配置服务器进行请求数字签名验证:选择验证方法

要配置服务器以进行请求数字签名验证,请使用组装工具来修改扩展并指示验证期间服务器将使用哪种数字签名方法。

开始之前

要点: V5.x 与 V6 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。
在完成这些步骤之前,请阅读以下任一主题以熟悉 IBM® 组装工具中 Web Service 编辑器中的“扩展”选项卡和“绑定配置”选项卡: 您可以使用这两个选项卡分别配置 Web Services 安全扩展和 Web Services 安全绑定。您必须指定哪些消息部件包含必须由服务器验证的数字签名信息。请参阅为请求数字签名验证配置服务器:验证消息部件。为客户机请求发送方指定的消息部件必须与为服务器请求接收方指定的消息部件匹配。同样,为客户机选择的数字签名方法必须与服务器使用的数字签名方法匹配。

关于此任务

完成下列步骤以配置服务器进行请求数字签名验证。这些步骤描述了如何修改扩展,以表明验证期间服务器将使用哪种数字签名方法。

过程

  1. 启动组装工具。 有关更多信息,请参阅组装工具的相关信息。
  2. 切换至 Java™ Platform, Enterprise Edition (Java EE) 透视图。单击窗口 > 打开透视图 > 其他 > J2EE
  3. 单击 EJB 项目 > application_name > ejbModule > META-INF
  4. 右键单击 webservices.xml 文件,然后单击打开方式 > Web Service 编辑器
  5. 单击绑定配置选项卡。
  6. 展开安全请求接收方绑定配置详细信息 > 签名信息部分。
  7. 单击编辑以编辑签名信息。 显示“签名信息”对话框,选择或输入以下信息:
    • 规范方法算法
    • 摘要方法算法
    • 签名方法算法
    • 使用证书路径引用
    • 信任锚引用
    • 证书库引用
    • 信任全部证书
    有关数字签名 SOAP 消息的概念性信息,请参阅 XML 数字签名。下表描述了这些选择中每一个的目的。这些定义中的一些基于 XML 签名规范,其位于以下 Web 地址:http://www.w3.org/TR/xmldsig-core
    表 1. 数字签名方法. 数字签名方法是绑定配置的一部分。
    名称 用途
    规范方法算法 在将其摘要为签名操作部分前,规范 <SignedInfo> 元素。为服务器请求接收方配置选择的算法必须与客户机请求发送方配置中所选的算法匹配。
    摘要方法算法 应用转换后(如果指定的话)应用到数据,以生成 <DigestValue> 元素。<DigestValue> 元素的签署将资源内容绑定到签署者密钥。为服务器请求接收方配置选择的算法必须与客户机请求发送方配置中所选的算法匹配。
    签名方法算法 将已规范的 <SignedInfo> 元素转换为 <SignatureValue> 元素。为服务器请求接收方配置选择的算法必须与客户机请求发送方配置中所选的算法匹配。
    使用证书路径引用信任全部证书 验证与消息一起发送的证书或签名。当消息已签署时,用于签署它的公用密钥与消息一起发送。此公用密钥或证书可能在接收结束时不验证。通过选择用户证书路径引用,您必须配置信任锚引用和证书库引用,以验证与消息一起发送的证书。通过选择信任全部证书,签名由同消息一起发送的证书验证,而不需要验证证书本身。
    使用证书路径引用:信任锚引用 指包含可信自签名证书和认证中心 (CA) 证书的密钥库。这些证书是可信证书,您可与部署中的任何应用程序配合使用。
    使用证书路径引用:证书库引用 包含 X.509 证书的集合。这些证书在您的部署中不是对所有应用程序都是可信的,但可能被用作验证应用程序证书的中介。
  8. 可选: 如果您希望“签名方法算法”和“摘要方法算法”下拉列表只显示符合 FIPS 的算法,则选择仅显示符合 FIPS 的算法。如果您预计运行此应用程序的 WebSphere Application Server 将在 WebSphere 管理控制台的“SSL 证书和密钥管理”面板中设置使用美国联邦信息处理标准 (FIPS) 算法选项,请使用此选项。

结果

要点: 如果您正确配置了客户机和服务器签名信息,但是在运行客户机时接收到 Soap 主体未签署的错误,那么您可能需要配置参与者。可在客户机的以下位置配置参与者:
  • 单击安全性扩展 > 客户机服务配置详细信息,并在“参与者 URI”字段中表明参与者信息。
  • 单击安全性扩展 > 请求发送方配置 > 详细信息,并在“参与者”字段中表明参与者信息。
您必须为服务器上的 Web Service 配置相同的参与者字符串,用于处理请求,并将响应发送回。请在下列位置配置参与者:
  • 单击安全性扩展 > 服务器服务配置
  • 单击安全性扩展 > 响应发送方服务配置详细信息 > 详细信息,并在“参与者”字段中表明参与者信息。

客户机和服务器上的参与者信息都必须引用完全相同的字符串。当客户机与服务器上的参与者字段匹配时,会对请求或响应进行操作而不是向下游发送。 当您让 Web Service 充当到其他 Web Service 的网关时,参与者字段可能不同。但是,在所有其他情况中,确保客户机与服务器上的参与者信息匹配。当 Web Service 充当网关,而在通过网关传递请求时他们没有相同的已配置参与者时,Web Service 不处理来自客户机的消息。相反,这些 Web Service 向下游发送请求。包含正确参与者字符串的下游进程将处理该请求。对于响应,发生的情况相同。因此,验证相应的客户机和服务器参与者字段是否同步至关重要。

您已指定服务器用于验证消息部件中数字签名的方法。

下一步做什么

当您配置客户机进行请求签名并配置服务器进行请求数字签名验证后,您必须配置服务器和客户机以处理响应。接着,为服务器指定响应签名。请参阅 配置服务器进行响应签署:对消息部件进行数字签署 以获取更多信息。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confsvrreqdigsignmeth
文件名:twbs_confsvrreqdigsignmeth.html