:
- O tipo de token Username Token v1.0, que utiliza http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken como valor da parte de local.
- O login do JAAS wss.consume.unt.
- O manipulador de retorno de chamada do token de nome de usuário, com as seguintes
propriedades customizadas:
- com.ibm.wsspi.wssecurity.token.username.verifyNonce para verificar o valor de nonce.
- com.ibm.wsspi.wssecurity.token.username.verifyTimestamp para verificar o valor do registro de data e hora.
Ligações de Amostra de Provedor V2
Duas novas ligações de amostra gerais, Amostra de Cliente V2, e Amostra de Provedor V2, foram incluídas no produto. Enquanto muitas das configurações são as mesmas das versões anteriores das ligações de amostra de cliente e de provedor, existem várias configurações de amostra novas. Para usar essas novas ligações, crie um novo perfil após instalar o produto. Para obter informações adicionais, leia o tópico Configurando conjuntos de política do Kerberos e ligações de amostra gerais V2.
- A configuração de amostra para geração de informações de assinatura, chamada
symmetric-KrbsignInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de assinatura con_respKRBsignkeyinfo.
- A configuração de referência de parte, que contém a configuração de transformação que utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, con_respKRBsignkeyinfo, que
contêm esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O consumidor de token de proteção con_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.consume.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para geração de informações de criptografia, chamada
symmetric-KrbEncInfoRequest, contém a seguinte configuração:
- Faz referência a informações de chave de criptografia con_reqKRBenckeyinfo.
- As informações de chave de criptografia, con_reqKRBenckeyinfo, que
contêm esta configuração:
- A referência de token de segurança.
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção con_krb5token, que contém a seguinte
configuração:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.consume.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler.
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para consumo de informações de assinatura, chamada
symmetric-KrbsignInfoResponse, contém a seguinte configuração:
- Faz referência às informações chave sobre assinatura gen_respKRBsignkeyinfo.
- A configuração de referência de parte, que utiliza o algoritmo de configuração de transformação http://www.w3.org/2001/10/xml-exc-c14n#.
- As informações de chave de assinatura, denominadas gen_respKRBsignkeyinfo,
que contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler.
- A chave derivada, conforme a seguir:
- O método de assinatura http://www.w3.org/2000/09/xmldsig#hmac-sha1.
- O método de canonicalização http://www.w3.org/2001/10/xml-exc-c14n#.
- A configuração de amostra para consumo de informações de criptografia, chamada
symmetric-KrbEncInfoResponse, contém a seguinte configuração:
- Faz referência às informações chave de criptografia gen_respKRBenckeyinfo.
- As informações de chave de criptografia, denominadas
gen_respKRBenckeyinfo, contêm a seguinte configuração:
- A chave derivada, conforme a seguir:
- Requer token de chave derivada explícita.
- WS-SecureConversation como rótulo de cliente.
- WS-SecureConversation como rótulo de serviço.
- O comprimento da chave de 16 bytes.
- O comprimento do nonce de 16 bytes.
- O gerador de token de proteção gen_krb5token, como a seguir:
- Contém o tipo de token de segurança binário V5 GSS AP_REQ do Kerberos.
- Contém o tipo de valor http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como o valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- O com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- A chave derivada, conforme a seguir:
- O método de criptografia de dados http://www.w3.org/2001/04/xmlenc#aes128-cbc.
- A configuração de amostra para geração de token de autenticação, chamada
gen_krb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- Contém o login do JAAS wss.generate.KRB5BST.
- O manipulador de retorno de chamada do token Kerberos customizado.
- A configuração de amostra para consumo de token de autenticação, chamada
con_krb5token, contém a seguinte configuração:
- O tipo de token customizado para o token Kerberos V5, que utiliza http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ como valor da parte de local.
- O login do JAAS wss.consume.KRB5BST.
- O manipulador de retorno de chamada do token Kerberos customizado.