信任锚
信任锚指定包含可信根证书的密钥库。这些证书用来验证嵌入在 SOAP 消息中的 X.509 证书。
当使用具有 JAX-RPC 编程模块的 WebSphere® Application Server 时,下列消息点实现这些密钥库来验证用于数字签名或 XML 加密的 X.509 证书:
- 请求使用者,如在 ibm-webservices-bnd.xmi 文件中定义的那样。
- 响应使用者,如在 ibm-webservicesclient-bnd.xmi 文件中定义的那样(当 Web Service 正在充当另一个 Web Service 的客户机时)。
关于 WebSphere Application
Server V7.0 及更高版本(使用 JAX-WS),下列消息点使用这些密钥库来验证用于数字签名或 XML 加密的 X.509 证书:
- 请求使用者,如在 WS-Security 绑定的入站密钥和证书中定义的那样。
- 响应使用者,如在 WS-Security 绑定的入站密钥和证书中定义的那样(当 Web Service 正在充当另一个 Web Service 的客户机时)。
密钥库对于数字签名验证的完整性而言很重要。如果密钥库被篡改,那么数字签名验证结果将不可信。因此,建议您保护这些密钥库。为使用者指定的绑定配置信息必须与为生成器指定的绑定配置信息匹配。
信任锚在 Java™ CertPath 应用程序接口 (API) 中定义为 java.security.cert.TrustAnchor。Java CertPath API 使用信任锚和证书库来验证嵌入在 SOAP 消息中的入局 X.509 证书。WebSphere Application Server 中的 Web Service 安全性实现支持此信任锚。在 WebSphere Application Server 中,信任锚表示为 Java 密钥库对象。密钥库的类型、路径和密码通过管理控制台或脚本编制传递给实现。