用于 JAX-WS 应用程序的常规样本绑定
可将样本绑定与管理控制台配合使用,以进行测试。会在单元或服务器级别上反映您指定的配置。
WebSphere® Application Server V7.0 和更高版本包括用于测试的提供程序样本绑定和客户机样本绑定。在这些绑定中,产品提供了用于支持不同令牌类型的令牌(例如 X.509 令牌、用户名令牌、LTPA 令牌和 Kerberos 令牌)的样本值。这些绑定还包括针对令牌类型(例如 X.509 和安全对话)的消息保护信息的样本值。从缺省本地存储库中,可以将提供程序样本绑定和客户机样本绑定应用于与系统策略集连接的应用程序或应用程序策略集。
此信息描述 Java™ API for XML-Based Web Services (JAX-WS) 编程模型的常规样本绑定。可以使用 Java API for XML-based RPC API (JAX-RPC) 编程模型来开发 Web Service,或者对于
WebSphere Application Server V7.0 和更高版本,可以使用 Java API for XML-Based Web Services (JAX-WS) 编程模型来开发 Web Service。根据您所使用的编程模型的不同,常规样本绑定可能会不同。提供的下列各节描述了各种常规样本绑定:
最佳实践: IBM®
WebSphere Application Server 支持 Java API for XML-Based Web Services (JAX-WS) 编程模型以及 Java API
for XML-based RPC (JAX-RPC) 编程模型。JAX-WS 是下一代 Web Service 编程模型,用于扩展 JAX-RPC 编程模型所提供的基础。使用策略 JAX-WS 编程模型,借助基于标准的注释模型的支持,简化了 Web Service 和客户机的开发。虽然仍支持 JAX-RPC 编程模型和应用程序,但应该利用易于实现的 JAX-WS 编程模型来开发新的 Web Service 应用程序和客户机。
在生产环境中,请不要按其缺省状态使用这些提供程序样本绑定和客户机样本绑定。在生产环境中使用这些绑定之前,必须通过以下方式修改这些绑定来满足安全性需要:对这些绑定生成副本然后修改该副本。例如,必须更改密钥和密钥库设置以确保安全性,然后修改绑定设置来与环境相匹配。

应用程序共享一组常规缺省绑定,以使应用程序部署变得更容易。可以为服务提供程序或客户机指定用于全局安全性(单元)级别、安全域或特定服务器的缺省绑定。缺省绑定是您位在更低范围指定覆盖绑定时使用的绑定。应用程序服务器用于确定要使用哪个缺省绑定的优先顺序从低到高如下所示:
- 服务器级别缺省绑定
- 安全域级别缺省绑定
- 全局安全性(单元)缺省绑定
常规客户机样本绑定
- 用于签署信息生成的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
- 引用 gen_signkeyinfo 签署密钥信息。
- 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
- 签署密钥信息 gen_signkeyinfo,它包含以下配置:
- 安全性令牌引用。
- gen_signx509token 保护令牌非对称签名生成器,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.generate.x509 JAAS 登录
- X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsigsender.ks
中具有下列特征的定制密钥库:
- 密钥库类型为 JKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 soaprequester。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于签署信息生成的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
- 引用 gen_signsctkeyinfo 签署密钥信息。
- 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
- 签署密钥信息 gen_signsctkeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_scttoken 保护令牌生成器,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含作为局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.generate.sct JAAS 登录
- WS-Trust 回调处理程序。
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
- 引用 gen_enckeyinfo 加密密钥信息。
- 加密密钥信息(名为 gen_enckeyinfo),它包含以下配置:
- 密钥标识。
- gen_encx509token 保护令牌非对称加密生成器,如下:
- 密钥库类型为 JCEKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 bob。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 中的定制密钥库。
- 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
- 引用 gen_encsctkeyinfo 加密密钥信息。
- 加密密钥信息 gen_encsctkeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_scttoken 保护令牌生成器,它包含以下配置:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.generate.sct JAAS 登录。
- WS-Trust 回调处理程序。
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于签署信息使用的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
- 引用 con_signkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
- con_signx509token 保护令牌非对称签名使用者,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.consume.x509 JAAS 登录。
- X.509 回调处理程序,如下:
- 引用名为 DigSigCertStore 的证书库。
- 引用名为 DigSigTrustAnchor 的可信锚库。
- con_signx509token 保护令牌非对称签名使用者,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于签署信息使用的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
- 引用 con_sctsignkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_scttoken 保护令牌使用者,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.consume.sct JAAS 登录。
- WS-SecureConversation 回调处理程序。
- 派生密钥,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoResponse),它包含以下配置:
- 引用 dec_keyinfo 加密密钥信息。
- 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
- con_encx509token 保护令牌非对称加密使用者,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.consume.x509 JAAS 登录。
- X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
中具有下列特征的定制密钥库:
- 密钥库类型为 JCEKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 alice。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- con_encx509token 保护令牌非对称加密使用者,如下:
- 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
- 引用 dec_sctkeyinfo 加密密钥信息。
- 加密密钥信息(名为 dec_sctkeyinfo)包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_scttoken 保护令牌使用者,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.consume.sct JAAS 登录。
- WS-SecureConversation 回调处理程序。
- 派生密钥,如下:
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于认证令牌生成的样本配置(称为 gen_signkrb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.generate.KRB5BST JAAS 登录。
- 下列定制属性:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName,目标 Kerberos 服务名称。
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,与目标 Kerberos 服务名称相关联的主机名。
在使用此配置之前,必须针对环境提供正确值。
- 定制 Kerberos 令牌回调处理程序。必须为 Kerberos 客户机主体和密码提供正确值。
- 用于认证令牌生成的样本配置(称为 gen_signltpaproptoken)包含以下配置:
- 令牌类型 LTPA 传播令牌,如下:
- 包含用于局部部件值的 LTPA_PROPAGATION。
- 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype。
- 包含 wss.generate.ltpaProp JAAS 登录。
- 使用 LTPA 令牌回调处理程序。
- 令牌类型 LTPA 传播令牌,如下:
- 用于认证令牌生成的样本配置(称为 gen_signltpatoken)包含以下配置:
- 令牌类型 LTPA 令牌 V2.0,如下:
- 包含用于局部部件值的 LTPA_PROPAGATION。
- 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype。
- wss.generate.ltpa JAAS 登录。
- LTPA 令牌回调处理程序。
- 令牌类型 LTPA 令牌 V2.0,如下:
- 用于认证令牌生成的样本配置(称为 gen_signunametoken)包含以下配置:
- 令牌类型用户名令牌 V1.0,它将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于局部部件值。
- wss.generate.unt JAAS 登录。
- 用户名令牌回调处理程序,如下:
- 包含基本认证字段。必须针对环境为客户机主体和密码提供正确值。
- 包含下列定制属性:
- com.ibm.wsspi.wssecurity.token.username.addNonce,用于添加现时标志值。
- com.ibm.wsspi.wssecurity.token.username.addTimestamp,用于添加时间戳记值。
客户机样本绑定 V2
已将两个新的常规样本绑定(客户机样本绑定 V2 和提供程序样本绑定 V2)添加至该产品。虽然其中大量配置与先前版本的客户机样本绑定和提供程序样本绑定的配置相同,但是还有若干新的样本配置。要使用这些新绑定,请在安装产品之后创建新的概要文件。有关更多信息,请参阅主题“配置 Kerberos 策略集和 V2 常规样本绑定”。
- 用于签署信息生成的样本配置(称为 symmetric-KrbsignInfoRequest)包含以下配置:
- 引用 gen_reqKRBsignkeyinfo 签署密钥信息。
- 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
- 签署密钥信息 gen_reqKRBsignkeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_krb5token 保护令牌生成器,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含作为局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.generate.KRB5BST JAAS 登录
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息生成的样本配置(称为 symmetric-KrbEncInfoRequest)包含以下配置:
- 引用 gen_reqKRBenckeyinfo 加密密钥信息。
- 加密密钥信息 gen_reqKRBenckeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_krb5token 保护令牌生成器,它包含以下配置:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.generate.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于签署信息使用的样本配置(称为 symmetric-KrbsignInfoResponse)包含以下配置:
- 引用 con_respKRBsignkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 con_respKRBsignkeyinfo),它包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_krb5token 保护令牌使用者,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.consume.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
- 派生密钥,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息使用的样本配置(称为 symmetric-KrbEncInfoResponse)包含以下配置:
- 引用 con_respKRBenckeyinfo 加密密钥信息。
- 加密密钥信息(名为 con_respKRBenckeyinfo)包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_krb5token 保护令牌使用者,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.consume.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
- 派生密钥,如下:
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于认证令牌生成的样本配置(称为 gen_krb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.generate.KRB5BST JAAS 登录。
- 下列定制属性:
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceName,目标 Kerberos 服务名称。
- com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,与目标 Kerberos 服务名称相关联的主机名。注: 在使用此配置之前,必须针对环境提供正确值。
- 定制 Kerberos 令牌回调处理程序。注: 必须为 Kerberos 客户机主体和密码提供正确值。
- 用于认证令牌生成的样本配置(称为 con_krb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.consume.KRB5BST JAAS 登录。
- 定制 Kerberos 令牌回调处理程序。
常规提供程序样本绑定
- 用于签署信息使用的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
- 引用 con_signkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
- con_signx509token 保护令牌非对称签名使用者,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.consume.x509 JAAS 登录。
- X.509 回调处理程序,如下:
- 引用名为 DigSigCertStore 的证书库。
- 引用名为 DigSigTrustAnchor 的可信锚库。
- con_signx509token 保护令牌非对称签名使用者,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于签署信息使用的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
- 引用 con_sctsignkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_scttoken 保护令牌生成器,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.consume.sct JAAS 登录。
- WS-SecureConversation 回调处理程序。
- 派生密钥,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
- 引用 dec_keyinfo 加密密钥信息。
- 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
- con_encx509token 保护令牌非对称加密使用者,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.consume.x509 JAAS 登录。
- X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
中具有下列特征的定制密钥库:
- 密钥库类型为 JCEKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 bob。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- con_encx509token 保护令牌非对称加密使用者,如下:
- 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
- 引用 dec_sctkeyinfo 加密密钥信息。
- 加密密钥信息(名为 dec_sctkeyinfo),它包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_scttoken 保护令牌使用者,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.consume.sct JAAS 登录。
- WS-SecureConversation 回调处理程序。
- 派生密钥,如下:
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于签署信息生成的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
- 引用 gen_signkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 gen_signkeyinfo),它包含以下配置:
- 安全性令牌引用。
- gen_signx509token 保护令牌非对称签名生成器,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.generate.x509 JAAS 登录。
- X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
中具有下列特征的定制密钥库:
- 密钥库类型为 JKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 soapprovider。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于签署信息生成的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
- 引用 gen_signsctkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 gen_signsctkeyinfo),它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_scttoken 保护令牌生成器,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.generate.sct JAAS 登录。
- WS-Trust 回调处理程序。
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoResponse)包含以下配置:
- 引用 gen_enckeyinfo 加密密钥信息。
- 加密密钥信息(名为 gen_enckeyinfo)包含以下配置:
- 密钥标识。
- gen_encx509token 保护令牌非对称加密生成器,如下:
- 包含 X.509 V3 令牌 V1.0 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
- 包含 wss.generate.x509 JAAS 登录。
- 使用 X.509 回调处理程序。该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
中具有下列特征的定制密钥库:
- 密钥库类型为 JCEKS。
- 密钥库密码为 client。
- 可信证书的别名为 soapca。
- 个人证书的别名为 alice。
- 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
- 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5。
- 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
- 引用 gen_encsctkeyinfo 加密密钥信息。
- 加密密钥信息(名为 gen_encsctkeyinfo)包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_scttoken 保护令牌生成器,如下:
- 包含安全对话令牌 V1.3 令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
- 包含 wss.generate.sct JAAS 登录。
- WS-Trust 回调处理程序。
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于认证令牌使用的样本配置(称为 con_krb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.consume.KRB5BST JAAS 登录。
- 定制 Kerberos 令牌回调处理程序。
- 用于认证令牌使用的样本配置(称为 con_ltpaproptoken)包含以下配置:
- 令牌类型 LTPA 传播令牌。
- wss.consume.ltpaProp JAAS 登录。
- LTPA 令牌回调处理程序。
- 用于认证令牌使用的样本配置(称为 con_ltpatoken)包含以下配置:
- 令牌类型 LTPA 令牌 V2.0,具有下列特征:
- 包含用于局部部件值的 LTPAv2。
- 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype。
- wss.consume.ltpa JAAS 登录
- LTPA 令牌回调处理程序。
- 令牌类型 LTPA 令牌 V2.0,具有下列特征:
- 用于认证令牌使用的样本配置(称为 con_unametoken)包含以下配置:
- 令牌类型用户名令牌 V1.0,它将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于局部部件值。
- wss.consume.unt JAAS 登录。
- 用户名令牌回调处理程序,具有下列定制属性:
- com.ibm.wsspi.wssecurity.token.username.verifyNonce,用于验证现时标志值。
- com.ibm.wsspi.wssecurity.token.username.verifyTimestamp,用于验证时间戳记值。
提供程序样本绑定 V2
已将两个新的常规样本绑定(客户机样本绑定 V2 和提供程序样本绑定 V2)添加至该产品。虽然其中大量配置与先前版本的客户机样本绑定和提供程序样本绑定的配置相同,但是还有若干新的样本配置。要使用这些新绑定,请在安装产品之后创建新的概要文件。有关更多信息,请参阅主题“配置 Kerberos 策略集和 V2 常规样本绑定”。
- 用于签署信息生成的样本配置(称为 symmetric-KrbsignInfoRequest)包含以下配置:
- 引用 con_respKRBsignkeyinfo 签署密钥信息。
- 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
- 签署密钥信息 con_respKRBsignkeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_krb5token 保护令牌使用者,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含作为局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.consume.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息生成的样本配置(称为 symmetric-KrbEncInfoRequest)包含以下配置:
- 引用 con_reqKRBenckeyinfo 加密密钥信息。
- 加密密钥信息 con_reqKRBenckeyinfo,它包含以下配置:
- 安全性令牌引用。
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- con_krb5token 保护令牌使用者,它包含以下配置:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.consume.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于签署信息使用的样本配置(称为 symmetric-KrbsignInfoResponse)包含以下配置:
- 引用 gen_respKRBsignkeyinfo 签署密钥信息。
- 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
- 签署密钥信息(名为 gen_respKRBsignkeyinfo),它包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_krb5token 保护令牌生成器,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.generate.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
- 派生密钥,如下:
- 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1。
- 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#。
- 用于加密信息使用的样本配置(称为 symmetric-KrbEncInfoResponse)包含以下配置:
- 引用 gen_respKRBenckeyinfo 加密密钥信息。
- 加密密钥信息(名为 gen_respKRBenckeyinfo)包含以下配置:
- 派生密钥,如下:
- 需要显式的派生密钥令牌。
- WS-SecureConversation 作为客户机标签。
- WS-SecureConversation 作为服务标签。
- 密钥长度为 16 字节。
- 现时标志长度为 16 字节。
- gen_krb5token 保护令牌生成器,如下:
- 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
- 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
- 包含 wss.generate.KRB5BST JAAS 登录。
- com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
- 派生密钥,如下:
- 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc。
- 用于认证令牌生成的样本配置(称为 gen_krb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.generate.KRB5BST JAAS 登录。
- 定制 Kerberos 令牌回调处理程序。
- 用于认证令牌生成的样本配置(称为 con_krb5token)包含以下配置:
- 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
- wss.consume.KRB5BST JAAS 登录。
- 定制 Kerberos 令牌回调处理程序。