Configurações de Amostra Padrão para JAX-RPC
Utilize configurações de amostra com o console administrativo para fins de teste. As configurações especificadas são refletidas no nível da célula ou do servidor.
Essas informações descrevem ligações padrão de amostra, armazenamentos de chaves, localizadores de chaves, armazenamento de certificados de coleta, âncoras de confiança e avaliadores de IDs confiáveis para o WebSphere Application Server utilizando o modelo de programação JAX-RPC (Java API for XML-based RPC). É possível desenvolver serviços da Web usando o modelo de programação JAX-RPC (Java™ API for XML-based RPC), ou para o WebSphere Application Server Versão 7 e posterior, usando o modelo de programação JAX-WS (Java API for XML-Based Web Services). Ligações padrão de amostra, armazenamentos de chaves, localizadores de chaves, armazenamento de certificados de coleta, âncoras de confiança e avaliador de ID confiável podem diferir, dependendo de qual modelo de programação você utiliza.
Não utilize estas configurações em um ambiente de produção, pois elas têm finalidade apenas de amostra e teste. Para fazer modificações a essas configurações de amostra, é recomendado usar o console administrativo fornecido peloWebSphere Application Server.
Para um aplicativo ativado por Web Services Security, você deve configurar corretamente um descritor de implementação e uma ligação. No WebSphere Application Server, um conjunto de ligações padrão é compartilhado pelos aplicativos para tornar a implementação do aplicativo mais fácil. As informações sobre ligação padrão para o nível de célula e o nível do servidor podem ser substituídas pelas informações sobre ligação no nível do aplicativo. O Application Server procura informações sobre ligação para um aplicativo no nível do aplicativo antes de procurar no nível do servidor e, em seguida, no nível de célula.
As configurações de amostra a seguir são para o WebSphere Application Server que utiliza o modelo de programação JAX-RPC (Java API for XML-based RPC).
Ligação do Gerador Padrão
O WebSphere Application Server fornece um conjunto de amostras das ligações do gerador padrão. As ligações do gerador padrão contêm informações sobre assinatura e criptografia.
- Utiliza os seguintes algoritmos para a configuração de gen_signinfo:
- Método de assinatura: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Método de canonicalização: http://www.w3.org/2001/10/xml-exc-c14n#
- Faz referência às informações chave sobre assinatura gen_signkeyinfo.
As informações a seguir pertencem à configuração de gen_signkeyinfo:
- Contém uma configuração de referência de parte chamada gen_signpart.
A referência de parte não é utilizada na ligação padrão. As informações sobre assinatura se aplicam a todos os elementos Integridade ou Integridade Requerida nos descritores de
implementação e as informações são utilizadas apenas para fins de nomenclatura. As informações a seguir pertencem à configuração de gen_signpart:
- Utiliza a configuração de transformação chamada transform1.
As transformações a seguir são configuradas para as informações sobre assinatura padrão:
- Utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#
- Utiliza o método de compilação http://www.w3.org/2000/09/xmldsig#sha1
- Utiliza a configuração de transformação chamada transform1.
As transformações a seguir são configuradas para as informações sobre assinatura padrão:
- Utiliza a referência do token de segurança, que são as informações chave padrão configuradas.
- Utiliza o localizador de chaves SampleGeneratorSignatureKeyStoreKeyLocator. Para obter informações adicionais sobre este localizador de chaves, consulte Localizadores de Chaves de Amostra.
- Utiliza o gerador de token gen_signtgen, que contém a seguinte
configuração:
- Contém o gerador de token X.509, que gera o token X.509 do signatário.
- Contém o URI de tipo de valor gen_signtgen_vtype.
- Contém o valor de nome local de tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Utiliza a Rotina de Tratamento de Retorno de Chamada X.509. O manipulador de retorno
de chamada chama o armazenamento de chaves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- A senha do armazenamento de chaves é client.
- O nome do alias do certificado confiável é soapca.
- O nome do alias do certificado pessoal é soaprequester.
- O cliente de senha de chave emitido pela autoridade de certificação intermediária Int CA2 que, por sua vez, é emitida por soapca.
- Contém uma configuração de referência de parte chamada gen_signpart.
A referência de parte não é utilizada na ligação padrão. As informações sobre assinatura se aplicam a todos os elementos Integridade ou Integridade Requerida nos descritores de
implementação e as informações são utilizadas apenas para fins de nomenclatura. As informações a seguir pertencem à configuração de gen_signpart:
- Utiliza os seguintes algoritmos para a configuração de gen_encinfo:
- Método de criptografia de dados: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Método de criptografia de chaves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Faz referência às informações chave de criptografia gen_enckeyinfo. As
informações a seguir pertencem à configuração de gen_enckeyinfo:
- Utiliza o identificador de chaves como as informações chave padrão.
- Contém uma referência ao localizador de chaves SampleGeneratorEncryptionKeyStoreKeyLocator. Para obter informações adicionais sobre este localizador de chaves, consulte Localizadores de Chaves de Amostra.
- Utiliza o gerador de token gen_signtgen, que contém a seguinte
configuração:
- Contém o gerador de token X.509, que gera o token X.509 do signatário.
- Contém o URI de tipo de valor gen_enctgen_vtype.
- Contém o valor de nome local de tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Utiliza a Rotina de Tratamento de Retorno de Chamada X.509. O manipulador de retorno
de chamada chama o armazenamento de chaves ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks.
- A senha do armazenamento de chaves é storepass.
- A chave secreta CN=Group1 possui um nome de alias Group1 e uma senha de chave keypass.
- A chave pública CN=Bob, O=IBM, C=US possui um nome de alias bob e uma senha de chave keypass.
- A chave privada CN=Alice, O=IBM, C=US possui um nome de alias alice e uma senha de chave keypass.
Ligação do Consumidor Padrão
O WebSphere Application Server fornece um conjunto de amostras da ligação do consumidor padrão. A ligação de consumidor padrão contém informações sobre assinatura e informações sobre criptografia.
- Utiliza os seguintes algoritmos para a configuração de con_signinfo:
- Método de assinatura: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Método de canonicalização: http://www.w3.org/2001/10/xml-exc-c14n#
- Utiliza a referência de informações chave sobre assinatura con_signkeyinfo. As informações a seguir pertencem à configuração de con_signkeyinfo:
- Contém uma configuração de referência de parte chamada con_signpart.
A referência de parte não é utilizada na ligação padrão. As informações sobre assinatura se aplicam a todos os elementos Integridade ou Integridade Requerida nos descritores de
implementação e as informações são utilizadas apenas para fins de nomenclatura. As informações a seguir pertencem à configuração de con_signpart:
- Utiliza a configuração de transformação chamada reqint_body_transform1.
As transformações a seguir são configuradas para as informações sobre assinatura padrão:
- Utiliza o algoritmo http://www.w3.org/2001/10/xml-exc-c14n#.
- Utiliza o método de compilação http://www.w3.org/2000/09/xmldsig#sha1.
- Utiliza a configuração de transformação chamada reqint_body_transform1.
As transformações a seguir são configuradas para as informações sobre assinatura padrão:
- Utiliza a referência do token de segurança, que são as informações chave padrão configuradas.
- Utiliza o localizador de chaves SampleX509TokenKeyLocator. Para obter informações adicionais sobre este localizador de chaves, consulte Localizadores de Chaves de Amostra.
- Faz referência às informações sobre o consumidor de token con_signtcon.
As informações a seguir pertencem à configuração de con_signtcon:
- Utiliza o Consumidor de Token X.509, que é configurado como o consumidor para as informações sobre assinatura padrão.
- Contém o URI de tipo de valor signtconsumer_vtype.
- Contém o valor de nome local de tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Contém uma configuração de JAAS chamada system.wssecurity.X509BST que
faz referência às seguintes informações:
- Âncora de confiança: SampleClientTrustAnchor
- Armazenamento de certificados de coleta: SampleCollectionCertStore
- Contém uma configuração de referência de parte chamada con_signpart.
A referência de parte não é utilizada na ligação padrão. As informações sobre assinatura se aplicam a todos os elementos Integridade ou Integridade Requerida nos descritores de
implementação e as informações são utilizadas apenas para fins de nomenclatura. As informações a seguir pertencem à configuração de con_signpart:
- Utiliza os seguintes algoritmos para a configuração de con_encinfo:
- Método de criptografia de dados: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- Método de criptografia de chaves: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Referencia as informações de chave de criptografia con_enckeyinfo. Esta
chave realmente decriptografa a mensagem. As informações a seguir pertencem à
configuração de con_enckeyinfo:
- Utiliza o identificador de chaves, que é configurado como as informações chave para as informações sobre criptografia padrão.
- Contém uma referência ao localizador de chaves SampleConsumerEncryptionKeyStoreKeyLocator. Para obter informações adicionais sobre este localizador de chaves, consulte Localizadores de Chaves de Amostra.
- Faz referência à configuração do consumidor de token con_enctcon.
As informações
a seguir pertencem à configuração de con_enctcon:
- Utiliza o consumidor de token X.509, que é configurado para as informações sobre criptografia padrão.
- Contém o URI de tipo de valor enctconsumer_vtype.
- Contém o valor de nome local de tipo de valor http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3.
- Contém uma configuração de JAAS chamada system.wssecurity.X509BST.
Configurações de Armazenamento de Chaves de Amostra
![[Windows]](../images/windows.gif)
- O utilitário iKeyman está localizado no seguinte diretório: app_server_root/bin/ikeyman
- A ferramenta chave está localizada no seguinte diretório: app_server_root/java/jre/bin/keytool
![[AIX HP-UX Solaris]](../images/unix.gif)
![[Linux]](../images/linux.gif)
- O utilitário iKeyman está localizado no seguinte diretório: app_server_root\bin\ikeyman.sh
- A ferramenta chave está localizada no seguinte diretório: app_server_root\java\jre\bin\keytool.sh
Os armazenamentos de chaves de amostra a seguir destinam-se apenas a testes; não utilize-os em um ambiente de produção:
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- O formato do armazenamento de chaves é JKS.
- A senha do armazenamento de chaves é client.
- O certificado confiável possui um nome de alias soapca.
- O certificado pessoal possui um nome de alias soaprequester e uma senha de chave client que é emitida pela autoridade de certificação intermediária Int CA2 que é, por sua vez, emitida por soapca.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- O formato do armazenamento de chaves é JKS.
- A senha do armazenamento de chaves é server.
- O certificado confiável possui um nome de alias soapca.
- O certificado pessoal possui um nome de alias soapprovider e uma senha de chave server que é emitida pela autoridade de certificação intermediária Int CA2 que é, por sua vez, emitida por soapca.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- O formato do armazenamento de chaves é JCEKS.
- A senha do armazenamento de chaves é storepass.
- A chave secreta DES CN=Group1 possui um nome de alias Group1 e uma senha de chave keypass.
- A chave pública CN=Bob, O=IBM, C=US possui um nome de alias bob e uma senha de chave keypass.
- A chave privada CN=Alice, O=IBM, C=US possui um nome de alias alice e uma chave de senha keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- O formato do armazenamento de chaves é JCEKS.
- A senha do armazenamento de chaves é storepass.
- A chave secreta DES CN=Group1 possui um nome de alias Group1 e uma senha de chave keypass.
- A chave privada CN=Bob, O=IBM, C=US possui um nome de alias bob e uma senha de chave keypass.
- A chave pública CN=Alice, O=IBM, C=US possui um nome de alias alice e uma senha de chave keypass.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- O certificado intermediário é assinado por soapca e ele assina soaprequester e soapprovider.
Localizadores de Chaves de Amostra
- Configurando o Localizador de Chaves Utilizando o JAX-RPC para Ligação do Gerador no Nível do Aplicativo
- Configurando o localizador de chaves utilizando o JAX-RPC para a ligação do consumidor no nível do aplicativo
- Configurado o Localizador de Chaves Utilizando o JAX-RPC no Nível do Servidor ou da Célula
- SampleClientSignerKey
- Este localizador de chaves é usado pelo emissor de solicitação para um aplicativo Versão 5.x para assinar a mensagem SOAP. O nome da chave de assinatura é clientsignerkey, que é referido nas informações sobre assinatura como o nome da chave de assinatura.
- SampleServerSignerKey
- Este localizador de chaves é usado pelo emissor de resposta para um aplicativo Versão 5.x para assinar a mensagem SOAP. O nome da chave da assinatura é serversignerkey, o qual pode ser referenciado nas informações de assinatura como o nome da chave da assinatura.
- SampleSenderEncryptionKeyLocator
- Este localizador de chaves é usado pelo emissor para um aplicativo Versão 5.x para criptografar a mensagem SOAP. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. A implementação é configurada para a chave secreta DES. Para utilizar a criptografia assimétrica (RSA), é necessário incluir as chaves RSA apropriadas.
- SampleReceiverEncryptionKeyLocator
- Este localizador de chaves é usado pelo receptor para um aplicativo Versão 5.x para decriptografar a mensagem SOAP criptografada. A implementação está configurada para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator. A implementação está configurada para criptografia simétrica (DES ou TRIPLEDES). Para usar o RSA, é necessário incluir a chave privada CN=Bob, O=IBM, C=US, o nome do alias bob e a senha de chave keypass.
- SampleResponseSenderEncryptionKeyLocator
- Este localizador de chaves é usado pelo emissor de resposta para um aplicativo Versão 5.x criptografar a mensagem de resposta SOAP. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator. Esse localizador de chaves mapeia uma identidade autenticada (do encadeamento atual) para uma chave pública para criptografia. Por padrão, o WebSphere Application Server é configurado para ser mapeado para a chave pública alice, devendo alterar o WebSphere Application Server para o usuário apropriado. O localizador de chave SampleResponseSenderEncryptionKeyLocator também pode configurar uma chave padrão para a criptografia. Por padrão, esse localizador de chaves está configurado para utilizar a chave pública alice.
- SampleGeneratorSignatureKeyStoreKeyLocator
- Este localizador de chaves é utilizado pelo gerador para assinar a mensagem SOAP. O nome da chave de assinatura é SOAPRequester, que é referido nas informações sobre assinatura como o nome da chave de assinatura. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleConsumerSignatureKeyStoreKeyLocator
- Este localizador de chaves é utilizado pelo consumidor para verificar a assinatura digital na mensagem SOAP. A chave de assinatura é SOAPProvider, que é referida nas informações sobre assinatura. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleGeneratorEncryptionKeyStoreKeyLocator
- Este localizador de chaves é utilizado pelo gerador para criptografar a mensagem SOAP. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleConsumerEncryptionKeyStoreKeyLocator
- Este localizador de chaves é utilizado pelo consumidor para decriptografar uma mensagem SOAP criptografada. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
- SampleX509TokenKeyLocator
- Este localizador de chaves é utilizado pelo consumidor para verificar um certificado digital em um certificado X.509. Está configurado para usar o armazenamento de chave ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks e o localizador de chave de armazenamento de chave com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator.
Armazenamento de Certificados de Coleta de Amostra
- Configurando o Armazenamento de Certificados de Coleção para a Ligação do Gerador no Nível do Aplicativo
- Configurando o Armazenamento de Certificados de Coleta para a Ligação do Consumidor no Nível do Aplicativo
- Configurando o Certificado de Coleta no Servidor ou Nível de Célula
- SampleCollectionCertStore
- Este armazenamento de certificados de coleção é utilizado pelo consumidor de resposta e pelo gerador de pedido para validar o caminho do certificado signatário.
Âncoras de Confiança de Amostra
- Configurando Âncoras de Confiança para a Ligação do Gerador no Nível do Aplicativo
- Configurando Âncoras de Confiança para a Ligação do Consumidor no Nível do Aplicativo
- Configurando Âncoras de Confiança no Nível do Servidor ou de Célula
- SampleClientTrustAnchor
- Esta âncora de confiança é utilizada pelo consumidor de resposta para validar o certificado signatário. Essa âncora de confiança está configurada para acessar o armazenamento de chaves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- SampleServerTrustAnchor
- Esta âncora de confiança é utilizada pelo consumidor de pedido para validar o certificado signatário. Essa âncora de confiança está configurada para acessar o armazenamento de chaves ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
Avaliadores de IDs Confiáveis de Amostra
- SampleTrustedIDEvaluator
- Este avaliador de ID confiável utiliza a implementação de com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl. A implementação padrão de com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator contém uma lista de identidades confiáveis. Essa lista, que é utilizada para asserção de identidade, define o par de nome da chave
e valor para a identidade confiável. O
nome da chave está na forma trustedId_* e o valor é a identidade confiável. Para obter informações adicionais, consulte o exemplo em Configurando Avaliadores de ID Confiável no Nível do Servidor ou de Célula.Conclua as seguintes etapas para definir estas informações para o nível de célula no console administrativo:
- Clique em Segurança > Serviços da Web.
- Em Propriedades Adicionais, clique em Avaliadores de IDs Confiáveis > SampleTrustedIDEvaluator.