É possível configurar as informações sobre assinatura para as ligações do gerador de pedidos do lado do cliente e gerador de respostas do lado do servidor no nível do servidor ou da célula.
Antes de Iniciar
Nota: Apenas para o WebSphere Application Server Versão
6.x ou anterior, no arquivo de extensões do servidor (ibm-webservices-ext.xmi)
e no arquivo de extensões do descritor de implementação do cliente, (ibm-webservicesclient-ext.xmi), especifique quais partes da mensagem serão assinadas. Também é necessário configurar as informações chave referidas pelas referências de informações chave no
painel de informações sobre assinatura no console administrativo.
Sobre Esta Tarefa
Esta tarefa explica as etapas necessárias para configurar
as informações sobre assinatura para ligações do gerador de pedido do lado cliente e
do gerador de resposta do lado do servidor no nível do servidor ou de célula. O WebSphere Application
Server utiliza as informações sobre assinatura para o gerador padrão para assinar partes da mensagem que
incluem o corpo, o registro de data e hora e o token do nome do usuário, se essas ligações não
forem definidas no nível do aplicativo.
O Application Server
fornece valores padrão para ligações. No entanto, um administrador deve modificar
os padrões para um ambiente de produção.
É possível configurar as informações sobre assinatura para a ligação de gerador no nível do
servidor e no nível de célula. Nas etapas a seguir,
utilize a primeira etapa para configurar as informações sobre assinatura no nível do
servidor e utilize a segunda etapa para configurar as informações sobre assinatura no
nível de célula:
Procedimento
- Acesse as ligações padrão para o nível do servidor.
- Clique em .
- Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
Ambiente de Versões Mistas: Em uma célula de nó combinada
com um servidor usando o Websphere Application Server versão 6.1 ou anterior, clique em
Serviços da
Web: Ligações padrão para Segurança de Serviços da Web.
mixv
- Clique em para
acessar as ligações padrão no nível de célula.
- Em Ligações do Gerador Padrão, clique em Informações sobre Assinatura.
- Clique em Novo para criar uma configuração de informações sobre assinatura,
clique em Excluir para excluir uma configuração existente ou clique em um nome
de configuração de informações sobre assinatura existente para editar as definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a
configuração de assinatura no campo Nome de Informações sobre Assinatura. Por exemplo, é possível especificar gen_signinfo.
Evitar Problemas: Se criar mais de uma configuração de
informações sobre assinatura, o ambiente de tempo de execução do WS-Security
honrará apenas a primeira configuração listada no arquivo de ligações.
gotcha
- Selecione um algoritmo de método de assinatura no campo Método de Assinatura. O algoritmo especificado para o gerador padrão deve corresponder
ao algoritmo especificado para o consumidor padrão. O WebSphere Application Server suporta
os seguintes algoritmos pré-configurados:
- Selecione um método de canonicalização no campo Método de
Canonicalização. O algoritmo de canonicalização especificado para o gerador
deve corresponder ao algoritmo para o consumidor. O WebSphere Application Server suporta os seguintes algoritmos de canonicalização XML exclusiva e XML canônico pré-configurados:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Selecione um tipo de assinatura de informações chave no campo Tipo de Assinatura
de Informações Chave. O tipo de assinatura de informações chave
determina como assinar a chave digitalmente. O WebSphere Application
Server suporta os seguintes tipos de assinatura:
- Nenhuma
- Especifica que o elemento <KeyInfo> não está assinado.
- Keyinfo
- Especifica que o elemento <KeyInfo> inteiro está assinado.
- Keyinfochildelements
- Especifica que os elementos filhos do elemento <KeyInfo> estão assinados.
O tipo de assinatura de informações chave para o gerador deve
corresponder ao tipo de assinatura para o consumidor. É possível encontrar as seguintes
situações:
- Se você não especificar um dos tipos de assinatura anteriores, o WebSphere Application
Server usará o keyinfo por padrão.
- Se você selecionar Keyinfo ou Keyinfochildelements e selecionar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como o algoritmo de transformação em uma etapa subseqüente, o WebSphere Application Server também assinará o token referenciado.
- Selecione uma referência de informações chave sobre assinatura no campo Informações
Chave sobre Assinatura. Esta seleção é uma referência à chave de assinatura
que o Application Server utiliza para gerar assinaturas digitais. Nos arquivos de ligação, essas informações são especificadas na tag <signingKeyInfo>. A chave utilizada para assinatura é especificada pelo elemento de informações chave, que está definido no mesmo nível que as informações sobre assinatura. Para obter informações
adicionais, consulte Configurando as Informações Chave para a Ligação do Gerador Utilizando o JAX-RPC no Nível de Servidor ou de Célula.
- Clique em OK para salvar a configuração.
- Clique no nome da nova configuração de informações sobre assinatura. Esta configuração é a especificada nas etapas anteriores.
- Especifique a referência de parte, o algoritmo de compilação e o algoritmo de transformação. A referência de parte especifica quais partes da mensagem serão
assinadas digitalmente.
- Em Propriedades Adicionais, clique em para
criar uma nova referência de parte, clique em para
excluir uma referência de parte existente ou clique em um nome de parte para editar uma
referência de parte existente.
- Especifique um nome exclusivo para a parte da mensagem que precisa ser assinada. Esta parte da mensagem é especificada no lado do servidor e no lado
cliente. É necessário especificar um nome de parte idêntico para o lado do servidor
e o lado cliente. Por exemplo, você pode especificar reqint para o gerador
e o consumidor.
Importante: Você não
precisa especificar um valor para a Referência de Parte nas ligações padrão
como especifica no nível do aplicativo, porque a referência de parte no nível
do aplicativo aponta para uma parte específica da mensagem assinada. Como as ligações padrão para os níveis do servidor e de célula são aplicáveis a todos os serviços definidos
em um servidor específico, não é possível especificar este valor.
- Selecione um algoritmo de método de compilação no campo Algoritmo de Método de
Compilação. O algoritmo do método digest especificado nos arquivos de ligação no elemento <DigestMethod> é usado no elemento
<SigningInfo>.
O WebSphere Application
Server suporta os seguintes algoritmos:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome de uma nova configuração de referência de parte. Esta configuração é a especificada nas etapas anteriores.
- Em Propriedades Adicionais, clique em para criar uma
nova transformação, clique em para excluir uma transformação
ou clique em um nome de transformação para editar uma transformação existente. Se você criar uma nova configuração de transformação, especifique um nome exclusivo. Por exemplo, é possível especificar reqint_body_transform1.
- Selecione um algoritmo de transformação do menu. O algoritmo de conversão é especificado no elemento <Transform>.
Este elemento de algoritmo especifica o algoritmo de transformação para a assinatura digital. O WebSphere Application
Server suporta os seguintes algoritmos:
O algoritmo de transformação selecionado para o gerador deve corresponder
ao algoritmo de transformação selecionado para o consumidor.
Importante: Se
ambas as condições a seguir forem verdadeiras, o WebSphere Application Server assinará o
token referenciado:
- Você selecionou anteriormente a opção Keyinfo ou
Keyinfochildelements do campo Tipo
de Assinatura de Informações Chave no painel de informações sobre assinatura.
- Selecione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como o algoritmo de transformação.
- Clique em Aplicar.
- Clique em Salvar para salvar a configuração.
Resultados
Após concluir estas etapas, você configurou as informações sobre assinatura
para o gerador no nível do servidor
ou de célula.
O que Fazer Depois
É necessário especificar uma configuração de informações sobre assinatura semelhante
para o consumidor.