可以将服务端点的信任服务操作连接至系统策略集和绑定。初始指定的每个新端点都具有下列四个操作:发布、更新、取消和验证。缺省情况下,所有端点都继承连接至 Trust Service Default 下各个信任服务操作的策略集和绑定。但是,可以显式地连接其他策略集。
开始之前
首先必须定义策略集和绑定。策略描述了提供的保护或服务质量(例如,消息安全性和传输等)。绑定指定一些有关如何实现此策略的详细信息,例如,密钥库文件的路径、令牌生成者的类名或 JAAS 配置名称。
要点: 仅将系统策略集与信任服务一起使用。请求者(客户机)必须仅利用 Java™ API
for XML-Based Web Services (JAX-WS)。使用 Java API for XML-based remote procedure call (JAX-RPC) 的请求者与策略集 QOS 不兼容。
根据启用安全性时为您指定的安全角色,您可能无法访问文本输入字段或按钮来创建或编辑配置数据。查阅管理角色文档,以了解有关应用程序服务器的有效角色的更多信息。
关于此任务
可以将新端点的信任服务操作连接至现有的策略集和绑定。对于每个指定的新服务端点,四个信任服务操作(取消、更新、验证和发布)将从继承连接更改为显式连接。四个操作连接至 Trust Service Default 中指定的各个策略集和绑定。然后,您可以将连接更改为现有的预期策略集和绑定。
端点策略集包含两个部分:引导程序部分和应用程序部分。连接至特定端点的发布和更新信任服务操作的系统策略集必须与该端点的策略集的引导程序部分相符。连接至特定端点的取消和验证信任服务操作的系统策略集必须与该端点的策略集的应用程序部分相符。
本任务描述如何管理要连接至系统策略集和绑定的服务端点 URL 的信任服务操作。要完成 WebSphere® Application
Server 信任服务的配置,还必须完成以下任务:
- 创建或管理目标。可以对新服务端点(目标)创建显式分配、管理显式分配了安全性令牌的端点或者管理继承 Trust Service Default 令牌的端点。
随产品提供的样本常规绑定最初设置为全局安全性(单元)缺省绑定。未对策略集连接指定任何特定于应用程序的绑定或信任服务绑定时,将使用缺省服务提供程序绑定和缺省服务客户机绑定。对于信任服务连接,未指定信任特定绑定时,将使用缺省绑定。如果不想将提供的提供程序样本用作缺省服务提供程序绑定,那么可以选择现有的常规提供程序绑定,或创建新的常规提供程序绑定以满足业务需求。同样,如果不想将提供的客户机样本用作缺省服务客户机绑定,那么可以选择现有的常规客户机绑定,也可以创建新的常规客户机绑定。要指定全局安全性(单元)缺省绑定,请使用管理控制台并单击。对于具有多个安全域的环境,可根据情况选择要用作域的缺省绑定的常规提供程序绑定和常规客户机绑定。有关缺省绑定的更多信息,请参阅主题“设置缺省策略集绑定”。
过程
- 要管理信任服务操作的系统策略集连接,请单击。 此列表显示了所有端点(至少包含一个连接了策略集的操作)以及 Trust Service Default。此列表还显示每个操作的系统策略集和绑定。
- 选择下列其中一个或多个操作以配置信任服务连接:
- 新建连接
- 打开一个新面板,可在该面板中指定服务端点 URL。对于每个指定的新服务端点,四个信任服务操作(取消、更新、验证和发布)将从继承连接更改为显式连接。四个操作连接至 Trust Service Default 中指定的各个策略集和绑定。可以更改这些初始连接。
- 连接
- 显示现有系统策略集的列表,其中包括缺省的信任相关系统策略集,服务端点中四个信任服务操作的各个信任服务操作都可以连接至这些策略集。首先,选择操作(例如,“取消”令牌),然后单击连接以显示可用系统策略集的列表。选择缺省或定制系统策略集进行连接。更改策略集连接时,绑定将自动更改为 Default。选择操作并单击指定绑定以更改绑定。
可选择的预先配置系统策略集包括:
- TrustServiceSecurityDefault
此信任策略集指定非对称算法以及公用和专用密钥来提供消息安全性。通过使用 RSA 对正文、时间戳记和 WS-Addressing 头进行数字签名来提供消息完整性。通过使用 RSA 对正文和签名进行加密来提供消息机密性。在发布和更新信任操作请求方面,此策略集遵循 WS-Security 规范。
- TrustServiceSymmetricDefault
此信任策略集指定对称算法以及派生的密钥算法以提供消息安全性。通过使用 HMAC-SHA1 对正文、时间戳记和 WS-Addressing 头进行数字签名来提供消息完整性。通过使用 AES 对正文和签名进行加密来提供消息机密性。在验证和取消信任操作请求方面,此策略集遵循 WS-Security 和 WS-SecureConversation 规范。
- SystemWSSecurityDefault
此系统策略集指定非对称算法以及公用和专用密钥以提供消息安全性。通过使用 RSA 加密对正文、时间戳记和 WS-Addressing 头进行数字签名来提供消息完整性。通过使用 RSA 加密对正文和签名进行加密来提供消息机密性。
- 继承操作缺省值
- 设置操作以继承各自的信任服务缺省信任服务策略集连接和绑定。如果选择连接进行修改,然后单击继承操作缺省值,那么将移除策略集和绑定的显式连接。随后,此操作将继承对缺省信任服务策略集和绑定所作的任何更改。
- 指定绑定
- 更改现有绑定。可以创建并指定新绑定、指定缺省绑定或者对各个所选信任服务连接指定现有信任服务特定绑定。
- 更新运行时
- 使用对信任服务连接、令牌提供程序和目标所作的任何配置更改来更新信任服务运行时。
- 可选: 通过单击列表中定制策略集的名称来修改该定制策略集。 根据需要编辑定制策略集的设置。只能查看缺省信任服务策略集信息。
不能编辑以下缺省信任策略集:TrustServiceSecurityDefault 和 TrustServiceSymmetricDefault,或者 SystemWSSecurityDefault。TrustServiceSecurityDefault 是发布和更新操作的缺省值。TrustServiceSymmetricDefault 是取消和验证操作的缺省值。
必须至少显式连接端点服务 URL 的一个信任服务操作,才能显示端点服务 URL。如果显式连接了操作,那么将显示系统策略集名。如果未显式连接任何策略集,那么将显示各个缺省信任服务策略集,其后跟有文本 (inherited)。
- 可选: 根据需要单击列表中绑定的名称来修改信任服务特定绑定。 根据需要编辑信任服务特定绑定的设置。对信任服务绑定的任何修改将影响引用该绑定的所有信任服务连接。
如果资源直接连接了策略集,那么将显示绑定名称或 Default。
- 将更改应用于信任服务运行时配置前保存更改。
- 单击更新运行时以使用对令牌提供程序、信任服务连接和目标所作的任何数据更改来更新信任服务运行时配置。 确认窗口是否显示取决于您是否选中了显示对更新运行时命令的确认复选框。展开首选项以查看此复选框。
- 可选: 如果出现此确认窗口,请确认或单击“取消”。 如果取消选中了显示对更新运行时命令的确认复选框,那么将直接进行所有更改,而不显示确认窗口。
结果
您提供了基本信息来创建或更新信任服务连接。对系统策略集和绑定配置了信任服务操作连接。
下一步做什么
也可以使用 wsadmin 工具为 WebSphere Application Server 信任服务创建新连接。wsadmin 工具示例都使用 Jython 脚本编制语言编写。