JAX-RPC 的缺省样本配置

将样本配置与管理控制台配合使用来进行测试。会在单元或服务器级别上反映您指定的配置。

此信息描述使用 API for XML-based RPC (JAX-RPC) 编程模型时,WebSphere® Application Server 的样本缺省绑定、密钥库、密钥定位器、证书集合库、信任锚和可信标识鉴别程序。可以使用 Java™ API for XML-based RPC (JAX-RPC) 编程模型来开发 Web Service,或者对于 WebSphere Application Server V7 和更高版本,可以使用 Java API for XML-Based Web Services (JAX-WS) 编程模型来开发 Web Service。根据您使用的编程模型,样本缺省绑定、密钥库、密钥定位器、证书集合库、信任锚和可信标识鉴别程序可能有所不同。

最佳实践 最佳实践: IBM® WebSphere Application Server 支持 Java API for XML-Based Web Services (JAX-WS) 编程模型以及 Java API for XML-based RPC (JAX-RPC) 编程模型。JAX-WS 是下一代 Web Service 编程模型,用于扩展 JAX-RPC 编程模型所提供的基础。使用策略 JAX-WS 编程模型,借助基于标准的注释模型的支持,简化了 Web Service 和客户机的开发。虽然仍支持 JAX-RPC 编程模型和应用程序,但应该利用易于实现的 JAX-WS 编程模型来开发新的 Web Service 应用程序和客户机。best-practices

当这些配置仅供样本和测试使用时,请不要将它们用于生产环境中。要对这些样本配置进行修改,建议您使用由 WebSphere Application Server 提供的管理控制台。

对于启用了 Web Service 安全性的应用程序,您必须正确配置部署描述符和绑定。在 WebSphere Application Server 中,应用程序共享一组缺省绑定,以使应用程序部署变得更容易。单元级和服务器级别缺省绑定信息可以由应用程序级别上的绑定信息覆盖。Application Server 在搜索服务器级别前先搜索应用程序级别上应用程序的绑定信息,然后再搜索单元级别。

使用API for XML-based RPC (JAX-RPC) 编程模型时,WebSphere Application Server 具有以下样本配置。

缺省生成器绑定

WebSphere Application Server 提供了一组缺省生成器绑定样本。缺省生成器绑定包含签名信息和加密信息。

样本签署信息配置称为 gen_signinfo 并包含以下配置:
  • 将以下算法用于 gen_signinfo 配置:
    • 签名方法:http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法:http://www.w3.org/2001/10/xml-exc-c14n#
  • 引用 gen_signkeyinfo 签署密钥信息。以下信息适合 gen_signkeyinfo 配置:
    • 包含称为 gen_signpart 的部分参考配置。部分参考未用于缺省绑定中。签署信息适用于部署描述符中的所有 Integrity 或 Required Integrity 元素,并且这些信息仅供命名使用。以下信息适合 gen_signpart 配置:
      • 使用称为 transform1 的转换配置。为缺省签署信息配置以下转换:
        • 使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法
        • 使用 http://www.w3.org/2000/09/xmldsig#sha1 摘要方法
    • 使用安全性令牌引用,其是已配置的缺省密钥信息。
    • 使用 SampleGeneratorSignatureKeyStoreKeyLocator 密钥定位器。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 使用 gen_signtgen 令牌生成器,它包含下列配置:
      • 包含 X.509 令牌生成器,其生成签署者的 X.509 令牌。
      • 包含 gen_signtgen_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型局部名值。
    • 使用 X.509 回调处理程序。回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库。
      • 密钥库密码为 client
      • 可信证书的别名为 soapca
      • 个人证书的别名为 soaprequester
      • 中间认证中心 Int CA2 发出了密钥密码 client,该中间认证中心又是由 soapca 发出的。
样本加密信息配置称为 gen_encinfo 并包含以下配置:
  • 将以下算法用于 gen_encinfo 配置:
    • 数据加密方法:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 密钥加密方法:http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 引用 gen_enckeyinfo 加密密钥信息。以下信息适合 gen_enckeyinfo 配置:
    • 将密钥标识用作缺省密钥信息。
    • 包含对 SampleGeneratorEncryptionKeyStoreKeyLocator 密钥定位器的引用。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 使用 gen_signtgen 令牌生成器,其具有以下配置:
      • 包含 X.509 令牌生成器,其生成签署者的 X.509 令牌。
      • 包含 gen_enctgen_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型局部名值。
    • 使用 X.509 回调处理程序。回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 密钥库。
      • 密钥库密码为 storepass
      • 密钥 CN=Group1 具有别名 Group1 和密钥密码 keypass
      • 公用密钥 CN=Bob, O=IBM, C=US 具有别名 bob 和密钥密码 keypass
      • 专用密钥 CN=Alice, O=IBM, C=US 具有别名 alice 和密钥密码 keypass

缺省使用者绑定

WebSphere Application Server 提供了一组缺省使用者绑定样本。缺省使用者绑定包含签署信息和加密信息。

样本签署信息配置称为 con_signinfo 并包含以下配置:
  • 将以下算法用于 con_signinfo 配置:
    • 签名方法:http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法:http://www.w3.org/2001/10/xml-exc-c14n#
  • 使用 con_signkeyinfo 签署密钥信息参考。以下信息适合 con_signkeyinfo 配置:
    • 包含称为 con_signpart 的部分参考配置。部分参考未用于缺省绑定中。签署信息适用于部署描述符中的所有 Integrity 或 RequiredIntegrity 元素,并且这些信息仅供命名使用。以下信息适合 con_signpart 配置:
      • 使用称为 reqint_body_transform1 的转换配置。为缺省签署信息配置以下转换:
        • 使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
        • 使用 http://www.w3.org/2000/09/xmldsig#sha1 摘要方法。
    • 使用安全性令牌引用,其是已配置的缺省密钥信息。
    • 使用 SampleX509TokenKeyLocator 密钥定位器。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 请参考 con_signtcon 令牌使用者配置。以下信息适合 con_signtcon 配置:
      • 使用 X.509 令牌使用者,其配置为缺省签署信息的使用者。
      • 包含 signtconsumer_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型局部名值。
    • 包含称为 system.wssecurity.X509BST 的 JAAS 配置,其参考以下信息:
      • 信任锚:SampleClientTrustAnchor
      • 证书集合库:SampleCollectionCertStore
加密信息配置称为 con_encinfo 并包含以下配置:
  • 将以下算法用于 con_encinfo 配置:
    • 数据加密方法:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 密钥加密方法:http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 引用 con_enckeyinfo 加密密钥信息。此密钥实际上会解密消息。以下信息适合 con_enckeyinfo 配置:
    • 使用密钥标识,其配置为缺省加密信息的密钥信息。
    • 包含对 SampleConsumerEncryptionKeyStoreKeyLocator 密钥定位器的引用。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 请参考 con_enctcon 令牌使用者配置。以下信息适合 con_enctcon 配置:
      • 使用 X.509 令牌使用者,其是为缺省加密信息配置的。
      • 包含 enctconsumer_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型局部名值。
    • 包含称为 system.wssecurity.X509BST 的 JAAS 配置。

样本密钥库配置

[Windows]WebSphere Application Server 提供了以下密钥库。可以通过 iKeyman 实用程序或密钥工具在 Application Server 外部使用这些密钥库。
[AIX HP-UX Solaris][Linux]WebSphere Application Server 提供了以下密钥库。可以通过 iKeyman 实用程序或密钥工具在 Application Server 外部使用这些密钥库。
  • iKeyman 实用程序位于以下目录中:app_server_root\bin\ikeyman.sh
  • 密钥工具位于以下目录中:app_server_root\java\jre\bin\keytool.sh

以下样本密钥库仅供测试使用;不要将这些密钥库用于生产环境中:

  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • 密钥库格式为 JKS
    • 密钥库密码为 client
    • 可信证书具有 soapca 别名。
    • 个人证书具有 soaprequester 别名和 client 密钥密码,由 soapca 依次发出 Int CA2 中介认证中心发出的 client 密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • 密钥库格式为 JKS
    • 密钥库密码为 server
    • 可信证书具有 soapca 别名。
    • 个人证书具有 soapprovider 别名和 server 密钥密码,由 soapca 依次发出 Int CA2 中介认证中心发出的 server 密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • 密钥库格式为 JCEKS
    • 密钥库密码为 storepass
    • CN=Group1 DES 密钥具有 Group1 别名和 keypass 密钥密码。
    • CN=Bob, O=IBM, C=US 公用密钥具有 bob 别名和 keypass 密钥密码。
    • CN=Alice, O=IBM, C=US 专用密钥具有 alice 别名和 keypass 密钥密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • 密钥库格式为 JCEKS
    • 密钥库密码为 storepass
    • CN=Group1 DES 密钥具有 Group1 别名和 keypass 密钥密码。
    • CN=Bob, O=IBM, C=US 专用密钥具有 bob 别名和 keypass 密钥密码。
    • CN=Alice, O=IBM, C=US 公用密钥具有 alice 别名和 keypass 密钥密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • 中介证书由 soapca 签署,并且它还会签署 soaprequestersoapprovider

样本密钥定位器

使用密钥定位器查找用于数字签名、加密和解密的密钥。有关如何修改这些样本密钥定位器配置的信息,请参阅以下文章:
SampleClientSignerKey
V5.x 应用程序的请求发送方使用此密钥定位器来签署 SOAP 消息。签署的密钥名为 clientsignerkey,它在签署信息中作为签署密钥名引用。
SampleServerSignerKey
V5.x 应用程序的响应发送方使用此密钥定位器来签署 SOAP 消息。签署密钥名为 serversignerkey,它可在签署信息中作为签署密钥名引用。
SampleSenderEncryptionKeyLocator
V5.x 应用程序的发送方使用此密钥定位器来对 SOAP 消息加密。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 密钥库和 com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 密钥库密钥定位器。为 DES 密钥配置此实现。要使用非对称加密 (RSA),您必须添加适当的 RSA 密钥。
SampleReceiverEncryptionKeyLocator
V5.x 应用程序的接收方使用此密钥定位器来对已加密的 SOAP 消息进行解密。此实现配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库和 com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 密钥库密钥定位器。为对称加密(DES 或 TRIPLEDES)配置此实现。要使用 RSA,您必须添加专用密钥 CN=Bob, O=IBM, C=US、别名 bob 和密钥密码 keypass
SampleResponseSenderEncryptionKeyLocator
V5.x 应用程序的响应发送方使用此密钥定位器来对 SOAP 响应消息进行加密。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库的 com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator 密钥库密钥定位器。此密钥定位器将已认证标识(当前线程的)映射至用于加密的公用密钥。缺省情况下,WebSphere Application Server 配置为映射至公用密钥 alice,所以您必须更改 WebSphere Application Server 以映射至适当的用户。SampleResponseSenderEncryptionKeyLocator 密钥定位器还可设置用于加密的缺省密钥。缺省情况下,此密钥定位器配置为使用公用密钥 alice
SampleGeneratorSignatureKeyStoreKeyLocator
此密钥定位器供生成器使用以标记 SOAP 消息。签署的密钥名为 SOAPRequester,它在签署信息中作为签署密钥名引用。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleConsumerSignatureKeyStoreKeyLocator
此密钥定位器供使用者使用以验证 SOAP 消息中的数字签名。签署的密钥为 SOAPProvider,在签署信息中被引用。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleGeneratorEncryptionKeyStoreKeyLocator
此密钥定位器供生成器使用以加密 SOAP 消息。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleConsumerEncryptionKeyStoreKeyLocator
此密钥定位器供使用者使用以解密已加密的 SOAP 消息。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleX509TokenKeyLocator
此密钥定位器供使用者使用以验证 X.509 证书中的数字证书。它配置为使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。

样本证书集合库

证书集合库用于验证证书路径。有关如何修改此样本证书集合库的信息,请参阅以下文章:
SampleCollectionCertStore
此证书集合库供响应使用者和请求生成者使用以验证签署者证书路径。

样本信任锚

信任锚用于验证签署者证书的信任度。有关如何修改样本信任锚配置的信息,请参阅以下文章:
SampleClientTrustAnchor
此信任锚供响应使用者使用以验证签署者证书。此信任锚配置为访问 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库。
SampleServerTrustAnchor
此信任锚供请求使用者使用以验证签署者证书。此信任锚配置为访问 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库。

样本可信标识鉴别程序

可信标识鉴别程序用于在声明身份断言中的标识之前建立信任。有关如何修改样本可信标识鉴别程序配置 的信息,请参阅配置服务器或单元级别的可信标识鉴别程序
SampleTrustedIDEvaluator
此可信标识鉴别程序使用 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 实现。com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 的缺省实现包含可信身份的列表。(用于身份断言的)此列表定义可信标识的密钥名/值对。密钥名的格式为 trustedId_*,值为可信标识。有关更多信息,请参阅配置服务器或单元级别的可信标识鉴别程序中的示例。
完成以下步骤以在管理控制台中为单元级别定义此信息。
  1. 单击安全性 > Web Service
  2. 在“其他属性”下,单击可信标识鉴别程序> SampleTrustedIDEvaluator

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defaultconfigjaxrpc
文件名:cwbs_defaultconfigjaxrpc.html