在应用程序级别使用 JAX-RPC 为使用者绑定配置密钥信息

可在应用程序级别为请求使用者(服务器端)和响应使用者(客户机端)绑定配置密钥信息。

开始之前

配置由密钥信息面板中的“密钥定位器引用”和“令牌引用”字段引用的密钥定位器和令牌使用者。

关于此任务

本任务提供为请求使用者(服务器端)和响应使用者(客户机端)绑定配置应用程序级别的密钥信息所需的步骤。使用者端上的密钥信息用于指定关于密钥的信息,用于验证接收消息中的数字签名或者用于解密消息的加密部件。完成以下步骤在应用程序级别上配置使用者绑定的密钥信息。

过程

  1. 在管理控制台中找到密钥信息配置面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下面,可以访问请求使用者绑定和响应使用者绑定的密钥信息。
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全性绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全性绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“必需属性”下面,单击密钥信息
    5. 单击下列其中一项以进行密钥信息配置:
      新建
      创建密钥信息配置。在“密钥信息名称”字段中输入名称。例如,您可以指定 con_signkeyinfo
      删除
      通过选中某个配置旁边的框来删除该配置。
      现有密钥信息配置
      编辑密钥信息配置的设置。
  2. 从“密钥信息类型”字段中选择密钥信息类型。 这些密钥信息类型为使用 <ds:KeyInfo> 元素中的 <wsse:SecurityTokenReference> 元素引用安全性令牌指定不同的机制。WebSphere® Application Server 支持以下密钥信息类型:
    密钥标识
    安全性令牌通过使用唯一地识别令牌的不透明值进行引用。用于生成 <KeyIdentifier> 元素值的算法取决于令牌类型。例如,您可以使用请求评论 (RFC) 3280 的因特网工程任务组织 (IETF) 中定义的公用密钥的标识。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
          /oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
          /62wXO...
          </wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    密钥名
    安全性令牌是使用与令牌内的身份断言匹配的名称引用的。建议您不要使用此密钥类型,因为它可能导致多个安全性令牌匹配指定的名称。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>

    通常,当您使用 Key-Hashing Message Authentication Code (HMAC) 数字签名算法(如 http://www.w3.org/2000/09/xmldsig#hmac-sha1)时,使用密钥名称。

    安全性令牌引用
    使用统一资源标识 (URI) 直接引用该安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI='#SomeCert'
           ValueType="http://docs.oasis-open.org/wss/2004/01/
              oasis-200401-wss-x509-token-profile-1.0#X509v3" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    注意:Web Services 互操作性组织 (WS-I) 基本安全概要文件 V1 草稿中表明的以及先前示例中显示的那样,wsse:SECURE_ENVELOPE 中的引用元素必须拥有值类型属性。
    嵌入式令牌
    在 <SecurityTokenReference> 元素中直接嵌入了安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             …
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    X509 发布者名称和发布者序列
    安全性令牌由 X.509 证书的发布者名称和发布者序列号引用。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    在位于 http://www.oasis-open.org/home/index.php 中 Web Service 安全性下的 Web Service 安全性: SOAP Message Security 1.0 (WS-Security 2004) OASIS standard 中描述了每种类型的密钥信息。
  3. 从“密钥定位器引用”字段选择密钥定位器引用。 此字段的值是对密钥定位器的引用,WebSphere Application Server 使用该密钥定位器来查找用于数字签名和加密的密钥。 选择密钥定位器前,必须配置密钥定位器。有关配置密钥定位器的更多信息,请参阅在应用程序级别使用 JAX-RPC 配置使用者绑定的密钥定位器
  4. 从“令牌引用”字段中选择令牌引用。 该令牌引用指定对用于处理消息中的安全性令牌的令牌使用者的引用。但是,仅当您在“密钥信息类型”字段中选择安全性令牌引用或嵌入式令牌时,WebSphere Application Server 才需要此字段。指定令牌引用前,必须配置令牌使用者。有关配置令牌使用者的更多信息,请参阅在应用程序级别使用 JAX-RPC 配置令牌使用者以保护消息真实性

    如果此密钥信息配置不需要令牌使用者,那么选择(无)

  5. 单击确定保存以保存此配置。

结果

已在应用程序级别为请求和/或响应使用者绑定配置密钥信息。

下一步做什么

如果没有为生成器绑定配置密钥信息,那么必须为生成者指定类似的密钥信息配置。在为使用者和生成者配置密钥信息后,配置签名信息或加密信息,这引用此密钥信息任务中指定的密钥信息。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfoconsapp
文件名:twbs_configkeyinfoconsapp.html