Configurando o Cliente para a Verificação de Assinatura Digital da Resposta: Escolhendo o Método de Verificação

É possível configurar as extensões de Segurança de serviços da Web e as ligações de Segurança de Serviços da Web utilizando a guia Extensões WS e a guia Ligações WS no editor de serviço da Web com uma ferramenta do conjunto.

Antes de Iniciar

Importante: Há uma distinção importante entre a Versão 5.x e a Versão 6 e aplicativos posteriores. As informações suportam somente aplicativos Versão 5.x que são usados com o WebSphere Application Server Versão 6.0.x e posterior. As informações não se aplicam a aplicativos da Versão 6.0.x e posterior.
Antes de concluir essas etapas, leia os seguintes tópicos para tornar-se familiar com a guia Extensão WS e a guia Ligação WS no editor de serviço da Web com as ferramentas do conjunto IBM®: É possível usar essas duas guias para configurar as extensões de Segurança dos serviços da Web e as ligações de Segurança dos serviços da Web, respectivamente. Além disso, você deve especificar quais partes da mensagem contêm as informações da assinatura digital que devem ser verificadas pelo cliente. Consulte Configurando o Cliente para a Verificação de Assinatura Digital da Resposta: Verificando as Partes da Mensagem para especificar quais partes da mensagem são assinadas digitalmente pelo servidor e devem ser verificadas pelo cliente. As partes das mensagens especificadas para o emissor de resposta do servidor correspondem às partes das mensagens para o receptor de resposta do cliente. Da mesma maneira, o método de assinatura digital escolhido para o servidor deve corresponder ao método de assinatura digital utilizado pelo cliente.

Sobre Esta Tarefa

Conclua as seguintes etapas para configurar o cliente para a verificação da assinatura digital de resposta. As etapas descrevem como modificar as extensões para indicar qual método de assinatura digital o cliente utilizará durante a verificação.

Procedimento

  1. Ative uma ferramenta de montagem. Para obter mais informações, consulte as informações relacionadas em Ferramentas de Montagem.
  2. Alterne para a perspectiva Java™ EE (Java Platform, Enterprise Edition). Clique em Janela > Abrir Perspectiva > Outro > J2EE.
  3. Clique em Projetos do Application Client > application_name > appClientModule > META-INF.
  4. Clique com o botão direito do mouse no arquivo application-client.xml, selecione Abrir com > Deployment Descriptor Editor.
  5. Clique na guia Ligação WS.
  6. Expanda a seção Configuração de Ligação do Receptor de Resposta de Segurança > Informações sobre Assinatura.
  7. Clique em Editar para escolher o método de assinatura digital. O diálogo de informações da assinatura exibe e seleciona ou inseri as seguintes informações:
    • Algoritmo do Método de Canonicalização
    • Algoritmo do Método de Sumário
    • Algoritmo do Método de Assinatura
    • Nome da Chave de Assinatura
    • Localizador de Chaves de Assinatura
    Para obter informações conceituais adicionais sobre as mensagens do SOAP assinadas digitalmente, consulte a assinatura digital XML. A tabela a seguir descreve a finalidade de cada uma dessas seleções. Algumas das definições a seguir são baseadas na especificação de Assinatura XML, localizada no seguinte endereço: http://www.w3.org/TR/xmldsig-core.
    Tabela 1. Métodos de Assinatura Digital. Utilize os métodos para configurar o cliente para verificação de assinatura digital de resposta.
    Nome Finalidade
    Algoritmo do Método de Canonicalização O algoritmo do método de canonicalização é utilizado para canonicalizar o elemento <SignedInfo> antes que ele seja compilado como parte da operação de assinatura.
    Algoritmo do Método de Sumário O algoritmo do método de compilação é o algoritmo aplicado aos dados depois que as transformações são aplicadas, se especificado, para resultar no <DigestValue>. A assinatura do <DigestValue> liga o conteúdo do recurso à chave do assinante. O algoritmo selecionado para a configuração do receptor de respostas do cliente deve corresponder ao algoritmo selecionado na configuração do emissor de respostas do servidor.
    Algoritmo do Método de Assinatura O método de assinatura é o algoritmo utilizado para converter o elemento <SignedInfo> canonicalizado no elemento <SignatureValue>. O algoritmo selecionado para a configuração do receptor de respostas do cliente deve corresponder ao algoritmo selecionado na configuração do emissor de respostas do servidor.
    Utilizar Referência de Caminho do Certificado ou Confiar em Todos os Certificados Ao assinar uma mensagem, a chave pública utilizada para assiná-la é transmitida com a mensagem. Para validar essa chave pública no recebimento, configure uma referência de caminho do certificado. Selecionando Referência de Caminho do Certificado do Usuário, você deve configurar uma referência de âncora de confiança e referência de armazenamento de certificados para validar o certificado enviado com a mensagem. Selecionando Confiar em Todos os Certificados, a assinatura é validada pelo certificado enviado com a mensagem, sem haver a validação do certificado.
    Utilizar Referência de Caminho do Certificado: Referência da Âncora de Confiança Uma âncora de confiança é uma configuração que refere-se a um armazenamento de chaves que contém certificados confiáveis, auto-assinados e certificados de CA (Autoridade de Certificação). Esses certificados são certificados confiáveis que podem ser utilizados com qualquer aplicativo em sua implementação.
    Utilizar Referência de Caminho do Certificado: Referência de Armazenamento de Certificados Um armazenamento de certificados é uma configuração que possui uma coleta de certificados X.509. Esses certificados não são confiáveis para todos os aplicativos na implementação, mas podem ser utilizados como intermediários para validar certificados para um aplicativo.
  8. Opcional: Selecione Mostrar apenas Algoritmos em Conformidade com o FIPS se você desejar que apenas algoritmos em conformidade com o FIPS sejam mostrados nas listas drop-down Algoritmo do Método de Assinatura e Algoritmo do Método de Compilação. Utilize esta opção se você espera que este aplicativo seja executado em um WebSphere Application Server que configurou a opção Utilizar os algoritmos FIPS (Federal Information Processing Standard) dos Estados Unidos no painel Certificado SSL e Gerenciamento de Chaves do console administrativo do WebSphere Application Server.

Resultados

Importante: Se você configurar as informações de assinatura do cliente e do servidor corretamente, mas receber um erro Corpo do Soap não Assinado ao executar o cliente, talvez seja necessário configurar o agente. É possível configurar o agente nos seguintes locais no cliente no editor de cliente de serviços da Web com uma ferramenta do conjunto:
  • Clique em Extensões de Segurança > Detalhes de Configuração do Serviço do Cliente e indique as informações sobre o agente no campo URI do Agente.
  • Clique em Extensões de Segurança > Configuração do Emissor de Pedido > Detalhes e indique as informações sobre o agente no campo Agente.
Você deve configurar as mesmas sequências de agentes para o serviço da Web no servidor, que processa o pedido e envia a resposta de volta. Configure o agente nos seguintes locais no editor de serviços da Web com uma ferramenta do conjunto:
  • Clique em Extensões de Segurança > Configuração do Serviço do Servidor.
  • Clique em Extensões de Segurança > Detalhes de Configuração do Serviço do Emissor de Respostas > Detalhes e indique as informações sobre o agente no campo Agente.

As informações atuantes no cliente e no servidor devem referir-se exatamente à mesma cadeia. Quando os campos do ator no cliente e no servidor são correspondentes, o pedido ou a resposta são levados à ação, em vez de levados ao recebimento de dados. Os campos do agente podem ser diferentes quando você tem serviços da Web atuando como um gateway para outros serviços da Web. No entanto, em outros casos, certifique-se de que as informações atuantes são correspondentes no cliente e no servidor. Quando os serviços da Web estão atuando como um gateway e não possuem o mesmo agente configurado como o pedido que passa pelo gateway, os serviços da Web não processa a mensagem de um cliente. Em vez disso, esses serviço da Web enviam o recebimento de dados do pedido. O processo de recebimento de dados que contém a cadeia de agente principal correta processa o pedido. A mesma situação ocorre para a resposta. Portanto, é importante que você verifique se os campos atuantes do cliente e do servidor estão sincronizados.

Você especificou qual método é utilizado pelo cliente para verificar a assinatura digital nas partes das mensagens.

O que Fazer Depois

Após configurar o servidor para a assinatura de respostas e o cliente para a verificação da assinatura digital dos pedidos, verifique se o cliente e o servidor foram configurados para tratar do pedido de mensagem.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmeth
Nome do arquivo: twbs_confclrespdigsignmeth.html