使用组装工具配置信任锚,它们指定包含用来验证签署者证书的可信根证书的密钥库,或者在应用程序级别配置信任库。
开始之前
要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 及更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 及更高版本的应用程序。
此文档描述如何在应用程序级别上配置信任锚或信任密钥库。它不描述如何在服务器或单元级别上配置信任锚。在应用程序级别上定义的信任锚比服务器或单元级别上定义的信任锚具有更高的优先级。您可以使用组装工具或管理控制台配置应用程序级别的信任锚。此文档描述如何使用组装工具配置应用程序级别的信任锚。有关在服务器或单元级别创建和配置信任锚的更多信息,请参阅使用组装工具配置服务器安全绑定或者使用管理控制台来配置服务器安全性绑定。
关于此任务
信任锚指定包含将验证签署者证书的可信根证书的密钥库。请求接收方(如 ibm-webservices-bnd.xmi 文件中所定义)和响应接收方(如 Web Service 充当客户机时 application-client.xml 文件中所定义)使用这些密钥库来验证数字签名的签署者证书。密钥库对于数字签名验证的完整性很关键。如果密钥库遭篡改,那么数字签名验证结果将不可信。因此,建议您保护这些密钥库。ibm-webservices-bnd.xmi 文件中的为请求接收方指定的绑定配置必须与 application-client.xml 文件中的为响应接收方指定的绑定配置匹配。
完成以下步骤,以使用组装工具配置信任锚。
过程
- 配置组装工具以处理 Java™ Platform,
Enterprise Edition (Java EE) 企业应用程序。 有关更多信息,请参阅组装工具的相关信息。
- 创建 Web Service 启用的 Java EE 企业应用程序。 请参阅使用组装工具配置服务器安全绑定或使用管理控制台来配置服务器安全性绑定,以了解有关如何管理服务器上的 Web Service 安全性绑定信息的简介。
- 配置客户端响应接收方,其在 ibm-webservicesclient-bnd.xmi 绑定扩展文件中定义。
- 使用组装工具导入 Java EE 应用程序。
- 单击。
- 单击
- 右键单击 application-client.xml 文件,选择,然后单击 WS 绑定选项卡。 会显示客户机部署描述符。
- 找到“端口限定名绑定”部分,然后选择现有条目或者单击添加添加新的端口绑定。 为所选端口显示 Web Service 客户机端口绑定编辑器。
- 找到“信任锚”部分,然后单击添加。 显示“信任锚”窗口。
- 在信任锚名称中输入端口绑定中的唯一名称。
此名称用于引用定义的信任锚。
- 输入密钥库密码、路径和密钥库类型。
受支持的密钥库类型是 Java 密码术扩展 (JCE) 和 Java 密码术扩展密钥库 (JCEKS) 类型。
单击编辑以编辑所选的信任锚。
单击移除以移除所选的信任锚。
当您启动应用程序时,在装入绑定信息时,在运行时中验证配置。
- 保存更改。
- 配置服务器端请求接收方,其在 ibm-webservices-bnd.xmi 绑定扩展文件中定义。
- 单击。
- 选择支持 Web Service 的 Enterprise JavaBeans (EJB) 或 Web 模块。
- 在“包资源管理器”窗口中,单击 EJB 模块的 META-INF 目录或 Web 模块的 WEB-INF 目录。
- 右键单击 webservices.xml 文件,选择并单击绑定选项卡。 会显示 Web Service 绑定编辑器。
- 找到“Web Service 描述绑定”部分,然后选择现有条目,或者单击添加添加一个新的 Web Service 描述符。
- 单击绑定配置。 为所选 Web Service 描述符显示 Web Service 绑定配置编辑器。
- 找到“信任锚”部分,然后单击添加。 显示“信任锚”对话框。
- 在信任锚名称中输入绑定中的唯一名称。
此唯一名称用于引用定义的信任锚。
- 输入密钥库密码、路径和密钥库类型。受支持的密钥库类型为 JCE 和 JCEKS。
单击编辑以编辑所选的信任锚。
单击移除以移除所选的信任锚。
当您启动应用程序时,在装入绑定信息时,在运行时中验证配置。
- 保存更改。
结果
此过程定义请求接收方或响应接收方(如果 Web Service 充当客户机)可用于验证签署者证书的信任锚。
示例
请求接收方或响应接收方(如果 Web Service 充当客户机)使用定义的信任锚验证签署者证书。使用信任锚名称引用信任锚。