配置客户机进行响应数字签名验证:选择验证方法

可使用组装工具的 Web Service 编辑器中的 WS 扩展选项卡和 WS 绑定选项卡来配置 Web Services 安全扩展和 Web Services 安全绑定。

开始之前

要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。
在完成这些步骤前,阅读以下任一主题以熟悉 IBM® 组装工具中的 Web Service 编辑器中的 WS 扩展选项卡和 WS 绑定选项卡: 您可以使用这两个选项卡分别配置 Web Services 安全扩展和 Web Services 安全绑定。同样,您必须指定哪些消息部件包含客户机必须验证的数字签名信息。请参阅为响应数字签名验证配置客户机:验证消息部件,以指定哪些消息部件是由服务器数字签名并且必须由客户机验证的。为服务器响应发送方指定的消息部件必须与为客户机响应接收方指定的消息部件匹配。同样,为服务器选择的数字签名方法必须与客户机使用的数字签名方法匹配。

关于此任务

完成下列步骤配置客户机用于响应数字签名验证。这些步骤描述如何修改扩展以表明验证期间客户机将要使用的数字签名方法。

过程

  1. 启动组装工具。 有关更多信息,请参阅组装工具的相关信息。
  2. 切换至 Java™ Platform, Enterprise Edition (Java EE) 透视图。单击窗口 > 打开透视图 > 其他 > J2EE
  3. 单击应用程序客户机项目 > application_name > appClientModule > META-INF
  4. 右键单击 application-client.xml 文件,然后选择打开方式 > 部署描述符编辑器
  5. 单击 WS 绑定选项卡。
  6. 展开安全响应接收方绑定配置 > 签名信息部分。
  7. 单击编辑选择数字签名方法。 显示“签名信息”对话框,并选择或输入以下信息:
    • 规范方法算法
    • 摘要方法算法
    • 签名方法算法
    • 签名密钥名称
    • 签名密钥定位器
    有关数字签名 SOAP 消息的概念性信息,请参阅 XML 数字签名。下表描述了这些选择中每一个的目的。以下定义中的一些是基于 XML 签名规范的,其可在 http://www.w3.org/TR/xmldsig-core 中找到。
    表 1. 数字签名方法. 使用此方法来配置客户机用于响应数字签名验证。
    名称 用途
    规范方法算法 规范方法算法用于在将 <SignedInfo> 元素摘要为签名操作的一部分之前对它进行规范。
    摘要方法算法 摘要方法算法是应用转换后(如果指定的话)应用到数据的算法,以生成 <DigestValue><DigestValue> 的签署将资源内容绑定到签署者密钥。为客户机响应接收方配置选择的算法必须与在服务器响应发送方配置中选择的算法匹配。
    签名方法算法 签名方法算法是用于将已规范化的 <SignedInfo> 元素转换为 <SignatureValue> 元素的算法。为客户机响应接收方配置选择的算法必须与在服务器响应发送方配置中选择的算法匹配。
    使用证书路径引用信任全部证书 当签署消息时,用于签署的公用密钥与消息一起发送。要在接收端验证此公用密钥,配置证书路径引用。通过选择用户证书路径引用,您必须配置一个信任锚引用和证书库以验证与消息一起发送的证书。通过选择信任全部证书,签名由同消息一起发送的证书验证,而不需要验证证书本身。
    使用证书路径引用:信任锚引用 信任锚是引用包含可信的、自签名证书和认证中心 (CA) 证书的密钥库的配置。这些证书是可信证书,您可与部署中的任何应用程序配合使用。
    使用证书路径引用:证书库引用 证书库是具有 X.509 证书集合的配置。这些证书在您的部署中不是对所有应用程序都是可信的,但可能被用作验证应用程序证书的中介。
  8. 可选: 如果您希望“签名方法算法”和“摘要方法算法”下拉列表只显示符合 FIPS 的算法,则选择仅显示符合 FIPS 的算法。如果您预计运行此应用程序的 WebSphere Application Server 将在 WebSphere Application Server 管理控制台的“SSL 证书和密钥管理”面板中设置使用美国联邦信息处理标准 (FIPS) 算法选项,则使用此选项。

结果

要点: 如果您正确配置了客户机和服务器签名信息,但是在运行客户机时接收到 Soap 主体未签署的错误,那么您可能需要配置参与者。您可以在组装工具的 Web Service 客户机编辑器中的客户机的以下位置配置参与者:
  • 单击安全性扩展 > 客户机服务配置详细信息,并在“参与者 URI”字段中表明参与者信息。
  • 单击安全性扩展 > 请求发送方配置 > 详细信息,并在“参与者”字段中表明参与者信息。
您必须为服务器上的 Web Service 配置相同的参与者字符串,用于处理请求,并将响应发送回。可以在组装工具的 Web Service 编辑器的以下位置配置参与者:
  • 单击安全性扩展 > 服务器服务配置
  • 单击安全性扩展 > 响应发送方服务配置详细信息 > 详细信息,并在参与者字段中表明参与者信息。

客户机和服务器上的参与者信息都必须引用完全相同的字符串。当客户机与服务器上的参与者字段匹配时,会对请求或响应进行操作而不是向下游发送。 当您用 Web Service 充当到其他 Web Service 的网关时,参与者字段可能不同。但是,在所有其他情况中,确保客户机与服务器上的参与者信息匹配。当 Web Service 充当网关,而在通过网关传递请求时他们没有相同的已配置参与者时,Web Service 不处理来自客户机的消息。相反,这些 Web Service 向下游发送请求。包含正确参与者字符串的下游进程将处理该请求。对于响应,发生的情况相同。因此,验证相应的客户机和服务器参与者字段是否同步至关重要。

您已在消息部件中指定了客户机用于验证数字签名的方法。

下一步做什么

在您配置了响应签名的服务器和请求数字签名验证的客户机后,验证您已配置了客户机和服务器处理消息请求。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confclrespdigsignmeth
文件名:twbs_confclrespdigsignmeth.html