É possível configurar as informações sobre assinatura para as ligações do gerador de pedidos do lado do cliente e gerador de respostas do lado do servidor no nível do servidor ou da célula.
Antes de Iniciar
Nota: Apenas para o WebSphere Application Server Versão
6.x ou anterior, no arquivo de extensões do servidor (ibm-webservices-ext.xmi)
e no arquivo de extensões do descritor de implementação do cliente, (ibm-webservicesclient-ext.xmi), especifique quais partes da mensagem serão assinadas. Também é necessário configurar as informações chave referidas pelas referências de informações chave no
painel de informações sobre assinatura no console administrativo.
Sobre Esta Tarefa
Esta tarefa explica as etapas necessárias para configurar informações de
assinatura para ligações do gerador de pedido do lado cliente e do gerador de resposta do
lado do servidor no nível de servidor ou de célula. O WebSphere Application Server utiliza as informações sobre assinatura para que o gerador padrão assine partes da mensagem, incluindo o corpo, o registro de data e hora e o token do nome do usuário, se essas ligações não forem definidas no nível do aplicativo.
O Application Server
fornece valores padrão para ligações. No entanto, um administrador deve modificar
os padrões para um ambiente de produção.
É possível configurar as
informações sobre assinatura para a ligação de consumidor no nível do servidor e
no nível de célula. Nas etapas a seguir, utilize a primeira etapa para acessar as ligações
padrão de nível do servidor e utilize a segunda etapa para acessar as ligações no nível
de célula.
Procedimento
- Acesse as ligações padrão para o nível do servidor.
- Clique em .
- Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
Ambiente de Versões Mistas: Em uma célula de nó combinada
com um servidor usando o Websphere Application Server versão 6.1 ou anterior, clique em
Serviços da
Web: Ligações padrão para Segurança de Serviços da Web.
mixv
- Clique em para
acessar as ligações padrão no nível de célula.
- Em Ligações do Consumidor Padrão, clique em Informações sobre Assinatura.
- Clique em Novo para criar uma configuração de informações sobre assinatura,
clique em Excluir para excluir uma configuração existente ou clique em um nome
de configuração de informações sobre assinatura existente para editar as definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a
configuração de assinatura no campo Nome de Informações sobre Assinatura. Por exemplo, é possível especificar gen_signinfo.
Evitar Problemas: Se criar mais de uma configuração de
informações sobre assinatura, o ambiente de tempo de execução do WS-Security
honrará apenas a primeira configuração listada no arquivo de ligações.
gotcha
- Selecione um algoritmo de método de assinatura no campo Método de Assinatura. O algoritmo especificado para o consumidor padrão deve corresponder
ao algoritmo especificado para o gerador padrão. O WebSphere Application Server suporta
os seguintes algoritmos pré-configurados:
- Selecione um método de canonicalização no campo Método de
Canonicalização. O algoritmo de canonicalização especificado para o gerador
deve corresponder ao algoritmo para o consumidor. O WebSphere Application Server suporta os seguintes algoritmos de canonicalização XML exclusiva e XML canônico pré-configurados:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Selecione um tipo de assinatura de informações chave no campo Tipo de
Assinatura de Informações Chave. O tipo de assinatura de informações chave
determina como assinar a chave digitalmente. O WebSphere Application Server suporta os seguintes
tipos de assinatura:
- Nenhuma
- Especifica que o elemento KeyInfo não é assinado.
- Keyinfo
- Especifica que o elemento KeyInfo inteiro é assinado.
- Keyinfochildelements
- Especifica que os elementos filhos do elemento KeyInfo são assinados.
O tipo de assinatura de informações chave para o consumidor deve corresponder ao tipo de assinatura para o gerador. É possível encontrar as seguintes
situações:
- Se você não especificar um dos tipos de assinatura anteriores, o WebSphere Application
Server utilizará keyinfo, por padrão.
- Se selecionar Keyinfo ou Keyinfochildelements e
selecionar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como o algoritmo de transformação em uma etapa subsequente, o WebSphere Application
Server também assinará o token referenciado.
- Clique em OK para salvar a configuração.
- Clique no nome da nova configuração de informações sobre assinatura. Esta configuração é a especificada nas etapas anteriores.
- Especifique a referência de informações chave, referência de parte,
algoritmo de compilação e algoritmo de transformação.
- Em Propriedades Adicionais, clique em para criar uma nova referência, clique em para excluir uma referência existente ou clique em um nome de referência para
editar uma referência de informações chave existente.
- Digite um nome para a configuração no campo Nome. Por exemplo, digite con_skeyinfo.
- Selecione uma referência de informações chave no campo Referência de Informações
Chave. A referência de informações chave aponta para a chave que o WebSphere Application
Server utiliza para assinatura digital. Nos arquivos de ligação, a referência é especificada no elemento <signingKeyInfo>. A chave utilizada para assinatura é especificada pelo elemento de Informações Chave, que está
definido no mesmo nível que as informações sobre assinatura. Para obter informações
adicionais, consulte Configurando as Informações Chave Usando JAX-RPC para a Ligação do Consumidor no Nível do Aplicativo.
- Clique em OK e Salvar para salvar a configuração.
- Em Propriedades Adicionais, clique em para
criar uma nova referência de parte, clique em para
excluir uma referência de parte existente ou clique em um nome de parte para editar uma
referência de parte existente. A referência de parte especifica quais partes da
mensagem serão assinadas digitalmente. O atributo de parte refere-se ao nome do elemento <RequiredIntegrity> no descritor de implementação quando <PartReference> for especificado para a assinatura digital. O WebSphere Application Server permite especificar vários elementos <PartReference> para o elemento <SigningInfo>. O elemento <PartReference> possui dois elementos filhos: <DigestMethod> e <Transform>.
- Especifique um nome de parte exclusivo para esta referência de parte. Por
exemplo, é possível especificar reqint.
Importante: Não é necessário
especificar um valor para o campo Referência da Parte como você especifica no nível do
aplicativo, porque a referência de parte no nível do aplicativo aponta para uma parte
específica da mensagem assinada. Como as ligações padrão para os níveis do servidor e
de célula são aplicáveis a todos os serviços definidos em um servidor específico,
não é possível especificar este valor.
- Selecione um algoritmo de método de compilação no campo Algoritmo de Método de
Compilação. O algoritmo do método digest especificado no elemento <DigestMethod> que é usado no elemento <SigningInfo>.
O WebSphere Application
Server suporta os seguintes algoritmos:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- Clique em OK e Salvar para salvar a configuração.
- Clique no nome de uma nova configuração de referência de parte. Esta configuração é a especificada nas etapas anteriores.
- Em Propriedades Adicionais, clique em para criar uma
nova transformação, clique em para excluir uma transformação
ou clique em um nome de transformação para editar uma transformação existente. Se você criar uma nova configuração de transformação, especifique um nome exclusivo. Por exemplo, é possível especificar reqint_body_transform1.
- Selecione um algoritmo de transformação do menu. O algoritmo de conversão é especificado no elemento <Transform>.
Ele especifica
o algoritmo de transformação da assinatura. O WebSphere Application
Server suporta os seguintes algoritmos:
O algoritmo de transformação selecionado para o consumidor deve corresponder
ao algoritmo de transformação selecionado para o gerador.
Importante: Se
ambas as condições a seguir forem verdadeiras, o WebSphere Application Server assinará o
token referenciado:
- Você selecionou anteriormente a opção Keyinfo ou Keyinfochildelements do campo Tipo
de Assinatura de Informações Chave no painel de informações sobre assinatura.
- Selecione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
como o algoritmo de transformação.
- Clique em OK.
- Clique em Salvar para salvar a configuração.
Resultados
Após concluir estas etapas, você configurou as informações sobre assinatura
para o consumidor no nível do servidor
ou de célula.
O que Fazer Depois
É necessário especificar uma configuração de informações sobre assinatura semelhante
para o gerador.