在应用程序级别使用 JAX-RPC 为生成者绑定配置签名信息
可以在应用程序级别为客户端请求使用者和服务器端响应生成器绑定配置签名信息。
开始之前
注: 仅对于 WebSphere® Application Server V6.x 或更早版本,在服务器端扩展文件 (ibm-webservices-ext.xmi) 和客户机端部署描述符扩展文件 (ibm-webservicesclient-ext.xmi) 中,您必须指定签署消息的哪些部件。并且,必须在管理控制台的签名信息面板上配置密钥信息引用所引用的密钥信息。
关于此任务
本任务说明为应用程序级别的客户机端请求生成器和服务器端响应生成器绑定配置签名信息所需的步骤。WebSphere Application Server 使用缺省生成器的签名信息来签署消息部件,包括主体、时间戳记和用户名令牌。应用程序服务器提供绑定的缺省值。但是,管理员必须修改生产环境的缺省值。完成以下步骤在应用程序级别上为绑定文件的生成器部分配置签名信息:
过程
- 在管理控制台中找到签名信息配置面板。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > application_name。
- 在“管理模块”下面,单击 URI_name。
- 在“Web Service 安全属性”下面,您可以访问请求生成器绑定和响应生成器绑定的签名信息。
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成器(发送方)绑定”下,单击编辑定制。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成器(发送方)绑定”下,单击编辑定制。
- 在“必需属性”下面,单击签名信息。
- 单击新建创建签名信息配置,选中该配置旁边的框并单击删除删除现有配置,或者单击现有签名信息配置的名称以编辑其设置。 如果您正在创建新配置,那么在“签名信息名称”字段中输入名称。例如,您可以指定 gen_signinfo。
- 从“签名方法”字段中选择签名方法算法。 为生成器指定的算法(请求生成器或响应生成器配置)必须匹配为使用者指定的算法(请求使用者或响应使用者配置)。WebSphere Application Server 支持下列预先配置的算法:
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法。
在基于对称密钥的 SIGNATURE 中,任何 ds:SignatureMethod/@Algorithm 元素都必须具有 http://www.w3.org/2000/09/xmldsig#rsa-sha1 值或 http://www.w3.org/2000/09/xmldsig#hmac-sha1 值。
- 从规范方法字段选择规范方法。 您为生成器指定的规范算法必须匹配使用者的算法。WebSphere Application Server 支持下列预先配置的算法:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- 从“密钥信息签名类型”字段中选择密钥信息签名类型。 WebSphere Application Server 支持以下签名类型:
- None
- 指定不对 <KeyInfo> 元素签名。
- Keyinfo
- 指定对整个 <KeyInfo> 元素进行签署。
- Keyinfochildelements
- 指定对 <KeyInfo> 元素的子元素进行签名。
生成器的密钥信息签名类型必须匹配使用者的签名类型。您可能遇到以下情况:- 如果您未指定某个先前的签名类型,那么缺省情况下 WebSphere Application Server 使用 keyinfo。
- 如果您选择 Keyinfo 或 Keyinfochildelements 并且在后续步骤中将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 选为变换算法,那么 WebSphere Application Server 还签署引用的令牌。
- 从“签名密钥信息”字段中选择签名密钥信息引用。 此选择是对应用程序服务器用来生成数字签名的签名密钥的引用。
- 单击确定和保存以保存配置。
- 单击新的签名信息配置的名称。 此配置是您在先前步骤中指定的配置。
- 指定部件引用、摘要算法和变换算法。 该部件引用指定要进行数字签署的消息部件。
- 在“其他属性”下,单击部分参考 > 新建创建新的部分参考,单击部分参考 > 删除删除现有部分参考,或者单击部件名以编辑现有部分参考。
- 为此部件引用指定唯一的部分名。 例如,您可以指定 reqint。
- 从“部件引用”字段中选择部件引用。
该部件引用对数字签名的消息部件进行引用。对签名指定 <PartReference> 元素时,part 属性引用部署描述符中的 <Integrity> 元素的名称。您可以在 <SigningInfo> 元素中指定多个 <PartReference> 元素。对签名指定 <PartReference> 元素时,它拥有两个子元素:<DigestTransform> 和 <Transform>。
- 从菜单中选择摘要方法算法。 <SigningInfo> 元素使用 <DigestMethod> 元素中指定的摘要方法算法。WebSphere Application Server 支持下列算法:
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmlenc#sha256
- http://www.w3.org/2001/04/xmlenc#sha512
- 单击确定保存配置。
- 单击新的部件引用配置的名称。 此配置是您在先前步骤中指定的配置。
- 在“其他属性”下,单击转换 > 新建创建新转换,单击转换 > 删除以删除转换,或者单击转换名以编辑现有转换。 如果您创建新的转换配置,那么指定唯一的名称。例如,您可以指定 reqint_body_transform1。
- 从菜单中选择变换算法。 变换算法针对签名,在 <Transform> 元素内指定。WebSphere Application Server 支持下列算法:
- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/TR/1999/REC-xpath-19991116限制: 如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此变换算法。相反,请使用 http://www.w3.org/2002/06/xmldsig-filter2 来确保一致性。
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2002/07/decrypt#XML
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
您为生成者选择的变换算法必须匹配为使用者选择的变换算法。要点: 如果以下两个条件都符合,那么 WebSphere Application Server 签署引用的令牌:- 您先前从签署面板上的“密钥信息签名类型”字段中选择了 Keyinfo 或 Keyinfochildelements 选项。
- 您将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform 选为变换算法。
- 单击应用。
- 可选: 确定是否禁用“包括名称空间前缀列表”。 专用 XML 规范化 V1.0
规范建议以规范格式包括所有与名称空间前缀相对应的名称空间声明。为了确保安全,在缺省情况下,WebSphere Application Server
将该前缀包括在 Web Service 安全性的数字签名中。但是,Web Service 安全性的某些实现无法处理此前缀列表。WebSphere Application Server 能够处理以数字方式签署的消息,这些消息可以包含前缀列表,也可以不包含前缀列表。如果在发送已签署的简单对象访问协议 (SOAP) 消息时发生签名验证失败,并且环境中使用了另一供应商的实现,则在禁用此属性前,请与您的服务提供商进行核实以获取该实现的可能修订。要禁用此属性,请完成下列步骤:
- 在“其他属性”下,单击属性 > 新建。
- 在“属性名”字段中,输入 com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces 属性。
- 在“属性值”字段中,输入 False 值。
- 单击确定。
可以对请求生成器配置和响应生成器配置设置此属性。
- 单击保存以保存配置。
结果
下一步做什么
子主题
签名信息集合
使用此页面来查看签名参数列表。签名信息用于签署和验证包含主体、时间戳记和用户名令牌的部分消息。当在服务器级别配置中,认证方法为 IDAssertion 而标识类型为 X509Certificate 时,您也可把这些参数用于 X.509 验证。 在这些情况下,您必须仅填充“证书路径”字段。签名信息配置设置
使用此页面来配置新签名参数。部件引用集合
使用此页面来查看部署描述符中定义的用于签名和加密的消息部件引用。部件引用配置设置
使用此页面来指定对消息部件的引用,该引用是在部署描述符中定义的,以用于签名和加密。变换集合
使用此页面来查看用于处理 Web Service 安全性消息的变换算法。变换配置设置
使用此页面来指定用于处理 Web Service 安全性消息的变换算法。签名信息集合
使用此页面来查看签名参数列表。签名信息用于签署和验证包含主体、时间戳记和用户名令牌的部分消息。当在服务器级别配置中,认证方法为 IDAssertion 而标识类型为 X509Certificate 时,您也可把这些参数用于 X.509 验证。 在这些情况下,您必须仅填充“证书路径”字段。签名信息配置设置
使用此页面来配置新签名参数。部件引用集合
使用此页面来查看部署描述符中定义的用于签名和加密的消息部件引用。部件引用配置设置
使用此页面来指定对消息部件的引用,该引用是在部署描述符中定义的,以用于签名和加密。变换集合
使用此页面来查看用于处理 Web Service 安全性消息的变换算法。变换配置设置
使用此页面来指定用于处理 Web Service 安全性消息的变换算法。
相关概念:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsigninfogenapp
文件名:twbs_configsigninfogenapp.html