在服务器或单元级别使用 JAX-RPC 为生成器绑定配置签名信息

在服务器或单元级别为客户机端请求生成器和服务器端响应生成器绑定配置签名信息。

开始之前

注: 仅对于 WebSphere® Application Server V6.x 或更早版本,在服务器端扩展文件 (ibm-webservices-ext.xmi) 和客户机端部署描述符扩展文件 (ibm-webservicesclient-ext.xmi) 中,您必须指定签署消息的哪些部分。同样,您需要配置由管理控制台内签名信息面板上的密钥信息引用所引用的密钥信息。

关于此任务

本任务说明为服务器或单元级别的客户机端请求生成器和服务器端响应生成器绑定进行配置签名信息所需的步骤。如果未在应用程序级别定义这些绑定,那么 WebSphere Application Server 使用缺省生成器的签名信息来签署消息的部件,包括主体、时间戳记和用户名令牌。应用程序服务器提供绑定的缺省值。但是,管理员必须修改生产环境的缺省值。

可以在服务器级别和单元级别上配置生成器绑定的签名信息。在以下步骤中,使用第一步配置服务器级别的签名信息,使用第二步配置单元级别的签名信息:

过程

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  2. 单击安全性 > Web Service 以访问单元级别的缺省绑定。
  3. 在“缺省生成器绑定”下,单击签名信息
  4. 单击新建创建签名信息配置,单击删除删除现有配置,或者单击现有签名信息配置的名称以编辑设置。 如果您正在创建新配置,那么在“签名信息名称”字段中输入签署配置的唯一名称。例如,您可以指定 gen_signinfo
    避免故障 避免故障: 如果创建多个签名信息配置,那么 WS-Security 运行时环境只使用绑定文件中所列的第一个配置。gotcha
  5. 从“签名方法”字段中选择签名方法算法。 为缺省生成器指定的算法必须匹配为缺省使用者指定的算法。WebSphere Application Server 支持以下预先配置的算法:
  6. 从“规范方法”字段中选择规范方法。 您为生成器指定的规范算法必须匹配使用者的算法。WebSphere Application Server 支持以下预配置的规范 XML 和互斥 XML 规范算法:
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  7. 密钥信息签名类型字段选择密钥信息签名类型。 密钥信息签名类型确定如何对密钥进行数字签名。WebSphere Application Server 支持以下签名类型:
    None
    指定不对 <KeyInfo> 元素签名。
    Keyinfo
    指定对整个 <KeyInfo> 元素进行签署。
    Keyinfochildelements
    指定对 <KeyInfo> 元素的子元素进行签名。
    生成器的密钥信息签名类型必须匹配使用者的签名类型。您可能遇到以下情况:
    • 如果您未指定某个先前的签名类型,那么缺省情况下 WebSphere Application Server 使用 keyinfo
    • 如果选择 Keyinfo 或 Keyinfochildelements 并在后续步骤中选择 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 作为变换算法,那么 WebSphere Application Server 还签署引用的令牌。
  8. 从“签名密钥信息”字段中选择签名密钥信息引用。 此选择是对应用程序服务器用来生成数字签名的签名密钥的引用。在绑定文件中,<signingKeyInfo> 标记内指定了此信息。 用于签名的密钥由密钥信息元素指定,它被定义在与签名信息相同的级别。有关更多信息,请参阅在服务器或单元级别上,使用 JAX-RPC 配置生成器绑定的密钥信息。
  9. 单击确定保存配置。
  10. 单击新的签名信息配置的名称。 此配置是您在先前步骤中指定的配置。
  11. 指定部件引用、摘要算法和变换算法。 该部件引用指定要进行数字签署的消息部件。
    1. 在“其他属性”下,单击部件引用 > 新建以创建新的部件引用,单击部件引用 > 删除以删除现有部件引用,或者单击部件名以编辑现有部件引用。
    2. 为需要签名的消息部件指定唯一的部分名。 在服务器端和客户机端上都指定了此消息部件。您必须为服务器端和客户机端都指定相同的部件名。例如,您可能为生成器和使用者都指定 reqint
      要点: 您不需要像在应用程序级别上指定值那样为缺省绑定中的部件引用指定值,因为应用程序级别上的部件引用指向签署的特定消息部件。 因为服务器和单元级别缺省绑定适用于特定服务器上定义的所有服务,所以您不能指定此值。
    3. 摘要方法算法字段中选择摘要方法算法。 <SigningInfo> 元素使用 <DigestMethod> 元素内绑定文件中指定的摘要方法算法。
      WebSphere Application Server 支持以下算法:
      • http://www.w3.org/2000/09/xmldsig#sha1
      • http://www.w3.org/2001/04/xmlenc#sha256
      • http://www.w3.org/2001/04/xmlenc#sha512
    4. 单击确定保存以保存配置。
    5. 单击新的部件引用配置的名称。 此配置是您在先前步骤中指定的配置。
    6. 在“其他属性”下,单击转换 > 新建创建新转换,单击转换 > 删除以删除转换,或者单击转换名以编辑现有转换。 如果您创建新的转换配置,那么指定唯一的名称。例如,您可以指定 reqint_body_transform1
    7. 从菜单中选择变换算法。 在 <Transform> 元素中指定了变换算法。此算法元素指定数字签名的变换算法。WebSphere Application Server 支持以下算法:
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
        限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此变换算法。相反,请使用 http://www.w3.org/2002/06/xmldsig-filter2 来确保一致性。
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      您为生成者选择的变换算法必须匹配为使用者选择的变换算法。

      要点: 如果以下两个条件都成立,那么 WebSphere Application Server 签署引用的令牌:
      • 您先前从“签名信息”面板上的“密钥信息签名类型”字段中选择了 KeyinfoKeyinfochildelements 选项。
      • 您将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 选为变换算法。
  12. 单击应用
  13. 单击保存以保存配置。

结果

在完成这些步骤后,您已为服务器或单元级别的生成器配置了签名信息。

下一步做什么

您必须为使用者指定类似的签名信息配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogensvrcell
文件名:twbs_configsigninfogensvrcell.html