信任锚设置
使用此页面来指定信任锚配置。这些信任锚证书用于验证嵌入在 SOAP 消息中的 X.509 证书。
使用此信息来配置信任锚。信任锚指向包含可信根或自签名证书的密钥库。此信息使您能够为访问密钥库时所需的信任锚和信息指定名称。应用程序绑定使用此名称来引用绑定文件(或缺省值)中预定义的信任锚定义。
编辑缺省单元或服务器绑定时,可以配置信任锚。另外,还可以配置策略集所需的令牌和消息部件的特定于应用程序的绑定。
- 单击 。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的密钥与证书链接。
- 单击“信任锚”表的名称列中的名称链接。
- 单击 。
- 选择包含 Web Service 的应用程序。该应用程序必须包含服务提供程序或服务客户机。
- 单击“Web Service 属性”部分中的服务提供程序策略集和绑定链接或服务客户机策略集和绑定。
- 选择绑定。先前必须已连接策略集并且已指定特定于应用程序的绑定。
- 单击“策略”表中的 WS-Security 策略。
- 单击“主消息安全策略绑定”部分中的密钥与证书链接。
- 单击“信任锚”表的名称列中的名称链接。
此管理控制台页面仅适用于 Java™ API for XML Web Services (JAX-WS) 应用程序。
名称
指定应用程序绑定引用缺省绑定中预定义的信任锚定义时所用的唯一名称。
信任锚指定包含可信根证书的密钥库。此字段显示正在编辑的信任锚的名称。如果正在创建新的信任锚配置,请输入唯一的名称。
密钥库文件包含公用和专用密钥、根认证中心 (CA) 证书和中间 CA 证书等等。从密钥库文件获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。
信息 | 值 |
---|---|
数据类型: | 字符串 |
集中管理的密钥库
指定以使用集中管理密钥库。选择集中管理密钥库选项后,从列表中选择其中一个集中管理密钥库名称。在管理控制台中通过单击以下链接可管理集中管理的密钥库: 。
单击该单选按钮以启用名称字段。从列表中选择一个密钥库。
信息 | 值 |
---|---|
数据类型: | 单选按钮 |
缺省值: | 未选中 |
外部密钥库
使用密钥库路径、密钥库类型和密钥库密码指定一个密钥库。密钥库文件格式由密钥库类型确定。缺省绑定中的缺省信任锚使用的是外部密钥库。
选中该单选按钮以启用外部密钥库。
信息 | 值 |
---|---|
数据类型: | 单选按钮 |
缺省值: | 已选中 |
- 完整路径
- 指定密钥库位置的完整路径。如果密钥库是基于文件的,那么位置可以引用信任锚密钥库所在节点的文件系统中的任何路径。在缺省绑定中定义的信任锚为:
${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
注意: 不要在生产环境中使用样本密钥库文件。这些样本的提供仅用于测试目的。信息 值 数据类型: 字符串 - 类型
- 启用外部密钥库时,指定密钥库类型。
该类型指定密钥库管理的实现。从提供的列表中单击密钥库类型。java.security.Security.getAlgorithms("KeyStore") 返回该选择列表。
IBM® Java 密码术扩展 (IBMJCE) 支持以下基于文件的密钥库类型:JKS、JCEKS、PKCS12 和 CMSKS。- 如果使用的不是 Java 密码术扩展 (JCE),请使用 JKS 选项。
- 如果使用的是 Java 密码术扩展,请使用 JCEKS 选项。
- 如果密钥库使用的是 PKCS#12 文件格式,那么使用 PKCS12 选项。
- key.p12 文件或 trust.p12 文件是 PKCS12 类型密钥库的示例。
- 如果密钥库使用的是证书管理服务 (CMS) 格式,那么使用 CMSKS 选项。
- 密码
- 指定访问密钥库文件所需的密码。
使用该密码来保护密钥库。该密码用于访问指定的密钥库,而且该密码也是用于将密钥存储在密钥库中的缺省密码。
缺省绑定中的缺省信任锚使用的是外部密钥库。外部密钥库的密码是:server。建议尽快更改缺省密码。
信息 值 数据类型: 字符串 缺省值: WebAS 或单元名 - 确认密码
- 确认在“密码”字段中输入的密码。
再次输入用于打开密钥库文件或设备的密码。通过再次输入在“密码”字段中输入的密码,可以确认该密码。
信息 值 数据类型: 字符串