在服务器或单元级别使用 JAX-RPC 配置令牌生成者以保护消息真实性

如果未在应用程序级别定义这些绑定,请使用服务器或单元级别上的令牌生成者来指定令牌生成者的信息。签名信息和加密信息可共享令牌生成者信息,这是将他们都定义在同一级别的原因。

开始之前

您需要了解为生成器提供的密钥库/别名信息以及为使用者提供的密钥库/别名信息是用于不同用途的。主要区别在于 X.509 回调处理程序的别名。

当用于加密生成器时,为生成器提供的别名用于检索用来加密消息的公用密钥。不需要密码。在回调处理程序上输入的与加密生成器关联的别名必须在不提供密码的情况下可访问。这意味着在密钥库中不能具有与该别名相关联的专用密钥信息。当用于签名生成器时,为生成器提供的别名用于检索用来对消息签名的专用密钥。需要密码。

关于此任务

WebSphere® Application Server 提供绑定的缺省值。必须修改生产环境的缺省值。

可以在服务器级别和单元级别上配置令牌生成者。在以下步骤中,使用第一步访问服务器级别的缺省绑定,使用第二步访问单元级别绑定。

过程

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
    2. 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时
      混合版本环境 混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定mixv
  2. 单击安全性 > Web Service 以访问单元级别的缺省绑定。
  3. 在“缺省生成器绑定”下面,单击令牌生成者
  4. 单击新建创建令牌生成者配置,单击删除删除现有配置,或者单击现有令牌生成者配置的名称以编辑其设置。 如果您正在创建新配置,那么在令牌生成者名称字段中输入令牌生成者配置的唯一名称。例如,您可以指定 sig_tgen。此字段指定令牌生成者元素的名称。
  5. 令牌生成者类名字段中指定类名。 Java™ 认证和授权服务 (JAAS) 登录模块实现用来在生成者端创建安全性令牌。
    限制: com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口不与 JAX-WS Web Service 一起使用。如果要使用 JAX-RPC Web Service,那么此接口仍然有效。

    令牌生成者类名必须类似于令牌使用者类名。例如,如果您的应用程序需要 X.509 证书令牌使用者,那么可以在令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 类名。WebSphere Application Server 提供以下缺省令牌生成者类实现:

    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    此实现生成用户名令牌。
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    此实现生成 X.509 证书令牌。
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    此实现生成轻量级第三方认证 (LTPA) 令牌。
  6. 选择证书路径选项。 该证书路径指定证书撤销列表 (CRL),用它生成装入 CRL 的 PKCS#7 格式的安全性令牌。WebSphere Application Server 提供以下证书路径选项:
    在 CRL 不用于生成安全性令牌的情况下,选择此选项。当令牌生成者不使用 PKCS#7 令牌类型时,必须选择此选项。
    专用签名信息
    如果 CRL 装入安全性令牌,请选择专用的签名信息并从证书库字段中选择证书集合库名称。该证书库字段显示已定义的证书集合库名称。

    要定义单元级别上的证书集合库,请参阅配置服务器或单元级别的集合证书

  7. 选择添加现时标志选项以包含令牌生成者的用户名令牌内的现时标志。 现时标志是唯一加密数字,它嵌入在消息中以帮助停止用户名令牌的重复未授权攻击。如果您为令牌生成者指定用户名令牌,那么可使用添加现时标志选项。
  8. 选择添加时间戳记选项以包含令牌生成者的用户名令牌内的时间戳记。
  9. 局部名字段中指定值类型局部名。 此条目为密钥标识引用的安全性令牌指定值类型的局部名。当您将密钥标识选为密钥信息类型时,此属性是有效的。要指定密钥信息类型,请参阅在服务器或单元级别上,使用 JAX-RPC 配置生成器绑定的密钥信息。。WebSphere Application Server 提供以下预定义的 X.509 证书令牌配置:
    X.509 证书令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 格式的 X.509 证书
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 格式的 X.509 证书和 CRL 的列表
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    对于 LTPA,值类型局部名为 LTPA。如果您输入局部名 LTPA,那么也必须在值类型 URI 字段中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 统一资源标识 (URI) 值。
    LTPA V2
    对于 LTPA V2,值类型局部名为 LTPAv2。如果您输入局部名 LTPAv2,那么也必须在值类型 URI 字段中指定 http://www.ibm.com/websphere/appserver/tokentype 统一资源标识 (URI) 值。
    LTPA_PROPAGATION
    对于 LTPA 令牌传播来说,值类型局部名是 LTPA_PROPAGATION。如果输入 LTPA_PROPAGATION 作为局部名,那么还必须在值类型 URI 字段中指定 http://www.ibm.com/websphere/appserver/tokentype URI 值。
    例如,当指定 X.509 证书令牌时,您可将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 用于局部名。
  10. URI 字段中指定值类型 URI。 此条目为密钥标识引用的安全性令牌指定值类型的名称空间 URI。在缺省生成者的密钥信息面板上将密钥标识选为密钥信息类型时,此属性是有效的。指定 X.509 证书令牌时,不需要指定名称空间 URI。如果指定了另一个令牌,那么必须指定值类型的名称空间 URI。
  11. 单击确定,然后单击保存保存配置。
  12. 单击令牌生成者配置的名称。
  13. 在“其他属性”下面,单击回调处理程序以配置回调处理程序属性。 该回调处理程序指定如何获取插入在 SOAP 消息的 Web Service 安全性头中的安全性令牌。令牌获取是可插入的框架,它利用 Java 认证和授权服务 (JAAS) javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。
    1. 回调处理程序类名字段中指定回调处理程序类实现。 此属性指定用于插入安全性框架的回调处理程序类实现的名称。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 类。WebSphere Application Server 提供以下缺省回调处理程序实现:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      此回调处理程序使用登录提示收集用户名和密码信息。但是,如果您在此面板上指定用户名和密码,那么不显示提示,并且 WebSphere Application Server 会将用户名和密码返回给令牌生成者。仅将此实现用于 Java Platform, Enterprise Edition (Java EE) 应用程序客户机。
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      如果在此面板的基本认证部分中指定了此回调处理程序,那么它不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板的基本认证部分中指定了用户名和密码,那么 WebSphere Application Server 不发出提示,而是将用户名和密码返回到令牌生成者。 仅将此实现用于 Java Platform, Enterprise Edition (Java EE) 应用程序客户机。
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证 (LTPA) 安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板的基本认证部分中指定了用户名和密码,那么 WebSphere Application Server 对用户名和密码进行认证以获取 LTPA 安全性令牌。它用此方法获取安全性令牌,而不是从“作为主体集运行”中获取安全性令牌。仅当 Web Service 作为应用程序服务器上的客户机时,才使用此回调处理程序。建议不要在 Java EE 应用程序客户机上使用此回调处理程序。
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库文件和密钥定义对于此回调处理程序来说是必需的。
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库文件。必须在证书集合库中指定证书撤销列表 (CRL)。CRL 使用 PKCS#7 格式的 X.509 证书进行编码。有关配置证书集合库的更多信息,请参阅配置服务器或单元级别的集合证书
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库文件。此回调处理程序不支持 CRL;因此,不需要或不使用证书集合库。

      对于 X.509 证书令牌,您可能指定 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 实现。

    2. 可选: 选择使用身份断言选项。 如果您具有在 IBM® 扩展部署描述符中定义的身份断言,那么请选择此选项。此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,WebSphere Application Server 仅发送用户名令牌生成者的原始调用者的用户名。 对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
    3. 可选: 选择使用运行方式标识选项。 如果以下条件成立,则选择此选项:
      • 您已在 IBM 扩展部署描述符中定义了身份断言。
      • 您要在下游调用的身份断言中使用运行方式标识而不是初始调用者标识。
    4. 可选: 用户标识密码字段中指定基本认证用户标识和密码。 此条目指定传递给回调处理程序实现的构造函数的用户名和密码。如果您指定了 WebSphere Application Server 提供的以下某个缺省回调处理程序实现,那么将使用基本认证用户标识和密码:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. 可选: 指定密钥库密码和路径。 当密钥或证书用于生成令牌时,密钥库和它的相关信息是必需的。例如,如果选择 WebSphere Application Server 提供的以下某个缺省回调处理程序实现,那么将需要密钥库信息:
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      密钥库文件包含公用和专用密钥、根认证中心 (CA) 证书和中间 CA 证书等等。从密钥库文件获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。要从密钥库文件获取密钥,必须指定密钥库密码、密钥库路径和密钥库类型。

  14. 类型字段选择密钥库类型。 WebSphere Application Server 提供以下选项:
    JKS
    如果没有使用 Java 密码术扩展(JCE)并且密钥库文件使用 Java 密钥库(JKS)格式,请使用此选项。
    JCEKS
    如果您使用 Java 密码术扩展,请使用此选项。
    [z/OS]JCERACFKS
    [z/OS]如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
    PKCS11KS (PKCS11)
    如果密钥库文件使用 PKCS#11 文件格式,请使用此格式。使用此格式的密钥库文件可能包含加密硬件上的 RSA 密钥,或者加密使用加密硬件的密钥来确保安全。
    PKCS12KS (PKCS12)
    如果密钥库文件使用 PKCS#12 文件格式,请使用此选项。
  15. 单击确定,然后单击保存保存配置。
  16. 单击令牌生成者配置的名称。
  17. 在“其他属性”下面,单击回调处理程序 > 密钥
  18. 单击新建创建密钥配置,单击删除删除现有配置,或者单击现有密钥配置的名称以编辑其设置。 如果您正在创建新配置,那么在密钥名字段中输入密钥配置的唯一名称。此名称是指密钥库文件中存储的密钥对象名。
  19. 密钥别名字段中指定密钥对象的别名。 当密钥定位器搜索密钥库中的密钥对象时使用该别名。
  20. 密钥密码字段中指定与密钥关联的密码。
  21. 单击确定保存以保存配置。

结果

已经在服务器级别或单元级别上配置了令牌生成者。

下一步做什么

必须指定类似的令牌使用者配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configtokengensvrcell
文件名:twbs_configtokengensvrcell.html