在应用程序级别使用 JAX-RPC 配置令牌生成者来保护消息真实性
在应用程序级别指定令牌生成者时,生成者端使用该信息来生成安全性令牌。
开始之前
您需要了解为生成器提供的密钥库/别名信息以及为使用者提供的密钥库/别名信息是用于不同用途的。主要区别在于 X.509 回调处理程序的别名。
当用于加密生成器时,为生成器提供的别名用于检索用来加密消息的公用密钥。不需要密码。在回调处理程序上输入的与加密生成器关联的别名必须在不提供密码的情况下可访问。这意味着在密钥库中不能具有与该别名相关联的专用密钥信息。当用于签名生成器时,为生成器提供的别名用于检索用来对消息签名的专用密钥。需要密码。
关于此任务
完成以下步骤在应用程序级别上配置令牌生成者:
过程
- 在管理控制台中找到令牌生成者面板。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全性属性”下面,可以访问下列绑定的令牌生成者:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下面,单击令牌生成者。
- 单击新建创建令牌生成者配置或选择现有配置。单击删除删除现有配置,或单击现有令牌生成者配置的名称以编辑其设置。 如果您正在创建新配置,那么在令牌生成者名称字段中输入唯一的名称。例如,您可以指定 gen_signtgen。
- 在令牌生成者类名字段中指定类名。 该令牌生成者类必须实现 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。请求生成者和响应生成者的令牌生成者类名必须分别类似请求使用者和响应使用者的令牌使用者类名。例如,如果您的应用程序需要用户名令牌使用者,那么可以在应用程序级别的令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 类名。
- 可选: 在部件引用字段中选择部件引用。 该部件引用表明在部署描述符中定义的安全性令牌的名称。要点: 在应用程序级别上,未在部署描述符中指定安全性令牌时,将不显示部件引用字段。如果您在部署描述符中定义了称为 user_tgen 的安全性,那么 user_tgen 在部件引用字段中将作为可选项显示。当使用组装工具组装应用程序时,您可以在部署描述符中指定安全性令牌。
- 为证书路径选择无或专用签名信息。 当令牌生成者不使用 PKCS#7 令牌类型时,选择无。当令牌生成者是 PKCS#7 令牌类型的生成者,并且您希望在安全性令牌中装入证书撤销列表 (CRL) 时,选择专用签名信息并选择证书库。要在应用程序级别上为生成器绑定配置证书集合库和证书撤销列表,请完成下列步骤:
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“相关项”下,单击 EJB 模块或 Web 模块 > URI_name。
- 在“其他属性”下,可以访问以下绑定的证书集合库配置信息:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“其他属性”下,单击证书集合库。
另请参阅有关配置证书集合库的信息。
- 可选: 选择添加现时标志选项。 此选项指出现时标志是否包含在令牌生成者的用户名令牌中。现时标志是一个嵌入在消息中的唯一的加密数字,以帮助停止用户名令牌的重复、未授权的攻击。
仅当生成的令牌类型是用户名令牌并且仅可用于请求生成者绑定时,添加现时标志选项才有效。如果您选择添加现时标志选项,那么您可以在“其他属性”下指定以下属性。这些属性由请求使用者使用。
表 1. 其他现时标志属性. 使用现时标志属性将现时标志包括在用户名令牌中。 属性名 缺省值 说明 com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.cacheTimeout 600 秒 为服务器上已高速缓存的现时标志值指定超时值(以秒计)。 com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.clockSkew 0 秒 指定现时标志时间戳记到期前的时间(以秒计)。 com.ibm.ws.wssecurity.config.token. BasicAuth.Nonce.maxAge 300 秒 指定当 WebSphere® Application Server 检查消息的及时性时要考虑的时钟偏差值(以秒计)。 在单元和服务器级别上,您可以为管理控制台内的 Web Service 安全性面板指定这些缺省绑定上的现时标志的其他属性。- 对于单元级别,单击安全性 > Web Service。
- 对于服务器级别,单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name。
在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定。mixv
- 可选: 选择添加时间戳记选项。 此选项指定是否将时间戳记插入到用户名令牌中。仅当生成的令牌类型是用户名令牌并且只能用于请求生成者绑定时,添加时间戳记选项才有效。
- 在局部名字段中指定值类型局部名。 对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 提供预定义的值类型局部名。指定以下局部名时,不需要指定值类型的 URI:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
- 此局部名指定用户名令牌。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- 此局部名指定 X.509 证书令牌。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- 此局部名用公共密钥基础结构 (PKI) 路径指定 X.509 证书。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- 此局部名指定 PKCS#7 格式的 X.509 证书列表和证书撤销列表。
对于 LTPA 令牌,您可对值类型局部名使用 LTPA,对值类型统一资源标识 (URI) 使用 http://www.ibm.com/websphere/appserver/tokentype/5.0.2。对于 LTPA 令牌传播,可以使用 LTPA_PROPAGATION 作为值类型局部名,并使用 http://www.ibm.com/websphere/appserver/tokentype 作为值类型 URI。
- 可选: 在 URI 字段中指定值类型 URI。 此条目指定生成的令牌的值类型的名称空间 URI。
- 单击确定和保存以保存配置。
- 单击令牌生成者配置的名称。
- 在“其他属性”下,单击回调处理程序。
- 指定回调处理程序的设置。
- 在回调处理程序类名字段中指定类名。 此类名是用于插入安全性令牌框架的回调处理程序实现类的名称。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 接口,并且必须使用以下语法提供构造函数:
MyCallbackHandler(String username, char[] password, java.util.Map properties)
其中:- username
- 指定传递到配置中的用户名。
- password
- 指定传递到配置中的密码。
- properties
- 指定传递到配置中的其他配置属性。
如果回调处理程序需要用户名和密码,那么需要此构造函数。但是,如果回调处理程序不需要用户名和密码(如 X509CallbackHandler),请使用具有以下语法的构造函数:MyCallbackHandler(java.util.Map properties)
WebSphere Application Server 提供以下缺省回调处理程序实现:- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- 此回调处理程序使用登录提示收集用户名和密码信息。但是,如果您在此面板上指定用户名和密码,那么不显示提示,并且 WebSphere Application Server 会将用户名和密码返回给令牌生成者。仅将此实现用于 Java™ Platform Enterprise Edition (Java EE) 应用程序客户机。如果使用此实现,那么必须在此面板上提供基本认证用户标识和密码。
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- 如果在此面板上指定了用户名和密码,那么此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。如果使用此实现,那么必须在此面板上提供基本认证用户标识和密码。
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- 此回调处理程序使用标准提示符收集用户名和密码。然而,如果在此面板上指定了用户名和密码,那么 WebSphere Application Server 不发出提示,但是将用户名和密码返回到令牌生成者。仅将此实现用于 Java Platform Enterprise Edition (Java EE) 应用程序客户机。如果使用此实现,那么必须在此面板上提供基本认证用户标识和密码。
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- 此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证 (LTPA) 安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。然而,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 认证用户名和密码以获取 LTPA 安全性令牌而不是从运行方式主体集获取。仅当 Web Service 作为应用程序服务器上的客户机时,才使用此回调处理程序。建议不要在 Java EE 应用程序客户机上使用此回调处理程序。如果使用此实现,那么必须在此面板上提供基本认证用户标识和密码。
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- 此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。如果使用此实现,那么必须在此面板上提供密钥库密码、路径和类型。
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- 此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。可以在证书集合库中指定证书撤销列表 (CRL)。CRL 使用 PKCS#7 格式的 X.509 证书进行编码。如果使用此实现,那么必须在此面板上提供密钥库密码、路径和类型。
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- 此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL;因此,不需要或不使用证书集合库。如果使用此实现,那么必须在此面板上提供密钥库密码、路径和类型。
回调处理程序实现获取必需的安全性令牌并将它传递到令牌生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供程序可以提供其自己的实现,但是该实现必须使用 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。
- 可选: 选择使用身份断言选项。 如果在 IBM® 扩展部署描述符中定义了身份断言,请选择此选项。此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,WebSphere Application Server 仅发送用户名令牌生成者的原始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
- 可选: 选择使用运行方式标识选项。 如果在 IBM 扩展部署描述符中定义了身份断言,并且要在下游调用的身份断言中使用运行方式标识而不是初始调用者标识,请选择此选项。仅当您将 Username TokenGenerator 配置为令牌生成者时,此选项才有效。
- 可选: 在基本认证用户标识字段中指定基本认证用户标识。 此条目指定传递给回调处理程序实现的构造函数的用户名。如果指定回调处理程序类名字段中的以下某个缺省回调处理程序实现,则将使用基本认证用户名和密码:
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- 可选: 在基本认证密码字段中指定基本认证密码。 此条目指定传递给回调处理程序实现的构造函数的密码。
- 可选: 在密钥库密码字段中指定密钥库密码。 此条目指定用于访问密钥库文件的密码。如果选择 WebSphere Application Server 提供的以下某个缺省回调处理程序实现,则将使用密钥库及其相关配置:
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- 该密钥库用于构建具有证书路径的 X.509 证书。
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- 该密钥库用于构建具有证书路径的 X.509 证书。
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- 此密钥库用于检索 X.509 证书。
- 可选: 在路径字段中指定密钥库路径。 建议您在路径名中使用 ${USER_INSTALL_ROOT} 变量,路径将扩展到机器上 WebSphere Application Server 路径。要更改此变量使用的路径,单击环境 > WebSphere 变量并单击 USER_INSTALL_ROOT。当您使用 com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler、com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler 或 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 回调处理程序实现时,需要此字段。
- 可选: 在类型字段中选择密钥库类型。 此选择表明密钥库文件使用的格式。您可以为此字段选择下列某个值:
- JKS
- 如果密钥库使用 Java 密钥库 (JKS) 格式,请使用此选项。
- JCEKS
- 如果在软件开发包 (SDK)中配置了 Java 密码术扩展,请使用此选项。在 WebSphere Application Server 中配置了缺省的 IBM JCE。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
- JCERACFKS
- 如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
- PKCS11KS (PKCS11)
- 如果密钥库使用 PKCS#11 文件格式,请使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
- PKCS12KS (PKCS12)
- 如果密钥库使用 PKCS#12 文件格式,请使用此选项。
- 在回调处理程序类名字段中指定类名。 此类名是用于插入安全性令牌框架的回调处理程序实现类的名称。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 接口,并且必须使用以下语法提供构造函数:
- 单击确定,然后单击保存保存配置。
- 单击令牌生成者配置的名称。
- 在“其他属性”下,单击回调处理程序 > 密钥。
- 指定密钥名、密钥别名和密钥密码。
- 单击新建创建密钥配置,单击删除删除现有配置,或者单击现有密钥配置的名称以编辑其设置。 如果您正在创建新配置,那么在密钥名称字段中输入唯一的名称。对于数字签名,请求生成者或响应生成者签名信息使用密钥名以确定哪个密钥用于对消息进行数字签署。对于加密,密钥名用于确定用于加密的密钥。密钥名必须是标准的专有名称。例如,CN=Bob,O=IBM,C=US。
- 在密钥别名字段中指定密钥别名。 该密钥别名由密钥定位器用于查找密钥库文件中的密钥。
- 在密钥密码字段中指定密钥密码。 需要此密码访问密钥库文件内的密钥对象。
- 单击确定和保存以保存配置。
结果
下一步做什么
子主题
请求生成者(发送方)绑定配置设置
使用此页面来指定请求生成者的绑定配置。响应生成者(发送方)绑定配置设置
使用此页面来指定响应生成者或响应发送方的绑定配置。JAX-RPC 的回调处理程序配置设置
使用此页面来指定如何获取插入在 SOAP 消息中 JAX-RPC 的 Web Service 安全性头中的安全性令牌。令牌获取是可插入的框架,它利用 Java 认证和授权服务 (JAAS) javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。密钥集合
使用此页面来查看映射至密钥库文件中密钥别名的逻辑名列表。密钥配置设置
使用此页面定义逻辑名到密钥库文件中的密钥别名的映射。Web Service:客户机安全性绑定集合
使用此页面来查看 Web Service 安全性的应用程序级别和客户机端绑定配置的列表。当 Web Service 是另一个 Web Service 的客户机时,使用这些绑定。Web Service:服务器安全性绑定集合
使用此页面来查看 Web Service 安全性的服务器端绑定配置列表。请求生成者(发送方)绑定配置设置
使用此页面来指定请求生成者的绑定配置。响应生成者(发送方)绑定配置设置
使用此页面来指定响应生成者或响应发送方的绑定配置。JAX-RPC 的回调处理程序配置设置
使用此页面来指定如何获取插入在 SOAP 消息中 JAX-RPC 的 Web Service 安全性头中的安全性令牌。令牌获取是可插入的框架,它利用 Java 认证和授权服务 (JAAS) javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。密钥集合
使用此页面来查看映射至密钥库文件中密钥别名的逻辑名列表。密钥配置设置
使用此页面定义逻辑名到密钥库文件中的密钥别名的映射。Web Service:客户机安全性绑定集合
使用此页面来查看 Web Service 安全性的应用程序级别和客户机端绑定配置的列表。当 Web Service 是另一个 Web Service 的客户机时,使用这些绑定。Web Service:服务器安全性绑定集合
使用此页面来查看 Web Service 安全性的服务器端绑定配置列表。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengenapp
文件名:twbs_configtokengenapp.html