Configurando as Informações sobre Assinatura Utilizando JAX-RPC para Ligação do Gerador no Nível do Aplicativo

É possível configurar as informações sobre assinatura para ligações do gerador de pedido do lado do cliente e do gerador de resposta do lado do servidor no nível do aplicativo.

Antes de Iniciar

Nota: Para o WebSphere Application Server versão 6.x ou anterior apenas, no arquivo de extensões do lado do servidor (ibm-webservices-ext.xmi) e o arquivo de extensões do descritor de implementação do lado do cliente (ibm-webservicesclient-ext.xmi), você deve especificar quais partes da mensagem serão assinadas. Além disso, você deve configurar as informações chave referidas pelas referências de informações chave no painel de informações sobre assinatura no console administrativo.

Sobre Esta Tarefa

Esta tarefa explica as etapas necessárias para configurar as informações sobre assinatura para ligações do gerador de pedido do lado cliente e do gerador de resposta do lado do servidor no nível do aplicativo. O WebSphere Application Server utiliza as informações sobre assinatura para o gerador padrão para assinar partes da mensagem, como o corpo, o registro de data e hora e o token do nome do usuário. O Application Server fornece valores padrão para ligações. No entanto, um administrador deve modificar os padrões para um ambiente de produção. Conclua as seguintes etapas para configurar as informações sobre assinatura para as seções do gerador dos arquivos de ligação no nível do aplicativo:

Procedimento

  1. Localize o painel de configuração de informações sobre assinatura no console administrativo.
    1. Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > application_name.
    2. Em Gerenciar Módulos, clique em URI_name.
    3. Em Propriedades de Web Services Security, você pode acessar as informações sobre assinatura para as ligações do gerador de pedido e do gerador de resposta.
      • Para a ligação do gerador de pedidos (emissor), clique em Serviços da Web: Ligações de Segurança do Cliente. Em Ligação do Gerador de Pedidos (Emissor), clique em Editar Customização.
      • Para a ligação do gerador de respostas (emissor), clique em Serviços da Web: Ligações de Segurança do Servidor. Em Ligação do Gerador de Respostas (Emissor), clique em Editar Customização.
    4. Em Propriedades Requeridas, clique em Informações sobre Assinatura.
    5. Clique em Novo para criar uma configuração de informações sobre assinatura, selecione a caixa junto à configuração e clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de informações sobre assinatura existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome no campo Nome das Informações sobre Assinatura. Por exemplo, é possível especificar gen_signinfo.
  2. Selecione um algoritmo de método de assinatura no campo Método de Assinatura. O algoritmo especificado para o gerador, que é a configuração do gerador de pedido ou do gerador de resposta, deve corresponder ao algoritmo especificado para o consumidor, que é a configuração do consumidor de pedido ou do consumidor de resposta. O WebSphere Application Server suporta os seguintes algoritmos pré-configurados:
  3. Selecione um método de canonicalização no campo Método de Canonicalização. O algoritmo de canonicalização especificado para o gerador deve corresponder ao algoritmo para o consumidor. O WebSphere Application Server suporta os seguintes algoritmos pré-configurados:
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  4. Selecione um tipo de assinatura de informações chave no campo Tipo de Assinatura de Informações Chave. O WebSphere Application Server suporta os seguintes tipos de assinatura:
    Nenhuma
    Especifica que o elemento <KeyInfo> não é assinado.
    Keyinfo
    Especifica que o elemento <KeyInfo> inteiro é assinado.
    Keyinfochildelements
    Especifica que os elementos filhos do elemento <KeyInfo> são assinados.
    O tipo de assinatura de informações chave para o gerador deve corresponder ao tipo de assinatura para o consumidor. É possível encontrar as seguintes situações:
    • Se você não especificar um dos tipos de assinatura anteriores, o WebSphere Application Server utiliza keyinfo, por padrão.
    • Se você selecionar Keyinfo ou Keyinfochildelements e selecionar http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como algoritmo de conversão em uma etapa subsequente, o WebSphere Application Server também assina o token de referência.
  5. Selecione uma referência de informações chave sobre assinatura no campo Informações Chave sobre Assinatura. Esta seleção é uma referência à chave de assinatura que o Application Server utiliza para gerar assinaturas digitais.
  6. Clique em OK e Salvar para salvar a configuração.
  7. Clique no nome da nova configuração de informações sobre assinatura. Esta configuração é a especificada em uma etapa anterior.
  8. Especifique a referência de parte, o algoritmo de compilação e o algoritmo de transformação. A referência de parte especifica quais partes da mensagem serão assinadas digitalmente.
    1. Em Propriedades adicionais, clique em Referências de partes > Nova para caria uma nova referência de parte, clique em Referências de partes > Excluir para excluir uma referência de parte existente ou clique em um nome de parte para editar uma referência de parte existente.
    2. Especifique um nome de parte exclusivo para esta referência de parte. Por exemplo, é possível especificar reqint.
    3. Selecione uma referência de parte do campo Referência da Parte.

      A referência de parte faz referência à parte da mensagem que é digitalmente assinada. O atributo de parte refere-se ao nome do elemento <Integrity> no descritor de implementação quando o elemento <PartReference> é especificado para a assinatura. É possível especificar vários elementos <PartReference> no elemento <SigningInfo>. O elemento <PartReference> possui dois elementos filhos quando ele é especificado para a assinatura: <DigestTransform> e <Transform>.

    4. Selecione um algoritmo de método de compilação do menu. O algoritmo do método de compilação especificado no elemento <DigestMethod> é utilizado no elemento <SigningInfo>.
      O WebSphere Application Server suporta os seguintes algoritmos:
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    5. Clique em OK para salvar a configuração.
    6. Clique no nome de uma nova configuração de referência de parte. Esta configuração é a especificada em uma etapa anterior.
    7. Em Propriedades Adicionais, clique em Transformações > Novo para criar uma nova transformação, clique em Transformações > Excluir para excluir uma transformação ou clique em um nome de transformação para editar uma transformação existente. Se você criar uma nova configuração de transformação, especifique um nome exclusivo. Por exemplo, é possível especificar reqint_body_transform1.
    8. Selecione um algoritmo de transformação do menu. O algoritmo de transformação é o especificado no elemento <Transform> e especifica o algoritmo de transformação para a assinatura. O WebSphere Application Server suporta os seguintes algoritmos:
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        Restrição: Não utilize esse algoritmo de transformação se quiser que seu aplicativo configurado seja compatível com o BSP (Basic Security Profile). Em vez disso, utilize http://www.w3.org/2002/06/xmldsig-filter2 para assegurar conformidade.
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature
      O algoritmo de transformação selecionado para o gerador deve corresponder ao algoritmo de transformação selecionado para o consumidor.
      Importante: Se ambas as condições a seguir forem verdadeiras, o WebSphere Application Server assinará o token referenciado:
      • Você selecionou anteriormente a opção Keyinfo ou Keyinfochildelements do campo Tipo de Assinatura de Informações Chave no painel de informações sobre assinatura.
      • Selecione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform como o algoritmo de transformação.
  9. Clique em Aplicar.
  10. Opcional: Determine se deseja desativar a lista Prefixos de Namespace Inclusivos. A especificação Exclusive XML Canonicalization Versão 1.0 recomenda que você inclua todas as declarações de espaço de nomes que correspondem ao prefixo de espaço de nomes no formato de canonicalização. Por razões de segurança, o WebSphere Application Server, por padrão, inclui o prefixo na assinatura digital para a Segurança dos Serviços da Web. Porém, algumas implementações de Segurança de Serviços da Web não podem identificar essa lista de prefixos. O WebSphere Application Server pode identificar mensagens assinadas digitalmente que contenham ou não a lista de prefixos. Se você enfrentar uma falha de validação de assinatura quando uma mensagem Simple Object Access Protocol (SOAP) assinada for enviada e você estiver utilizando outro fornecedor em seu ambiente, verifique com o provedor de serviços a existência de uma possível correção da implementação antes de desativar essa propriedade. Para desativar essa propriedade, execute as seguintes etapas:
    1. Em Propriedades Adicionais, clique em Propriedades > Novo.
    2. No campo Nome da Propriedade, digite a propriedade com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces.
    3. No campo Valor da Propriedade, digite o valor false.
    4. Clique em OK.

    Você pode configurar essa propriedade para as configurações do gerador de pedidos e do gerador de respostas.

  11. Clique em Salvar para salvar a configuração.

Resultados

Ao concluir essas etapas, as informações sobre assinatura estarão configuradas para o gerador no nível do aplicativo.

O que Fazer Depois

É necessário especificar uma configuração de informações sobre assinatura semelhante para o consumidor.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
Nome do arquivo: twbs_configsigninfogenapp.html