Assinando e Criptografando Partes da Mensagem Usando Conjuntos de Políticas

Com serviços da Web, é possível assinar partes da mensagem, criptografar partes da mensagem, ou ambos, com base na qualidade de serviço definida para um conjunto de políticas. Você pode realizar essas ações definindo as informações de ligações em uma ligação de conexão customizada.

Antes de Iniciar

Antes de começar esta tarefa, conecte um conjunto de política a um artefato de serviço como um aplicativo, um serviço ou um terminal e crie uma ligação de conexão customizada. Leia sobre como criar ligações de conexões customizadas para conjuntos de política. O conjunto de política que é conectado ao artefato de serviço deve incluir uma política WS-Security que especifique partes da mensagem que serão assinadas ou criptografadas. Leia sobre como oferecer segurança às partes da mensagem usando o console administrativo.

Sobre Esta Tarefa

Para assinar ou criptografar partes da mensagem, ou ambos, com base no QoS definido para um conjunto de políticas, desempenhe as seguintes etapas:

Procedimento

  1. Abra o administrative console.
  2. Para assinar e criptografar as partes da mensagem para um provedor de serviço, clique em Aplicativos > Aplicativo Corporativo > application_name > Conjuntos e Ligações de Política do Provedor de Serviços. Para assinar e criptografar as partes da mensagem para um cliente de serviço, clique em Aplicativos > Aplicativos Corporativos > application_name > Conjuntos e Ligações de Política do Cliente de Serviços.
  3. Clique no link de nome da ligação do artefato de serviço com uma ligação de conexão customizada.
  4. Se a ligação não contiver as ligações do conjunto de política WS-Security, clique em Incluir e selecione WS-Security na lista.
  5. Clique nas ligações do conjunto de política WS-Security.
  6. Clique em Autenticação e Proteção. O painel resultante contém as seguintes quatro tabelas:
    • Tokens de proteção: Especifica os tokens que são definidos para as políticas de criptografia e assinatura simétricas ou assimétricas no conjunto de políticas.
    • Tokens de autenticação: Especifica os tokens que são definidos para as políticas do token de resposta e pedido.
    • Proteção de criptografia e assinatura de mensagem de pedido: Especifica as partes da mensagem que são definidas na proteção da parte da mensagem de pedido para o conjunto de políticas.
    • Proteção de criptografia e assinatura de mensagem de resposta: Especifica as partes da mensagem que são definidas na proteção da parte da mensagem de resposta para o conjunto de políticas.

    Inicialmente, cada tabela exibe informações que são geradas com base no conjunto de política que é conectado ao artefato de serviço. Os possíveis objetos de configuração baseados no conjunto de política são exibidos. A coluna Status indica se o objeto está atualmente configurado na ligação de conexão customizada.

  7. Se os tokens de proteção tiverem o status Não configurado, crie os tokens de proteção clicando no nome padrão, verificando os valores padrão. Clicar em OK.
  8. [Opcional] Se você usar os tokens de proteção X.509, deverá configurar os armazenamentos de chave e as chaves que serão usados para assinar, verificar, criptografar ou decriptografar partes da mensagem. Você também pode precisar configurar armazenamentos de chave e chaves ao usar tokens de proteção customizados, dependendo dos requisitos dos tokens customizados. Ao usar um token de contexto de segurança para proteção (conversa segura), você não precisa configurar armazenamentos de chave ou chaves. Se precisar configurar os armazenamentos de chave e as chaves, desempenhe as seguintes ações:
    1. Clique no link de nome do token.
    2. Clique no link Manipulador de Retorno de Chamada em Ligações Adicionais. Se o link Manipulador de Retorno de Chamada não puder ser clicado, clique em Aplicar, em seguida, clique no link Manipulador de Retorno de Chamada.
    3. Use um armazenamento de chave predefinido ou um armazenamento de chave customizado. Para usar um armazenamento de chave predefinido, selecione o armazenamento de chave na lista. Para usar um armazenamento de chave customizado, selecione Customizar na lista e clique no link Configuração do Armazenamento de Chave Customizado para especificar a configuração.
    4. Clicar em OK.
  9. Clique no nome da referência da parte da mensagem de resposta ou pedido a ser assinada ou criptografada. A coluna Proteção exibe se a parte da mensagem será assinada ou criptografada com base no conjunto de políticas.
  10. Especifique um nome para a parte da mensagem.
  11. Para partes criptografadas, selecione o tipo de criptografia de Uso das Referências de Informações de Chave. Para criptografia assimétrica, ou X.509, selecione Criptografia de Chave. Para criptografia simétrica, ou conversa segura, selecione Criptografia de Dados.
  12. [Opcional] Para partes criptografadas, selecione as opções Incluir Registro de Data e Hora ou Incluir Nonce para incluir um registro de data e hora ou nonce na parte da mensagem criptografada. É possível incluir uma ou ambas as opções na parte da mensagem criptografada.
  13. Para partes assinadas, especifique uma ou mais referências da parte da mensagem. Selecione uma referência da coluna Disponível e clique em Incluir.
  14. [Opcional] Para partes assinadas, você também pode optar por incluir um registro de data e hora ou nonce para a parte da mensagem assinada. Selecione uma referência da parte da mensagem na coluna Designada e clique em Editar. Selecione as opções Incluir Registro de Data e Hora ou Incluir Nonce para incluir um registro de data e hora ou nonce na parte da mensagem assinada. É possível incluir uma ou ambas as opções na parte da mensagem assinada.
  15. Se não houver entradas de informações de chave disponíveis, crie uma usando as seguintes ações:
    1. Clique em Novo.
    2. Especifique um nome.
    3. Selecione um token de proteção na lista de nomes do consumidor ou gerador de tokens.
    4. Clicar em OK.
  16. Selecione uma entrada das informações de chave na lista Disponível e clique em Incluir.
  17. [Opcional] Especifique propriedades customizadas se necessário.
    1. Para usar o MTOM (Message Transmission Optimization Mechanism) para o texto de cifra dos dados criptografados, inclua a propriedade customizada, com.ibm.wsspi.wssecurity.enc.MTOM.Optimize, com o valor true nas partes criptografadas de saída para pedidos do cliente ou respostas do servidor.
    2. Para usar os cabeçalhos de criptografia conforme descrito na especificação do WS-Security 1.0, e não no suporte do cabeçalho criptografado descrito no WS-Security 1.1, inclua a propriedade customizada, com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.0, com o valor true nas partes criptografadas de saída para pedidos do cliente e respostas do servidor.

      Para o comportamento do Web Services Security Versão 1.1 que é equivalente às versões anteriores do to WebSphere Application Servera versão 7.0, especifique a propriedade com.ibm.wsspi.wssecurity.encryptedHeader.generate.WSS1.1.pre.V7 com um valor de true no elemento<encryptionInfo> na ligação. Quando essa propriedade é especificada, o elemento <EncryptedHeader> inclui um parâmetro wsu:Id e o elemento <EncryptedData> omite o parâmetro Id. Essa propriedade só deverá ser utilizada se a conformidade com o Basic Security Profile 1.1 não for necessária.

  18. Clicar em OK.
  19. Clique em Salvar para salvar as alterações na configuração principal.

Resultados

Quando concluir esta tarefa, as partes da mensagem serão assinadas e criptografadas, ou ambos, com base na configuração usada ao se comunicar com o artefato de serviço.

Exemplo

Você possui um aplicativo, app1, com um conjunto de política conectado, padrão RAMP e uma ligação de conexão customizada, myBinding, e deseja assinar e criptografar partes da mensagem.
  1. Clique no aplicativo app1 na coleção de Aplicativos > Aplicativos Corporativos.
  2. Clique no link Conjuntos de Políticas do Provedor de Serviços e Ligações ou Conjuntos de Políticas do Cliente de Serviços e Ligações.
  3. Clique no link myBinding.
  4. [Opcional] Se WS-Security não estiver listado, selecione Incluir > WS-Security.
  5. Clique no link WS-Security.
  6. Clique no link Autenticação e Proteção.
  7. Na tabela de tokens de proteção, clique em cada um dos quatro links e em OK no painel resultante. Cada entrada é agora mostrada como Configurada na coluna Status.
  8. Na tabela de proteção de criptografia e assinatura da mensagem de pedido, clique em request:app_encparts. Especifique o nome, requestEncParts.
  9. Clique emNovo nas informações de chave. Especifique o nome, requestEncKeyInfo.
  10. Selecione SymmetricBindingRecipientEncryptionToken e clique em OK.
  11. Selecione requestEncKeyinfo na lista Disponível e clique em Incluir. Clicar em OK.
  12. Na tabela de proteção de criptografia e assinatura da mensagem de pedido, clique em request:app_signparts.
  13. Especifique o nome, requestSignParts.
  14. Clique emNovo nas informações de chave. Especifique um nome de requestSignKeyInfo.
  15. Selecione SymmetricBindingInitiatorSignatureToken e clique em OK.
  16. Selecione requestSignKeyinfo na lista Disponível e clique em Incluir. Clicar em OK.
  17. Repita as etapas de 8 a 16 para os links na tabela de proteção de criptografia e assinatura da mensagem de reposta.
  18. Clique em Salvar para salvar as alterações na configuração principal.

O que Fazer Depois

Inicie o aplicativo.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_wsspssemp
Nome do arquivo: twbs_wsspssemp.html