密钥信息配置设置
使用此页面来指定 XML 数字签名或 XML 加密的密钥所需的相关配置。
要查看管理控制台中单元级别的此密钥信息引用页面,请完成下列步骤:
- 单击 。
- 在“JAX-RPC 缺省生成器绑定”或“JAX-RPC 缺省使用者绑定”下面,单击密钥信息。
要查看管理控制台中服务器级别的此密钥信息引用页面,请完成下列步骤:
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“JAX-RPC 缺省生成器绑定”或“JAX-RPC 缺省使用者绑定”下面,单击密钥信息。
- 单击新建以创建新配置,或单击配置名称以修改其内容。
要查看管理控制台中应用程序级别的此密钥信息引用页面,请完成下列步骤。
注: 此选项在 V6.x 应用程序的应用程序级别上可用。
- 单击 。
- 在“模块”下,单击 。
- 在“其他属性”下,可以访问以下绑定的签名信息:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。
- 在“必需属性”下,单击密钥信息。
- 单击新建以创建新配置,或单击配置名称以修改其内容。
在“其他属性”下单击属性之前,您必须在密钥信息名称字段中输入一个值,并为“密钥信息类型和密钥定位器引用”选项选择一个选项。
密钥信息名
指定密钥信息配置的名称。
密钥信息类型
指定密钥信息的类型。密钥信息类型指定如何引用安全性令牌。
本产品支持下列类型的密钥信息。Web Services Security: SOAP Message Security 1.0(WS-Security 2004)对
每一类密钥信息都作了描述。
Web Services Security: X.509 Certificate Token Profile V1.0
对 X.509 发布者名称和发布者序列号作了描述。Web Services Security: SOAP Message Security 1.0(WS-Security 2004)对其他类型作了描述。
类型 | 描述 |
---|---|
密钥标识 | 安全性令牌通过使用唯一地识别令牌的不透明值进行引用。 |
密钥名 | 安全性令牌是使用与令牌内的身份断言匹配的名称引用的。 |
安全性令牌引用 | 使用此类型可以直接引用安全性令牌。 |
嵌入式令牌 | 具有此类型,可以嵌入安全性令牌引用。 |
X509 发布者名称和发布者序列 | 具有此类型,安全性令牌可以由 X.509 证书的发布者和序列号引用 |
如果为密钥信息类型选择密钥标识,那么可以在此面板上的以下字段中指定值:
- 编码方法
- 计算方法
- 值类型名称空间 URI
- 值类型局部名
密钥定位器引用
指定检索用于数字签名和加密的密钥时所用的引用。
指定密钥定位器引用前,必须配置密钥定位器。可以为以下绑定指定签署密钥配置:
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省使用者绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
缺省使用者绑定 | 服务器级别 |
|
请求发送方绑定 | 应用程序级别 |
|
响应接收方绑定 | 应用程序级别 |
|
请求接收方绑定 | 应用程序级别 |
|
响应发送方绑定 | 应用程序级别 |
|
请求生成者(发送方)绑定 | 应用程序级别 |
|
响应使用者(接收方)绑定 | 应用程序级别 |
|
请求使用者(接收方)绑定 | 应用程序级别 |
|
响应生成者(发送方)绑定 | 应用程序级别 |
|
密钥名引用
指定用于生成数字签名和加密的密钥的名称。
为缺省生成者显示此字段,并且还为 V6.x 应用程序的请求生成者和响应生成者显示此字段。
对于缺省生成者以及对于请求生成者和响应生成者,此字段显示。
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
请求生成者(发送方)绑定 | 应用程序级别 |
|
响应生成者(发送方)绑定 | 应用程序级别 |
|
令牌引用
指定用于处理安全性令牌的令牌生成者或令牌使用者的名称。
仅当在密钥信息类型字段中指定“安全性令牌引用”或“嵌入式令牌”时,应用程序服务器才需要此字段。当您为使用者指定密钥标识类型时,也需要令牌引用字段。指定令牌引用前,必须配置令牌生成者或令牌使用者。可以为以下级别上的以下绑定指定令牌配置:
绑定名 | 服务器级别、单元级别或应用程序级别 | 路径 |
---|---|---|
缺省生成器绑定 | 单元级别 |
|
缺省使用者绑定 | 单元级别 |
|
缺省生成器绑定 | 服务器级别 |
|
缺省使用者绑定 | 服务器级别 |
|
请求生成者(发送方)绑定 | 应用程序级别 |
|
响应使用者(接收方)绑定 | 应用程序级别 |
|
请求使用者(接收方)绑定 | 应用程序级别 |
|
响应生成者(发送方)绑定 | 应用程序级别 |
|
编码方法
指定表明密钥标识的编码格式的编码方法。
当您在“密钥信息类型”字段中指定密钥标识时,此字段有效。本产品支持下列编码方法:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
此字段仅可用于缺省生成器绑定。
计算方法
当您在密钥信息类型字段中指定密钥标识时,此字段有效。本产品支持下列计算方法:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
此字段仅可用于生成器绑定。
值类型名称空间 URI
为密钥标识所引用的安全性令牌指定值类型的名称空间统一资源标识 (URI)。
当您在密钥信息类型字段中指定密钥标识时,此字段有效。指定 X.509 证书令牌时,不需要指定此选项。如果您要指定另一个令牌,那么为值类型指定 QName 的 URI。
本产品为轻量级第三方认证 (LTPA) 令牌提供了下列预定义的值类型 URI:
- http://www.ibm.com/websphere/appserver/tokentype
- http://www.ibm.com/websphere/appserver/tokentype/5.0.2
此字段仅可用于生成器绑定。
值类型局部名
为密钥标识所引用的安全性令牌指定值类型的局部名。
当在相应的名称空间 URI 中使用此局部名时,此信息称为值类型限定名或 QName。
当您在密钥信息类型字段中指定密钥标识时,此字段有效。指定 X.509 证书令牌时,建议您使用预定义的局部名。当您指定预定义局部名时,您不需要指定值类型的 URI。本产品提供了下列预定义局部名:
- X.509 证书令牌
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath 格式的 X.509 证书
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7 中的 X509 证书和 CRL 列表
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- 轻量级第三方认证 (LTPA)
- LTPA_PROPAGATION
注意: 对于 LTPA,值类型局部名是 LTPA。如果您输入局部名 LTPA,那么也必须在值类型 URI 字段中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 值。对于 LTPA 令牌传播来说,值类型局部名是
LTPA_PROPAGATION。如果输入 LTPA_PROPAGATION
作为局部名,那么还必须在值类型 URI 字段中指定 http://www.ibm.com/websphere/appserver/tokentype URI 值。对于其他预定义值类型(用户名令牌、X509 证书令牌、PKIPath
中的 X509 证书以及 PKCS#7 中的 X509 证书和 CRL 的列表),值类型局部名字段的值以 http:// 开头。例如,如果您正在为值类型指定用户名令牌,那么在值类型局部名字段中输入
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken,而不需要在“值类型 URI”字段中输入值。
当为定制令牌指定定制值类型时,可以指定值类型的限定名 (QName) 的局部名和 URI。例如,可以为局部名指定 Custom,并为 URI 指定 http://www.ibm.com/custom。
此字段也仅可用于生成器绑定。