在应用程序级别使用 JAX-RPC 为使用者绑定配置密钥信息
可在应用程序级别为请求使用者(服务器端)和响应使用者(客户机端)绑定配置密钥信息。
开始之前
关于此任务
过程
- 在管理控制台中找到密钥信息配置面板。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全性属性”下面,可以访问请求使用者绑定和响应使用者绑定的密钥信息。
- 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制。
- 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。
- 在“必需属性”下面,单击密钥信息。
- 单击下列其中一项以进行密钥信息配置:
- 新建
- 创建密钥信息配置。在“密钥信息名称”字段中输入名称。例如,您可以指定 con_signkeyinfo。
- 删除
- 通过选中某个配置旁边的框来删除该配置。
- 现有密钥信息配置
- 编辑密钥信息配置的设置。
- 从“密钥信息类型”字段中选择密钥信息类型。 这些密钥信息类型为使用 <ds:KeyInfo> 元素中的 <wsse:SecurityTokenReference> 元素引用安全性令牌指定不同的机制。WebSphere® Application Server 支持以下密钥信息类型:
- 密钥标识
- 安全性令牌通过使用唯一地识别令牌的不透明值进行引用。用于生成 <KeyIdentifier> 元素值的算法取决于令牌类型。例如,您可以使用请求评论 (RFC) 3280 的因特网工程任务组织 (IETF) 中定义的公用密钥的标识。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <wsse:SecurityTokenReference> <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01 /oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier"> /62wXO... </wsse:KeyIdentifier> </wsse:SecurityTokenReference> </ds:KeyInfo>
- 密钥名
- 安全性令牌是使用与令牌内的身份断言匹配的名称引用的。建议您不要使用此密钥类型,因为它可能导致多个安全性令牌匹配指定的名称。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo> <ds:KeyName>CN=Group1</ds:KeyName> </ds:KeyInfo>
通常,当您使用 Key-Hashing Message Authentication Code (HMAC) 数字签名算法(如 http://www.w3.org/2000/09/xmldsig#hmac-sha1)时,使用密钥名称。
- 安全性令牌引用
- 使用统一资源标识 (URI) 直接引用该安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Reference URI='#SomeCert' ValueType="http://docs.oasis-open.org/wss/2004/01/ oasis-200401-wss-x509-token-profile-1.0#X509v3" /> </wsse:SecurityTokenReference> </ds:KeyInfo>
注意: 如 Web Services 互操作性组织 (WS-I) 基本安全概要文件 V1 草稿中表明的以及先前示例中显示的那样,wsse:SECURE_ENVELOPE 中的引用元素必须拥有值类型属性。 - 嵌入式令牌
- 在 <SecurityTokenReference> 元素中直接嵌入了安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo> <wsse:SecurityTokenReference> <wsse:Embedded wsu:Id=”tok1” /> … </wsse:Embedded> </wsse:SecurityTokenReference> </ds:KeyInfo>
- X509 发布者名称和发布者序列
- 安全性令牌由 X.509 证书的发布者名称和发布者序列号引用。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo> <wsse:SecurityTokenReference> <ds:X509Data> <ds:X509IssuerSerial> <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName> <ds:X509SerialNumber>1040152879</ds:X509SerialNumber> </ds:X509IssuerSerial> </ds:X509Data> </wsse:SecurityTokenReference> </ds:KeyInfo>
- 从“密钥定位器引用”字段选择密钥定位器引用。 此字段的值是对密钥定位器的引用,WebSphere Application Server 使用该密钥定位器来查找用于数字签名和加密的密钥。 选择密钥定位器前,必须配置密钥定位器。有关配置密钥定位器的更多信息,请参阅在应用程序级别使用 JAX-RPC 配置使用者绑定的密钥定位器。
- 从“令牌引用”字段中选择令牌引用。 该令牌引用指定对用于处理消息中的安全性令牌的令牌使用者的引用。但是,仅当您在“密钥信息类型”字段中选择安全性令牌引用或嵌入式令牌时,WebSphere Application Server 才需要此字段。指定令牌引用前,必须配置令牌使用者。有关配置令牌使用者的更多信息,请参阅在应用程序级别使用 JAX-RPC 配置令牌使用者以保护消息真实性。
如果此密钥信息配置不需要令牌使用者,那么选择(无)。
- 单击确定和保存以保存此配置。
结果
下一步做什么


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfoconsapp
文件名:twbs_configkeyinfoconsapp.html