在服务器或单元级别使用 JAX-RPC 配置密钥定位器
缺省生成器绑定的密钥定位器信息指定如果未定义应用程序级别的这些绑定,使用何种密钥定位器实现来找到用于签名和加密信息的密钥。
关于此任务
缺省使用者绑定的密钥定位器信息指定如果未定义应用程序级别的这些绑定,使用何种密钥定位器实现来找到用于签名验证或解密的密钥。WebSphere® Application Server 为绑定提供缺省值。但是,必须修改生产环境的缺省值。
可以在服务器级别和单元级别上配置密钥定位器。在以下步骤中,使用第一步访问服务器级别的缺省绑定,使用第二步访问单元级别绑定。
过程
- 访问服务器级别的缺省绑定。
- 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定。mixv
- 单击安全性 > Web Service 以访问单元级别的缺省绑定。
- 在“其他属性”下面,单击密钥定位器。 您可以在此位置为缺省生成者和缺省使用者配置密钥定位器配置。
- 单击下列其中一项以进行密钥定位器配置:
- 新建
- 创建密钥定位器配置。在密钥定位器名称字段中输入密钥定位器配置的唯一名称。例如,您可以指定 sig_klocator。
- 删除
- 删除现有配置
- 现有密钥定位器配置
- 编辑现有配置的设置。
- 在密钥定位器类名字段中指定密钥定位器类实现的名称。 与 V6.0.x 应用程序相关联的密钥定位器必须实现 com.ibm.wsspi.wssecurity.keyinfo.KeyLocator 接口。注: 此接口仅对 JAX-RPC 应用程序有效。对于 JAX-WS 应用程序,Java™ 认证和授权服务 (JAAS) 登录模块实现用来在生成器端创建安全性令牌和在使用者端验证(认证)安全性令牌。WebSphere Application Server 为 V6.0.x 应用程序提供以下缺省密钥定位器类实现:
- com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
- 此实现从指定的密钥库文件查找并获取密钥。
- com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
- 此实现使用签署者证书的公用密钥。此类实现由响应生成者使用。
- com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
- 此实现使用发送方消息的 X.509 安全性令牌进行数字签名验证和加密。此类实现由请求使用者和响应使用者使用。
例如,如果您需要配置成为签名信息的密钥定位器,那么可能指定 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator 实现。
- 指定密钥库密码、密钥库位置和密钥库类型。 密钥库文件包含公用和专用密钥、根认证中心 (CA) 证书和中间 CA 证书等等。从密钥库文件获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。如果您为密钥定位器类实现指定了
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 实现,那么您必须指定密钥库密码、位置和类型。
- 在密钥库密码字段中指定密码。 此密码用于访问密钥库文件。
- 在密钥库路径字段中指定密钥库文件的位置。
- 从密钥库类型字段中选择密钥库类型。 使用的 Java 密码术扩展 (JCE) 支持以下密钥库类型:
- JKS
- 如果没有使用 Java 密码术扩展(JCE)并且密钥库文件使用 Java 密钥库(JKS)格式,请使用此选项。
- JCEKS
- 如果您使用 Java 密码术扩展,请使用此选项。
JCERACFKS
如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
- PKCS11
- 如果密钥库文件使用 PKCS#11 文件格式,请使用此格式。使用此格式的密钥库文件可能包含加密硬件上的 Rivest Shamir Adleman (RSA) 密钥,或者包含使用加密硬件的加密密钥来确保安全。
- PKCS12
- 如果密钥库文件使用 PKCS#12 文件格式,请使用此选项。
WebSphere Application Server 在 ${USER_INSTALL_ROOT}/etc/ws-security/samples 目录中提供了某些样本密钥库文件。 例如,您可能为加密密钥使用 enc-receiver.jceks 密钥库文件。此文件的密码为 storepass,类型为 JCEKS。
限制: 不要在生产环境中使用这些密钥库文件。这些样本的提供仅用于测试目的。
- 单击确定和保存以保存配置。
- 在“其他属性”下面,单击密钥。
- 单击下列其中一项以进行密钥配置:
- 新建
- 创建密钥配置。在密钥名称字段中输入唯一名称。您必须使用密钥名的标准专有名称。例如,您可能使用 CN=Bob,O=IBM,C=US。
- 删除
- 删除现有配置。
- 现有密钥配置
- 编辑现有配置的设置。
- 在密钥别名字段中指定别名。 该密钥别名由密钥定位器用于搜索密钥库文件中的密钥对象。
- 在密钥密码字段中指定密码。 该密码用于访问密钥库文件中的密钥对象。
- 单击确定,然后单击保存保存配置。
结果
下一步做什么


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeylocsvrcell
文件名:twbs_configkeylocsvrcell.html