信任锚指定包含用于验证签署者证书的可信根证书的密钥库。这些密钥库由请求生成者和响应生成者(当 Web Service 作为客户机时)用于生成数字签名的签署者证书。可使用管理控制台在应用程序级别配置生成器绑定的信任锚。
开始之前
您可以使用组装工具或管理控制台配置信任锚。本任务描述如何使用管理控制台配置应用程序级别的信任锚。
有关组装工具的更多信息,请参阅相关信息。
关于此任务
密钥库对于数字签名验证的完整性很关键。如果密钥库遭篡改,那么数字签名验证结果将不可信。因此,建议您保护这些密钥库。为请求生成者指定的绑定配置信息必须与为响应生成者指定的绑定配置信息匹配。
为客户机指定的请求生成者的信任锚配置信息必须与为服务器指定的请求使用者的配置信息匹配。同样,为服务器指定的响应生成者的信任锚配置信息必须与为客户机指定的响应使用者的配置信息匹配。
在应用程序级别上定义的信任锚比服务器或单元级别上定义的信任锚具有更高的优先级。本任务未描述如何在服务器或单元级别配置信任锚。有关在服务器或单元级别上创建和配置信任锚的更多信息,请参阅配置服务器或单元级别的信任锚。
完成以下步骤在应用程序级别上配置生成器绑定的信任锚:
过程
- 在管理控制台中找到信任锚面板。
- 单击。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全性属性”下,可以访问下列绑定的信任锚配置:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下,单击信任锚。
- 单击新建创建信任锚配置,单击删除删除现有配置,或者单击现有信任锚配置的名称以编辑其设置。 如果您正在创建新配置,那么在信任锚称字段中输入唯一的名称。
- 指定密钥库密码、密钥库位置和密钥库类型。 密钥库文件包含公用和专用密钥、根认证中心 (CA) 证书和中间 CA 证书等等。从密钥库获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。如果您为密钥定位器类实现指定了
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 实现,那么您必须指定密钥库密码、位置和类型。
- 在密钥库密码字段中指定密码。 此密码用于访问密钥库文件。
- 在密钥库路径字段中指定密钥库文件的位置。
- 从密钥库类型字段中选择密钥库类型。 IBM® 技术支持使用的 Java™ 密码术扩展 (JCE) 支持下列密钥库类型:
- JKS
- 如果没有使用 Java 密码术扩展(JCE)并且密钥库文件使用 Java 密钥库(JKS)格式,请使用此选项。
- JCEKS
- 如果您使用 Java 密码术扩展,请使用此选项。
JCERACFKS
如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
- PKCS11KS (PKCS11)
- 如果密钥库使用 PKCS#11 文件格式,请使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
- PKCS12KS (PKCS12)
- 如果密钥库使用 PKCS#12 文件格式,请使用此选项。
WebSphere® Application Server 在使用 USER_INSTALL_ROOT
变量的以下目录中提供了一些样本密钥库文件:
c:\{USER_INSTALL_ROOT}\etc\ws-security\samples![[AIX HP-UX Solaris]](../images/unix.gif)
${USER_INSTALL_ROOT}/etc/ws-security/samples
例如,您可能为加密密钥使用 enc-receiver.jceks 密钥库文件。此文件的密码为 Storepass,类型为 JCEKS。
限制: 不要在生产环境中使用这些密钥库文件。这些样本的提供仅用于测试目的。
结果
本任务在应用程序级别上配置生成器绑定的信任锚。