在应用程序级别使用 JAX-RPC 配置生成器绑定的密钥信息

该密钥信息用于指定生成数字签名和加密的密钥所需的配置。签名信息和加密信息配置可共享密钥信息,所以他们将在同一级别定义。

开始之前

开始本任务前,配置由密钥信息面板中的“密钥定位器引用”和“令牌引用”字段引用的密钥定位器和令牌使用者。

关于此任务

此任务提供为请求生成者(客户端)和响应生成者(服务器端)绑定配置应用程序级别的密钥信息所需的步骤。

完成以下信息在应用程序级别上配置生成器绑定的密钥信息:

过程

  1. 在管理控制台中找到密钥信息配置面板。
    1. 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name
    2. 在“管理模块”下面,单击 URI_name
    3. 在“Web Service 安全性属性”下,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
      • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制
      • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击密钥信息
    5. 单击新建创建密钥信息配置,选中现有配置旁边的框并单击删除删除该配置,或者单击现有签名信息配置的名称以编辑其设置。 如果您正在创建新配置,那么在“密钥信息名称”字段中输入名称。例如,您可以指定 gen_signkeyinfo
  2. 从“密钥信息类型”字段中选择密钥信息类型。 密钥信息类型指定如何引用安全性令牌。WebSphere® Application Server 支持以下密钥信息类型:
    密钥标识
    安全性令牌通过使用唯一地识别令牌的不透明值进行引用。用于生成 <KeyIdentifier> 元素值的算法取决于令牌类型。例如,使用安全性令牌的一系列重要元素来生成 <KeyIdentifier> 元素值。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...
          </wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    密钥名
    安全性令牌是使用与令牌内的身份断言匹配的名称引用的。建议您不要使用此密钥类型,因为它可能导致多个安全性令牌匹配指定的名称。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>
    安全性令牌引用
    使用统一资源标识 (URI) 直接引用该安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI="#mytoken" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    嵌入式令牌
    在 <SecurityTokenReference> 元素中直接嵌入了安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             ...
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    X509 签发者名称和签发者序列
    安全性令牌由 X.509 证书的发布者名称和发布者序列号引用。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US
               </ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879
                </ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    在位于 http://www.oasis-open.org/home/index.php 中 Web Service 安全性下的 Web Service 安全性: SOAP Message Security 1.0 (WS-Security 2004) OASIS standard 中描述了每种类型的密钥信息。
  3. 从“密钥定位器引用”字段选择密钥定位器引用。 此引用指定密钥定位器,WebSphere Application Server 使用它来找到用于数字签名和加密的密钥。 选择密钥定位器前,必须配置密钥定位器。要获取关于配置密钥定位器的更多信息,请参阅下文:
  4. 单击获取密钥以查看密钥名引用的列表。 在单击获取密钥后,在密钥名引用菜单中显示了 <sig_klocator> 元素中定义的密钥名。如果您更改了密钥定位器引用,那么必须再次单击获取密钥以显示与新密钥定位器相关的密钥名列表。
  5. 从“密钥名引用”字段中选择密钥名引用。 此引用指定用于生成数字签名和加密的密钥的名称。提供的密钥名列表来自密钥定位器引用指定的密钥定位器。
  6. 从“令牌引用”字段中选择令牌引用。 此令牌引用指定用于处理安全性令牌的令牌生成者的名称。但是,仅当您在“密钥信息类型”字段中选择安全性令牌引用或嵌入式令牌时,WebSphere Application Server 才需要此字段。指定令牌引用前,必须配置令牌生成者。有关配置令牌生成者的更多信息,请参阅在应用程序级别使用 JAX-RPC 配置令牌生成者来保护消息真实性
  7. 可选: 如果在此面板上将密钥标识选为密钥信息类型,那么必须指定编码方法、计算方法、值类型名称空间 URI 和值类型局部名。
    1. 从“编码方法”字段中选择编码方法。 该编码方法指定密钥标识的编码格式。 WebSphere Application Server 支持以下编码方法:
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
    2. 从“计算方法”字段中选择计算方法。 WebSphere Application Server 支持以下计算方法:
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
    3. 在“名称空间 URI”字段中指定值类型名称空间统一资源标识 (URI)。 在此字段中,为密钥标识引用的安全性令牌指定值类型的名称空间 URI。 指定 X.509 证书令牌时,不需要指定此选项。如果要指定另一个令牌,那么必须指定值类型的限定名 (QName) 的 URI。
    4. 指定值类型局部名。 此名称是密钥标识所引用安全性令牌的值类型的局部名。此局部名用于与相应的名称空间 URI 结合时,该信息称为值类型限定名或 QName。
      指定 X.509 证书令牌时,建议您使用预定义的局部名。指定预定义的局部名时,不需要指定值类型的名称空间 URI。但是,如果您不使用某个预定义的局部名,那么必须指定统一资源标识 (URI) 和局部名。WebSphere Application Server 提供以下预定义的局部名:
      X.509 证书令牌
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
      PKIPath 格式的 X.509 证书
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
      PKCS#7 中的 X509 证书和 CRL 列表
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
      LTPA
      轻量级第三方认证令牌。如果指定值类型局部名 LTPA,那么还必须指定名称空间 URI http://www.ibm.com/websphere/appserver/tokentype/5.0.2。
      LTPA_PROPAGATION
      轻量级第三方认证传播令牌。如果指定值类型局部名 LTPA_PROPAGATION,那么还必须指定名称空间 URI http://www.ibm.com/websphere/appserver/tokentype。
  8. 单击确定,然后单击保存保存配置。

结果

您已在应用程序级别上配置生成器绑定的密钥信息

下一步做什么

您必须为使用者指定类似的密钥信息配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configkeyinfogenapp
文件名:twbs_configkeyinfogenapp.html