Configurando o Servidor para a Verificação de Assinatura Digital do Pedido: Escolhendo o Método de Verificação

Para configurar o servidor para verificação de assinatura digital do pedido, utilize uma ferramenta de montagem para modificar as extensões e indicar qual método de assinatura digital o servidor utilizará durante a verificação.

Antes de Iniciar

Importante: Há uma distinção importante entre a Versão 5.x e a Versão 6 e aplicativos posteriores. As informações suportam somente aplicativos Versão 5.x que são usados com o WebSphere Application Server Versão 6.0.x e posterior. As informações não se aplicam a aplicativos da Versão 6.0.x e posterior.
Antes de concluir estas etapas, leia um dos tópicos a seguir para familiarizar-se com as guias Extensões e Configurações de Ligação no Editor de Serviços da Web, nas ferramentas de montagem IBM®: É possível usar essas duas guias para configurar as extensões de Segurança dos serviços da Web e as ligações de Segurança dos serviços da Web, respectivamente. Você deve especificar quais partes da mensagem contêm as informações da assinatura digital que devem ser verificadas pelo servidor. Consulte o Configurando o Servidor para Verificação de Pedido de Assinatura Digital: Verificando as Partes da Mensagem. As partes das mensagens especificadas para o emissor do pedido do cliente correspondem às partes das mensagens para o receptor do pedido do servidor. Da mesma maneira, o método de assinatura digital escolhido para o cliente deve corresponder ao método de assinatura digital utilizado pelo servidor.

Sobre Esta Tarefa

Conclua as seguintes etapas para configurar o servidor para a verificação da assinatura digital de pedido. As etapas descrevem como modificar as extensões para indicar qual método de assinatura digital o servidor utilizará durante a verificação.

Procedimento

  1. Ative uma ferramenta de montagem. Para obter mais informações, consulte as informações relacionadas em Ferramentas de Montagem.
  2. Alterne para a perspectiva Java™ EE (Java Platform, Enterprise Edition). Clique em Janela > Abrir Perspectiva > Outro > J2EE.
  3. Clique em Projetos EJB > application_name > ejbModule > META-INF.
  4. Clique com o botão direito do mouse no arquivo webservices.xml e clique em Abrir com > Editor de Serviços da Web.
  5. Clique na guia Configurações de Ligação.
  6. Expanda a seção Detalhes de Configuração de Ligação do Receptor de Pedidos de Segurança > Informações sobre Assinatura.
  7. Clique em Editar para editar as informações sobre assinatura. O diálogo de informações de assinatura é exibido, selecione ou digite as seguintes informações:
    • Algoritmo do Método de Canonicalização
    • Algoritmo do Método de Compilação
    • Algoritmo do Método de Assinatura
    • Utilizar Referência de Caminho do Certificado
    • Referência da Âncora de Referência
    • Referência de Armazenamento de Certificados
    • Confiar em Todos os Certificados
    Para obter informações conceituais adicionais sobre as mensagens do SOAP assinadas digitalmente, consulte a assinatura digital XML. A tabela a seguir descreve a finalidade de cada uma dessas seleções. Algumas das seguintes definições são baseadas na Especificação de Assinatura XML, que está localizada no seguinte endereço da Web http://www.w3.org/TR/xmldsig-core.
    Tabela 1. Métodos de Assinatura Digital. O método de assinatura digital faz parte da configuração de ligação.
    Nome Finalidade
    Algoritmo do Método de Canonicalização Canonicaliza o elemento <SignedInfo> antes de ser compilado como parte da operação de assinatura. O algoritmo selecionado para a configuração do receptor de pedidos do servidor deve corresponder ao algoritmo selecionado na configuração do emissor de pedidos do cliente.
    Algoritmo do Método de Sumário Aplica-se aos dados depois das transformações serem aplicadas, se especificado, para liberar o elemento <DigestValue>. A assinatura do elemento <DigestValue> liga o conteúdo do recurso à chave do assinante. O algoritmo selecionado para a configuração do receptor de pedidos do servidor deve corresponder ao algoritmo selecionado na configuração do emissor de pedidos do cliente.
    Algoritmo do Método de Assinatura Converte o elemento canonicalizado <SignedInfo> no elemento <SignatureValue>. O algoritmo selecionado para a configuração do receptor de pedidos do servidor deve corresponder ao algoritmo selecionado na configuração do emissor de pedidos do cliente.
    Utilizar Referência de Caminho do Certificado ou Confiar em Todos os Certificados Valida um certificado ou assinatura enviado com uma mensagem. Ao assinar uma mensagem, a chave pública utilizada para assiná-la é enviada com a mensagem. A chave pública ou o certificado podem não ser validados no final da recepção. Selecionando Referência de Caminho do Certificado do Usuário, você deve configurar uma referência de âncora de confiança e referência de armazenamento de certificados para validar o certificado enviado com a mensagem. Selecionando Confiar em Todos os Certificados, a assinatura é validada pelo certificado enviado com a mensagem, sem haver a validação do certificado.
    Utilizar Referência de Caminho do Certificado: Referência da Âncora de Confiança Refere-se a um armazenamento de chaves que contém certificados confiáveis auto-assinados e certificados de CA (autoridade de certificação). Esses certificados são certificados confiáveis que podem ser utilizados com qualquer aplicativo em sua implementação.
    Utilizar Referência de Caminho do Certificado: Referência de Armazenamento de Certificados Contém uma coleta de certificados X.509. Esses certificados não são confiáveis para todos os aplicativos na implementação, mas podem ser utilizados como intermediários para validar certificados para um aplicativo.
  8. Opcional: Selecione Mostrar apenas Algoritmos em Conformidade com o FIPS se você desejar que apenas algoritmos em conformidade com o FIPS sejam mostrados nas listas drop-down Algoritmo do Método de Assinatura e Algoritmo do Método de Compilação. Utilize esta opção se você espera que este aplicativo seja executado em um WebSphere Application Server que tenha configurado a opção Utilizar Algoritmos FIPS (Federal Information Processing Standard) dos Estados Unidos no painel Certificado SSL e Gerenciamento de Chaves do console administrativo.

Resultados

Importante: Se você configurar as informações de assinatura do cliente e do servidor corretamente, mas receber um erro Corpo do Soap não Assinado ao executar o cliente, talvez seja necessário configurar o agente. É possível configurar o agente nos seguintes locais no cliente:
  • Clique em Extensões de Segurança > Detalhes de Configuração do Serviço do Cliente e indique as informações sobre o agente no campo URI do Agente.
  • Clique em Extensões de Segurança > Configuração do Emissor de Pedido > Detalhes e indique as informações sobre o agente no campo Agente.
Você deve configurar as mesmas sequências de agentes para o serviço da Web no servidor, que processa o pedido e envia a resposta de volta. Configure o agente nos seguinte locais:
  • Clique em Extensões de Segurança > Configuração do Serviço do Servidor.
  • Clique em Extensões de Segurança > Detalhes de Configuração do Serviço do Emissor de Respostas > Detalhes e indique as informações sobre o agente no campo Agente.

As informações atuantes no cliente e no servidor devem referir-se exatamente à mesma cadeia. Quando os campos do ator no cliente e no servidor são correspondentes, o pedido ou a resposta são levados à ação, em vez de levados ao recebimento de dados. Os campos agente podem ser diferentes quando você tem serviços da Web atuando como um gateway para outros serviços da Web. No entanto, em outros casos, certifique-se de que as informações atuantes são correspondentes no cliente e no servidor. Quando os serviços da Web estão atuando como um gateway e não possuem o mesmo agente configurado como o pedido que passa pelo gateway, os serviços da Web não processa a mensagem de um cliente. Em vez disso, esses serviço da Web enviam o recebimento de dados do pedido. O processo downstream que contém a cadeia de agente principal correta processa o pedido. A mesma situação ocorre para a resposta. Portanto, é importante que você verifique se os campos atuantes do cliente e do servidor estão sincronizados.

Você especificou o método que o servidor utiliza para verificar a assinatura digital nas partes da mensagem.

O que Fazer Depois

Após configurar o cliente para a assinatura de pedidos e o servidor para a verificação da assinatura digital dos pedidos, você deve configurar o servidor e o cliente para tratar a resposta. Em seguida, especifique a assinatura das respostas para o servidor. Consulte o Configuring the server for response signing: digitally signing message parts para obter informações adicionais.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
Nome do arquivo: twbs_confsvrreqdigsignmeth.html