Configurando Geradores de Token Utilizando o JAX-RPC para Proteger a Autenticidade de Mensagens no Nível de Servidor ou de Célula
O gerador de token no nível do servidor ou da célula é utilizado para especificar as informações para o gerador de token, se estas ligações não estiverem definidas no nível do aplicativo. As informações sobre assinatura e as informações sobre criptografia podem compartilhar as informações do gerador de token, motivo pelo qual estão definidas no mesmo nível.
Antes de Iniciar
É necessário entender que as informações de keystore/alias fornecidas para o gerador e as informações de keystore/alias fornecidas para o consumidor são usadas para propósitos diferentes. A diferença principal se aplica ao Alias para um manipulador de retorno de chamada X.509.
Quando usado em associação com um gerador de criptografia, o alias fornecido para o gerador é usado para recuperar a chave pública para criptografar a mensagem. Uma senha não é necessária. O alias inserido em um manipulador de retorno de chamada associado a um gerador de criptografia deve estar acessível sem uma senha. Isso significa que o alias não deve ter informações de chave privada associadas a ele no keystore. Quando usado em associação com um gerador de assinatura, o alias fornecido para o gerador é usado para recuperar a chave privada para assinar a mensagem. Uma senha é necessária.
Sobre Esta Tarefa
O WebSphere Application Server fornece valores padrão para ligações. É necessário modificar os padrões para um ambiente de produção.
É possível configurar o gerador de token no nível do servidor e no nível da célula. Nas etapas a seguir, utilize a primeira etapa para acessar as ligações padrão de nível do servidor e utilize a segunda etapa para acessar as ligações no nível de célula.
Procedimento
- Acesse as ligações padrão para o nível do servidor.
- Clique em Servidores > Tipos de Servidor > Servidores de Aplicativos do WebSphere > server_name.
- Em Segurança, clique em Tempo de Execução de Segurança do JAX-WS e JAX-RPC.
Ambiente de Versões Mistas: Em uma célula de nó combinada com um servidor usando o Websphere Application Server versão 6.1 ou anterior, clique em Serviços da Web: Ligações padrão para Segurança de Serviços da Web.mixv
- Clique em Segurança > Serviços da Web para acessar as ligações padrão no nível de célula.
- Em Ligações do Gerador Padrão, clique em Geradores de Tokens.
- Clique em Novo para criar uma configuração de gerador de token, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de gerador de token existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a configuração do gerador de token no campo Nome do Gerador de Token. Por exemplo, é possível especificar sig_tgen. Este campo especifica o nome do elemento do gerador de token.
- Especifique um nome de classe no campo Nome da Classe do Gerador de Token. A implementação do Módulo de Login do JAAS (Java™ Authentication and Authorization Service)
é utilizada para criar o token de segurança no lado do gerador. Restrição: A interface com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent não é usada com serviços da Web JAX-WS. Se você estiver utilizando os serviços da Web JAX-RPC, essa interface ainda é válida.
O nome da classe do gerador de token deve ser semelhante ao nome da classe do consumidor de token. Por exemplo, se seu aplicativo precisar de um consumidor de token de certificado X.509, você poderá especificar o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenConsumer no painel Consumidor de Token e o nome da classe com.ibm.wsspi.wssecurity.token.X509TokenGenerator neste campo. O WebSphere Application Server fornece as seguintes implementações de classe de gerador do token padrão:
- com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
- Esta implementação gera um token do nome do usuário.
- com.ibm.wsspi.wssecurity.token.X509TokenGenerator
- Esta implementação gera um token de certificado X.509.
- com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
- Esta implementação gera um token LTPA (Lightweight Third Party Authentication).
- Selecione uma opção de caminho de certificado. O caminho do
certificado especifica a CRL (Certificate Revocation List) utilizada para gerar
um token de segurança que está agrupado em um PKCS#7 com uma CRL. O WebSphere Application Server fornece as
seguintes opções de caminho do certificado:
- Nenhuma
- Selecione esta opção caso a CRL não seja utilizada para gerar um token de segurança. É necessário selecionar esta opção quando o gerador de token não utiliza o tipo de token PKCS#7.
- Informações sobre Assinatura Dedicada
- Se a CRL estiver agrupada em um token de segurança, selecione
Informações de Assinatura Dedicada e selecione um nome de armazenamento de certificados de coleção no campo Armazenamento de Certificados.
O
campo Armazenamento de Certificados mostra os nomes dos armazenamentos de
certificado de coleção já definidos.
Para definir um armazenamento de certificados de coleta no nível de célula, consulte Configurando o Certificado de Coleta no Servidor ou Nível de Célula.
- Selecione a opção Incluir Nonce para incluir um nonce no token do nome do usuário para o gerador de token. Nonce é um número criptográfico exclusivo incorporado em uma mensagem para ajudar a interromper repetidos ataques não autorizados de tokens do nome do usuário. A opção Incluir Nonce estará disponível se você especificar um token do nome do usuário para o gerador de token.
- Selecione a opção Incluir Time Stamp para incluir um time stamp no token do nome do usuário para o gerador de token.
- Especifique um nome local de tipo de valor no campo Nome Local. Esta entrada especifica o nome local do tipo de valor para um token de segurança
referido pelo identificador de chave. Este atributo é válido quando o Identificador
de Chave é selecionado como o Tipo de Informações Chave. Para especificar o Tipo de informações chave, consulte Configurando as Informações Chave para a Ligação do Gerador Utilizando o JAX-RPC no Nível de Servidor ou de Célula. O WebSphere Application
Server fornece as seguintes configurações predefinidas do token do certificado X.509:
- Token de Certificado X.509
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- Certificados X.509 em um PKIPath
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- Uma lista de certificados X.509 e CRLs em um PKCS#7
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- Para LTPA, o nome local de tipo de valor é LTPA. Se você digitar LTPA para o nome local, também deve especificar o valor da URI (Uniform Resource Identifier) http://www.ibm.com/websphere/appserver/tokentype/5.0.2 no campo URI de Tipo de Valor.
- LTPA versão 2
- Para LTPA versão 2, o nome local do tipo de valor é LTPAv2. Se você digitar LTPAv2 para o nome local, também deverá especificar o valor de URI (uniform resource identifier) http://www.ibm.com/websphere/appserver/tokentype no campo URI do Tipo de Valor.
- LTPA_PROPAGATION
- Para propagação do token LTPA, o nome do local do tipo de valor é LTPA_PROPAGATION. Se você digitar LTPA_PROPAGATION para o nome local, também deve especificar o valor da URI http://www.ibm.com/websphere/appserver/tokentype no campo URI de Tipo de Valor.
- Especifique a URI do tipo de valor no campo URI. Esta entrada especifica o URI de espaço de nomes do tipo de valor para um token de segurança referido pelo identificador de chave. Este atributo será válido quando o Identificador de Chave for selecionado como o Tipo de informações chave no painel Informações Chave para o gerador padrão. Quando o token de certificado X.509 for especificado, não será necessário especificar o URI de namespace. Se outro token for especificado, será necessário especificar o URI de namespace do tipo de valor.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
- Clique no nome da sua configuração do gerador de token.
- Em Propriedades Adicionais, clique em Rotina de Tratamento de Retorno de Chamada para configurar as propriedades da rotina de tratamento de retorno de chamada. O manipulador de retorno de chamada especifica como adquirir o token de segurança que é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP. A aquisição do token é uma estrutura que pode ser conectada e que aumenta a interface do Java Authentication and Authorization Service
(JAAS) javax.security.auth.callback.CallbackHandler para aquisição do token de segurança.
- Especifique uma implementação de classe do manipulador de retorno
de chamada no campo Nome de Classe do Manipulador de Retorno de Chamada. Este
atributo especifica o nome da Implementação da classe do manipulador de
retorno de chamada utilizado para conectar uma estrutura do token de segurança. A classe do manipulador de retorno de chamada especificado deve implementar a classe javax.security.auth.callback.CallbackHandler. O WebSphere Application
Server fornece as seguintes implementações de manipulador de retorno de chamada padrão:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- Esta rotina de tratamento de retorno de chamada utiliza um prompt de login para reunir informações sobre nome do usuário e senha. No entanto, se você especificar o nome de usuário e a senha nesse painel, um prompt não será exibido e o WebSphere Application Server retornará o nome de usuário e a senha para o gerador de token. Utilize esta implementação apenas para um aplicativo cliente Java EE (Java Platform, Enterprise Edition).
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- Esta rotina de tratamento de retorno de chamada não emite um prompt e retorna o nome do usuário e senha se estiverem especificados na seção de autenticação básica deste painel. É possível usar esse manipulador de retorno de chamada quando o serviço da Web está agindo como um cliente.
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Esta rotina de tratamento de retorno de chamada utiliza um prompt padrão para reunir o nome do usuário e a senha. No entanto, se o nome de usuário e a senha forem especificados na seção de autenticação básica desse painel, o WebSphere Application Server não emitirá um aviso, mas retornará o nome de usuário e a senha para o gerador de token. Utilize esta implementação apenas para um aplicativo cliente Java EE (Java Platform, Enterprise Edition).
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- Esta rotina de tratamento de retorno de chamada é utilizada para obter o token de segurança LTPA (Lightweight Third Party Authentication) do Subject da chamada Executar Como. Esse token é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP como um token de segurança binário. Entretanto, se o nome de usuário e a senha forem especificados na seção de autenticação básica desse painel, o WebSphere Application Server autenticará o nome de usuário e a senha para obter o token de segurança LTPA. Ele obtém o token de segurança desta forma, em vez de obtê-lo do assunto de Executar Como. Utilize este manipulador de retorno de chamada apenas quando o serviço da Web estiver agindo como um cliente no servidor de aplicativos. É recomendável não usar este manipulador de retorno de chamada em um aplicativo cliente Java EE.
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- Esse manipulador de retorno de chamada é usado para criar o certificado X.509 que é inserido no cabeçalho da Segurança de Serviços da Web na mensagem SOAP como um token de segurança binário. São requeridos um arquivo de armazenamento de chave e uma definição de chave para esta rotina de tratamento de retorno de chamada.
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- Esta rotina de tratamento de retorno de chamada é utilizada para criar certificados X.509 que estão codificados com o formato PKCS#7. O certificado é inserido no cabeçalho do Web Services Security na mensagem SOAP como um token de segurança binário. É requerido um arquivo de armazenamento de chave para este manipulador de retorno de chamada. Você deve especificar uma CRL (Certificate Revocation List) na coleção de armazenamento de certificados. A CRL é codificada com o certificado X.509 no formato PKCS#7. Para obter mais informações sobre como configurar o armazenamento de certificados de coleção, consulte Configurando o Certificado de Coleta no Servidor ou Nível de Célula.
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- Esta rotina de tratamento de retorno de chamada é utilizada para criar certificados X.509 que estão codificados com o formato PkiPath. O certificado é inserido no cabeçalho do Web Services Security na mensagem SOAP como um token de segurança binário. É requerido um arquivo de armazenamento de chave para este manipulador de retorno de chamada. Uma CRL não é suportada pelo manipulador de retorno de chamada; portanto, o armazenamento de certificados de coleção não é requerido nem utilizado.
Para um token de certificado X.509, é possível especificar a implementação com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler.
- Opcional: Selecione a opção Utilizar Asserção de Identidade. Selecione esta opção se tiver a asserção de identidade definida no descritor de implementação estendida da IBM®. Essa opção indica que apenas a identidade do emissor inicial é necessária e inserida no cabeçalho de Segurança de Serviços da Web na mensagem SOAP. Por exemplo, o WebSphere Application Server envia apenas o nome de usuário do responsável pela chamada original para um gerador de token do nome de usuário. Para um gerador de token X.509, o servidor de aplicativos envia apenas o certificado de signatário original.
- Opcional: Selecione a opção Utilizar Identidade Executar Como. Selecione esta opção se as seguintes condições forem aplicáveis:
- Você possui a asserção de identidade definida no descritor de implementação estendida da IBM.
- Você deseja usar a identidade Executar Como em vez da identidade do responsável pela chamada inicial para asserção de identidade para uma chamada de recebimento de dados.
- Opcional: Especifique um ID do usuário e uma senha de autenticação
básica nos campos ID do Usuário e Senha. Esta entrada especifica
o nome do usuário e a senha transmitidos para os construtores da implementação
da rotina de tratamento de retorno de chamada. O ID do usuário e senha de autenticação básica
são utilizados se você especificar uma das seguintes implementações de manipulador de retorno de chamada padrão fornecidas pelo WebSphere Application Server:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- Opcional: Especifique uma senha e um caminho do armazenamento de chave. O armazenamento de chave e suas informações relacionadas são necessários quando a chave
ou o certificado é utilizado para gerar um token. Por exemplo, as informações do armazenamento de chaves
são necessárias se você selecionar uma das seguintes implementações de manipulador de retorno de chamada padrão fornecidas pelo WebSphere Application Server:
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
Os arquivos de armazenamento de chave contêm chaves públicas e privadas, certificados de CA (Autoridade de Certificação) raiz, certificados de CA intermediários e outros. As chaves que são recuperadas do arquivo de armazenamento de chave são utilizadas para assinar e validar ou criptografar e decriptografar mensagens ou partes de mensagens. Para recuperar uma chave de um arquivo de armazenamento de chave, é necessário especificar a senha, o caminho e o tipo do armazenamento de chave.
- Especifique uma implementação de classe do manipulador de retorno
de chamada no campo Nome de Classe do Manipulador de Retorno de Chamada. Este
atributo especifica o nome da Implementação da classe do manipulador de
retorno de chamada utilizado para conectar uma estrutura do token de segurança. A classe do manipulador de retorno de chamada especificado deve implementar a classe javax.security.auth.callback.CallbackHandler. O WebSphere Application
Server fornece as seguintes implementações de manipulador de retorno de chamada padrão:
- Selecione um tipo de armazenamento de chaves no campo Tipo. O WebSphere Application
Server fornece as seguintes opções:
- JKS
- Utilize esta opção se você não estiver utilizando o JCE (Java Cryptography Extensions) e se o arquivo de armazenamento de chaves usar o formato JKS (Java Keystore).
- JCEKS
- Utilize esta opção se você estiver utilizando o Java Cryptography Extensions.
JCERACFKS
Utilize JCERACFKS se os certificados estiverem armazenados em um anel de chaves SAF (apenas z/OS).
- PKCS11KS (PKCS11)
- Utilize este formato se o seu arquivo de armazenamento de chave utilizar o formato de arquivo PKCS#11. Os arquivos de armazenamento de chaves que utilizam este formato podem conter chaves RSA em hardware criptográfico ou podem criptografar as chaves que utilizam o hardware criptográfico para garantir proteção.
- PKCS12KS (PKCS12)
- Utilize esta opção se seu arquivo de armazenamento de chave utilizar o formato de arquivo PKCS#12.
- Clique em OK e, em seguida, em Salvar para salvar a configuração.
- Clique no nome da sua configuração do gerador de token.
- Em Propriedades Adicionais, clique em Manipulador de Retorno de Chamada > Chaves.
- Clique em Novo para criar uma configuração de chave, clique em Excluir para excluir uma configuração existente ou clique no nome de uma configuração de chave existente para editar suas definições. Se estiver criando uma nova configuração, digite um nome exclusivo para a configuração de chave no campo Nome da Chave. Este nome refere-se ao nome do objeto chave armazenado no arquivo de armazenamento de chave.
- Especifique um alias para o objeto de chave no campo Alias de Chave. Utilize o alias quando o localizador de chave pesquisar os objetos de chave no armazenamento de chaves.
- Especifique a senha associada à chave no campo Senha de Chave.
- Clique em OK e Salvar para salvar a configuração.
Resultados
Você configurou os geradores de tokens no nível de servidor ou de célula.
O que Fazer Depois
Subtópicos
Coleta de Geradores de Tokens
Utilize esta página para visualizar os geradores de tokens. As informações são utilizadas somente do lado do gerador para gerar o token de segurança.Definições de Configuração do Gerador de Tokens
Utilize esta página para especificar as informações para o gerador de token. As informações são utilizadas somente do lado do gerador para gerar o token de segurança.Coleta de URIs de Algoritmos
Utilize esta página para visualizar uma lista de algoritmos de URI (Uniform Resource Identifier) para assinatura digital XML ou criptografia XML que são mapeados para uma classe de mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmo, os fornecedores de serviço podem utilizar outros algoritmos criptográficos para cálculo do valor de compilação, assinatura e verificação de assinatura digital, criptografia e decriptografia de dados e criptografia e decriptografia de chaves.Definições de Configuração de URI de Algoritmo
Utilize esta página para especificar o URI (Identificador Uniforme de Recursos) do algoritmo e seu tipo de uso.Coleção de Mapeamento de Algoritmos
É possível visualizar uma lista de algoritmos de URI (Identificador Uniforme de Recursos) customizados para cálculo de valor de compilação, assinatura, criptografia de chaves e criptografia de dados. O servidor de aplicativos mapeia esses algoritmos para uma implementação da interface do mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmos, os fornecedores de serviços podem estender os algoritmos criptográficos para assinatura digital XML e criptografia XML.Definições de Configuração do Mapeamento de Algoritmo
Utilize esta página para visualizar uma lista de algoritmos de URI (Uniform Resource Identifier) personalizados para cálculo de valor de compilação, assinatura, criptografia de chaves e criptografia de dados. O servidor de aplicativos mapeia esses algoritmos para uma implementação da interface do mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmos, os fornecedores de serviços podem estender os algoritmos criptográficos para assinatura digital XML e criptografia XML.Ligações Padrão e Propriedades de Tempo de Execução de Segurança
Use esta página para especificar a configuração no nível de célula no ambiente do WebSphere Application Server, Network Deployment. Além disso, utilize esta página para definir as ligações do gerador padrão, as ligações do consumidor padrão e propriedades adicionais, tais como, localizadores de chaves, a coleção de armazenamento de certificados, âncoras de confiança, avaliadores de ID confiáveis, mapeamentos de algoritmo e mapeamentos de login.Coleta de Geradores de Tokens
Utilize esta página para visualizar os geradores de tokens. As informações são utilizadas somente do lado do gerador para gerar o token de segurança.Definições de Configuração do Gerador de Tokens
Utilize esta página para especificar as informações para o gerador de token. As informações são utilizadas somente do lado do gerador para gerar o token de segurança.Coleta de URIs de Algoritmos
Utilize esta página para visualizar uma lista de algoritmos de URI (Uniform Resource Identifier) para assinatura digital XML ou criptografia XML que são mapeados para uma classe de mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmo, os fornecedores de serviço podem utilizar outros algoritmos criptográficos para cálculo do valor de compilação, assinatura e verificação de assinatura digital, criptografia e decriptografia de dados e criptografia e decriptografia de chaves.Definições de Configuração de URI de Algoritmo
Utilize esta página para especificar o URI (Identificador Uniforme de Recursos) do algoritmo e seu tipo de uso.Coleção de Mapeamento de Algoritmos
É possível visualizar uma lista de algoritmos de URI (Identificador Uniforme de Recursos) customizados para cálculo de valor de compilação, assinatura, criptografia de chaves e criptografia de dados. O servidor de aplicativos mapeia esses algoritmos para uma implementação da interface do mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmos, os fornecedores de serviços podem estender os algoritmos criptográficos para assinatura digital XML e criptografia XML.Definições de Configuração do Mapeamento de Algoritmo
Utilize esta página para visualizar uma lista de algoritmos de URI (Uniform Resource Identifier) personalizados para cálculo de valor de compilação, assinatura, criptografia de chaves e criptografia de dados. O servidor de aplicativos mapeia esses algoritmos para uma implementação da interface do mecanismo do depósito de informações do provedor do algoritmo. Com mapeamentos de algoritmos, os fornecedores de serviços podem estender os algoritmos criptográficos para assinatura digital XML e criptografia XML.Ligações Padrão e Propriedades de Tempo de Execução de Segurança
Use esta página para especificar a configuração no nível de célula no ambiente do WebSphere Application Server, Network Deployment. Além disso, utilize esta página para definir as ligações do gerador padrão, as ligações do consumidor padrão e propriedades adicionais, tais como, localizadores de chaves, a coleção de armazenamento de certificados, âncoras de confiança, avaliadores de ID confiáveis, mapeamentos de algoritmo e mapeamentos de login.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
Nome do arquivo: twbs_configtokengensvrcell.html