为签署者证书加密配置策略集和绑定
此过程描述如何为签署者证书加密配置 JAX-WS 使用者/提供程序。 签署者证书加密表示客户机的、用来验证入站请求消息的数字签名的公用证书用于加密出站响应。
开始之前
此项任务假设您要配置的服务提供程序和客户机位于 JaxWSServicesSamples 应用程序中。 有关如何获取和安装此应用程序的更多信息,请参阅“访问样本”主题。
在您的服务器上使用以下跟踪规范。这些规范使您能够对未来可能发生的任何配置问题进行调试。
*=info:com.ibm.wsspi.wssecurity.*=all:com.ibm.ws.webservices.wssecurity.*=all: com.ibm.ws.wssecurity.*=all:
com.ibm.xml.soapsec.*=all: com.ibm.ws.webservices.trace.*=all:
com.ibm.ws.websvcs.trace.*=all:com.ibm.ws.wssecurity.platform.audit.*=off:
com.ibm.ws.webservices.multiprotocol.AgnosticService=all:
com.ibm.ws.websvcs.utils.SecurityContextMigrator=all
关于此任务
因为正在使用签署者证书加密,所以在此过程中将只使用客户机的数字签名密钥库。 服务将从入站请求中获取用于进行签名验证的公用证书,然后使用该公用证书来加密响应。 在提供程序端,提供程序加密生成器上的定制属性 com.ibm.wsspi.wssecurity.token.cert.useRequestorCert=true 用于完成此操作。
此过程中使用的密钥库随 WebSphere Application Server 提供且已安装在所创建的每一个概要文件中。您可以在配置中直接使用 ${USER_INSTALL_ROOT} 变量以快捷地指向密钥库位置而无需使用标准路径。${USER_INSTALL_ROOT} 会解析为路径,例如 c:/WebSphere/AppServer/profiles/AppSrv01。
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
由于 JaxWSServicesSamples 的性质,所以要将策略集和绑定应用至此应用程序,请在管理控制台中单击
。使用您自己的应用程序时,可以使用以下路径作为访问提供程序和客户机以连接策略集和绑定的替代方法:此过程将执行下列操作来简化任务:
- 将只配置出站数字签名和入站加密。
- 常规绑定将同时用于客户机和提供程序。

完成任务之后,如果您必须返回并编辑已创建的常规绑定,那么您将需要在保存更新之后重新启动应用程序服务器。 虽然您可以创建一个常规绑定并可在不重新启动应用程序服务器的情况下立即使用该常规绑定,但是一旦某个应用程序装入常规绑定,将无法识别对该绑定的更改,直到重新启动服务器为止。
gotcha