可将 Java™ Platform,
Enterprise Edition (Java EE) V1.3 应用程序的服务器端绑定配置迁移到 Java EE
V1.4 应用程序。
关于此任务
下表列示服务器端
绑定配置选项卡下顶级部分从 Java EE
V1.3 应用程序到 Java EE V1.4 应用程序的映射。
表 1. 配置部分的映射. 将绑定配置信息用于迁移。Java EE V1.3 绑定配置 |
Java EE V1.4 绑定配置 |
请求接收方绑定配置详细信息 |
请求使用者服务绑定配置详细信息 |
响应发送方绑定配置详细信息 |
响应生成器绑定配置详细信息 |
考虑执行以下步骤以将服务器端绑定从 Java EE
V1.3 迁移到 Java EE V1.4。这些步骤取决于特定配置。这些步骤基于典型方案,但不包含所有步骤。
过程
- 迁移 Java EE V1.3 应用程序的“请求接收方绑定配置详细信息”部分下的配置信息。
- 使用“信任锚”对话框将在 Java EE
V1.3 应用程序中指定的任何信任锚信息迁移到 Java EE V1.4。
- 通过在 Java EE
V1.4 应用程序中配置“证书库列表”部分,可以将 Java EE V1.3 应用程序中指定的证书库列表下的信息迁移到 Java EE
V1.4。
- 配置从“密钥信息”对话框窗口引用的密钥定位器和令牌使用者信息。 密钥定位器和令牌使用者的配置取决于密钥信息类型。例如,如果在 <wsse:Security> 安全头中嵌入的 X.509 证书用于数字签名,请完成以下步骤:
- 要配置密钥定位器,指定 com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator 类作为密钥定位器类并且不要指定密钥库。
- 要配置令牌使用者,选择 com.ibm.wsspi.wssecurity.token.509TokenConsumer 类,为值类型统一资源标识 (URI) 指定 X509 证书令牌,并在 jaas.config.name 字段中指定 system.wssecurity.X509BST。您还必须指定证书路径设置(信任锚引用和证书库引用)作为令牌使用者配置的一部分。
- 在“密钥信息”对话框窗口明确指定密钥信息类型。 在 Java EE V1.3 应用程序中,不会明确指定密钥信息类型(例如,安全性令牌引用和密钥标识)。该密钥信息类型由配置暗示。在 Java EE
V1.4 应用程序中,当您在绑定文件中具有数字签名或加密信息时,您必须使用“密钥信息对话框”明确指定密钥信息类型。在您配置密钥信息前,请确保您已经配置了从“密钥信息”对话引用的密钥定位器和令牌使用者信息。
为数字签名或加密配置密钥信息时,需要指定正确的密钥信息类型。密钥信息类型的值取决于用于引用数字签名或加密时使用的安全性令牌的机制类型。以下信息描述最常用的安全性令牌引用(或直接引用)和密钥标识,及数字签名和加密时建议使用的密钥信息类型:
- 安全性令牌引用(或直接引用)
- 使用统一资源标识 (URI) 直接引用安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 密钥标识
- 安全性令牌通过使用唯一地识别令牌的不透明值进行引用。用于生成 KeyIdentifier 值的算法取决于令牌类型。例如,安全性令牌的重要元素的散列用于生成 KeyIdentifier 值。
在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
在“密钥信息”对话框窗口,指定您前面配置的密钥定位器的名称和令牌使用者。对于使用者端,密钥名字段是可选的。
- 通过配置签名信息、部分参考和转换部分,在签名信息部分中迁移信息。
- 在“签名信息”对话框窗口中指定签名方法和规范方法算法。
- 在“部分参考”对话框窗口中指定摘要方法算法。
- 在“加密信息”部分下迁移信息。 在“加密信息”对话框窗口,选择为加密配置的密钥信息元素的名称,并指定 RequiredConfidentiality 部分。验证所选
的 RequiredConfidentiality 部分的值的名称与在扩展文件中配置的必需的机密性部分的名称相同。
Java EE
V1.3 应用程序中的“登录映射”部分将映射到认证方法指定的令牌类型的“令牌使用者”配置。
例如,要迁移使用
BasicAuth 认证方法的登录映射配置,为用户名令牌配置令牌使用者。要为用户名令牌配置令牌使用者,请完成以下步骤:
- 选择 com.ibm.wsspi.wssecurity.UsernameTokenConsumer 令牌使用者类。
- 在安全性令牌字段中从扩展指定必需的安全性令牌配置的名称。
- 选择用户名令牌值类型。
- 在 jaas.config.name 字段中指定 system.wssecurity.UsernameToken 值。
- 将 Java EE
V1.3 绑定文件的“响应发送方绑定配置详细信息”部分中的配置信息迁移到 Java EE V1.4 应用程序的“响应生成器绑定配置详细信息”部分。 配置响应生成器部分与配置请求使用者部分十分类似。
- 在组装工具中使用“密钥定位器”对话框窗口从密钥定位器部分迁移信息。
- 配置在“密钥信息”对话框窗口中引用的令牌生成器。 您必须为 SOAP 消息中生成的每个安全性令牌配置令牌生成器。如果令牌生成器是用于数字签名
或加密的 X.509 证书的令牌生成器,请完成以下步骤:
- 要配置密钥定位器,指定 com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator 类作为密钥定位器类并且不要指定密钥库。
- 要配置令牌生成器,选择 com.ibm.wsspi.wssecurity.X509TokenGenerator 类并为值类型统一资源标识 (URI) 指定 X509 证书令牌。为令牌生成器指定的密钥库信息与用于配置密钥定位器的信息相同。因此,Java EE
V1.3 应用程序中的密钥定位器配置的密钥库信息用于在 Java EE V1.4 应用程序中配置密钥定位器和令牌生成器。
- 在“令牌生成器”对话框窗口中,指定回调处理程序需要的密钥库信息以获取生成令牌需要的密钥信息。
- 对于回调处理程序,选择 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 类。
- 在以前配置的“密钥信息”对话框窗口中指定密钥定位器和令牌生成器的名称。 生成器端需要密钥名。“密钥信息”对话框窗口中指定的密钥必须在密钥定位器配置中指定的密钥的列表中存在。同样,迁移签名信息和加密信息配置与迁移为请求接收方绑定配置部分的签名信息和加密信息配置类似。为响应生成器部分配置密钥信息与为请求使用者部分配置密钥信息类似。
结果
此步骤集描述将 Java EE
V1.3 应用程序的服务器端绑定配置迁移到 Java EE V1.4 应用程序所需的信息类型。
下一步做什么
将 Java EE
V1.3 应用程序的客户机端绑定配置迁移到 Java EE V1.4 应用程序。有关更多信息,请参阅
迁移客户端绑定文件。