在服务器或单元级别使用 JAX-RPC 为使用者绑定配置签名信息
在服务器或单元级别为客户机端请求生成器和服务器端响应生成器绑定配置签名信息。
开始之前
注: 仅对于 WebSphere® Application Server V6.x 或更早版本,在服务器端扩展文件 (ibm-webservices-ext.xmi) 和客户机端部署描述符扩展文件 (ibm-webservicesclient-ext.xmi) 中,您必须指定签署消息的哪些部分。同样,您需要配置由管理控制台内签名信息面板上的密钥信息引用引用的密钥信息。
关于此任务
本任务说明为服务器或单元级别的客户机端请求生成器和服务器端响应生成器绑定配置签名信息所需的步骤。如果未在应用程序级别定义这些绑定,那么 WebSphere Application Server 使用缺省生成器的签名信息来签署消息的部件,包括主体、时间戳记和用户名令牌。应用程序服务器提供绑定的缺省值。但是,管理员必须修改生产环境的缺省值。
可以在服务器级别和单元级别上配置使用者绑定的签名信息。在以下步骤中,使用第一步访问服务器级别的缺省绑定,使用第二步访问单元级别绑定。
过程
- 访问服务器级别的缺省绑定。
- 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Service 安全性的缺省绑定。mixv
- 单击安全性 > Web Service 以访问单元级别的缺省绑定。
- 在“缺省使用者绑定”下,单击签名信息。
- 单击新建创建签名信息配置,单击删除删除现有配置,或者单击现有签名信息配置的名称以编辑设置。 如果您正在创建新配置,那么在“签名信息名称”字段中输入签署配置的唯一名称。例如,您可以指定 gen_signinfo。
避免故障: 如果创建多个签名信息配置,那么 WS-Security 运行时环境只使用绑定文件中所列的第一个配置。gotcha
- 从“签名方法”字段中选择签名方法算法。 为缺省使用者指定的算法必须匹配为缺省生成器指定的算法。WebSphere Application Server 支持以下预先配置的算法:
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1
如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法。在基于对称密钥的 SIGNATURE 中,任何 ds:SignatureMethod/@Algorithm 元素都必须具有 http://www.w3.org/2000/09/xmldsig#rsa-sha1 值或 http://www.w3.org/2000/09/xmldsig#hmac-sha1 值。
- 从“规范方法”字段中选择规范方法。 您为生成器指定的规范算法必须匹配使用者的算法。WebSphere Application Server 支持以下预配置的规范 XML 和互斥 XML 规范算法:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- 从“密钥信息签名类型”字段中选择密钥信息签名类型。 密钥信息签名类型确定如何对密钥进行数字签名。WebSphere Application
Server 支持以下签名类型:
- None
- 指定不签署 KeyInfo 元素。
- Keyinfo
- 指定签署整个 KeyInfo 元素。
- Keyinfochildelements
- 指定签署 KeyInfo 元素的子元素。
使用者的密钥信息签名类型必须匹配生成器的签名类型。您可能遇到以下情况:- 如果您未指定某个先前的签名类型,那么缺省情况下,WebSphere Application Server 使用 keyinfo。
- 如果选择 Keyinfo 或 Keyinfochildelements 并在后续步骤中选择 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 作为变换算法,那么 WebSphere Application Server 还签署引用的令牌。
- 单击确定保存配置。
- 单击新的签名信息配置的名称。 此配置是您在先前步骤中指定的配置。
- 指定密钥信息引用、部件引用、摘要算法和变换算法。
- 在“其他属性”下,单击密钥信息引用 > 新建以创建新的引用,单击密钥信息引用 > 删除以删除现有的引用,或单击引用名称以编辑现有密钥信息引用。
- 在“名称”字段中输入配置的名称。 例如,输入 con_skeyinfo。
- 从“密钥信息引用”字段中选择密钥信息引用。 密钥信息引用指向 WebSphere Application Server 用于数字签名的密钥。在绑定文件中,<signingKeyInfo> 元素内指定了该参考。 用于签名的密钥由密钥信息元素指定,它被定义在与签名信息相同的级别。有关更多信息,请参阅在应用程序级别使用 JAX-RPC 为使用者绑定配置密钥信息。
- 单击确定和保存以保存配置。
- 在“其他属性”下,单击部件引用 > 新建以创建新的部件引用,单击部件引用 > 删除以删除现有部件引用,或者单击部件名以编辑现有部件引用。 该部件引用指定要进行数字签署的消息部件。当为数字签名指定 <PartReference> 时,part 属性引用部署描述符中的 <RequiredIntegrity> 元素的名称。WebSphere Application Server 使您能为 <SigningInfo> 元素指定多个 <PartReference> 元素。<PartReference> 元素具有两个子元素:<DigestMethod> 和 <Transform>。
- 为此部件引用指定唯一的部分名。 例如,您可以指定 reqint。要点: 不需要像在应用程序级别上指定值那样为“部件引用”字段指定值,因为应用程序级别上的部件引用指向签署的特定消息部件。 因为服务器和单元级别缺省绑定适用于特定服务器上定义的所有服务,所以您不能指定此值。
- 在摘要方法算法字段中选择摘要方法算法。 <SigningInfo> 元素使用 <DigestMethod> 元素中指定的摘要方法算法。WebSphere Application Server 支持以下算法:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- 单击确定和保存以保存配置。
- 单击新的部件引用配置的名称。 此配置是您在先前步骤中指定的配置。
- 在“其他属性”下,单击转换 > 新建创建新转换,单击转换 > 删除以删除转换,或者单击转换名以编辑现有转换。 如果您创建新的转换配置,那么指定唯一的名称。例如,您可以指定 reqint_body_transform1。
- 从菜单中选择变换算法。 在 <Transform> 元素中指定了变换算法。它指定该签名的变换算法。WebSphere Application
Server 支持以下算法:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此变换算法。相反,请使用 http://www.w3.org/2002/06/xmldsig-filter2 来确保一致性。
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
您为使用者选择的变换算法必须匹配为生成器选择的变换算法。
要点: 如果以下两个条件都成立,那么 WebSphere Application Server 签署引用的令牌:- 您先前从签署面板上的“密钥信息签名类型”字段中选择了 Keyinfo 或 Keyinfochildelements 选项。
- 您将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 选为变换算法。
- 单击确定。
- 单击保存以保存配置。
结果
下一步做什么


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfoconssvrcell
文件名:twbs_configsigninfoconssvrcell.html