您可以將 Java™ Platform
Enterprise Edition (Java EE) 1.3 版應用程式的伺服器端連結配置,移轉到 Java EE 1.4 版應用程式。
關於這項作業
針對伺服器端
連結配置標籤下的最上層區段,下表列出從 Java EE 1.3 版應用程式到 Java EE 1.4 版應用程式的對映。
表 1. 配置區段的對映. 使用連結配置資訊進行移轉。Java EE 1.3 版連結配置 |
Java EE 1.4 版連結配置 |
要求接收端連結配置詳細資料 |
要求消費者服務連結配置詳細資料 |
回應傳送端連結配置詳細資料 |
回應產生者連結配置詳細資料 |
請考慮執行下列步驟,將伺服器端連結從 Java EE 1.3 版移轉到 Java EE 1.4 版。這些步驟取決於您的特定配置。步驟以一般情況為主,不涵蓋所有情況。
程序
- 移轉 Java EE 1.3 版應用程式的「要求接收端連結配置詳細資料」區段下的配置資訊。
- 使用「信任錨點」對話框,將 Java EE 1.3 版應用程式中指定的任何信任錨點資訊移轉到 Java EE 1.4 版。
- 配置 Java EE 1.4 版應用程式中的「憑證儲存庫清單」區段,將 Java EE 1.3 版應用程式中指定的憑證儲存庫清單中的資訊,移轉到 Java EE 1.4 版。
- 配置從「金鑰資訊」對話框視窗參照的金鑰定位器和記號消費者資訊。 金鑰定位器和記號消費者的配置取決於金鑰資訊類型。
比方說,如果 <wsse:Security> 安全標頭中內嵌的 X.509 憑證用於數位簽章,請完成下列步驟:
- 配置金鑰定位器時,指定 com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator 類別作為金鑰定位器類別,不要指定金鑰儲存庫。
- 配置記號消費者時,選取 com.ibm.wsspi.wssecurity.token.509TokenConsumer 類別,指定 X509 certificate token 作為值類型「統一資源識別碼 (URI)」,並且在 jaas.config.name 欄位中指定 system.wssecurity.X509BST。
此外,在記號消費者配置中,您必須指定憑證路徑設定(信任錨點參照和憑證儲存庫參照)。
- 在「金鑰資訊對話框」視窗中明確指定金鑰資訊類型。 在 Java EE 1.3 版應用程式中,並不明確指定金鑰資訊類型,例如安全記號參照和金鑰 ID。
金鑰資訊類型由配置隱含指定。在 Java EE 1.4 版應用程式中,當您在連結檔中有數位簽章或加密資訊時,您必須使用「金鑰資訊對話框」明確指定金鑰資訊類型。
在配置金鑰資訊之前,請確定您已配置從「金鑰資訊」對話框參照的金鑰定位器和記號消費者資訊。
針對數位簽章或加密來配置金鑰資訊時,您需要指定正確的金鑰資訊類型。
金鑰資訊類型的值取決於為了參照數位簽署或加密所用的安全記號,而使用的機制類型。
下列資訊說明的安全記號參照(或直接參照)和金鑰 ID,是最常用和建議用於數位簽署和加密的金鑰資訊類型:
- 安全記號參照(或直接參照)
- 使用「統一資源識別碼 (URI)」直接參照安全記號。針對此金鑰資訊類型,SOAP 訊息中會產生下列 <KeyInfo> 元素:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 金鑰 ID
- 使用唯一識別記號的不透明值來參照安全記號。用於產生 KeyIdentifier 值的演算法取決於記號類型。例如,安全記號的重要元素的雜湊用於產生 KeyIdentifier 值。
針對此金鑰資訊類型,SOAP 訊息中會產生下列 <KeyInfo> 元素:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
在「金鑰資訊對話框」視窗中,指定您先前配置的金鑰定位器和記號消費者的名稱。在消費者端,「金鑰名稱」欄位為選用。
- 配置「簽署資訊」、「組件參照」和「轉換」區段,以移轉「簽署資訊」區段中的資訊。
- 在「簽署資訊對話框」視窗中,指定「簽章方法演算法」和「標準化方法演算法」。
- 在「組件參照對話框」視窗中,指定「摘要方法演算法」。
- 在「加密資訊」區段下移轉資訊。 在「加密資訊對話框」視窗中,選取針對加密所配置的「金鑰資訊」元素的名稱,並指定 RequiredConfidentiality 組件。
確認選取的 RequiredConfidentiality 組件的值與延伸檔中配置的「需要機密性」組件同名。
Java EE 1.3 版應用程式中的「登入對映」區段會對映到鑑別方法所指定的記號類型的「記號消費者」配置。
例如,如果要移轉使用
BasicAuth 鑑別方法的「登入對映」配置,請配置使用者名稱記號的記號消費者。
如果要配置使用者名稱記號的記號消費者,請完成下列步驟:
- 選取 com.ibm.wsspi.wssecurity.UsernameTokenConsumer 記號消費者類別。
- 從安全記號欄位內的「延伸」中,指定「需要安全記號」配置的名稱。
- 選取使用者名稱記號作為值類型。
- 在 jaas.config.name 欄位中指定 system.wssecurity.UsernameToken 值。
- 將 Java EE 1.3 版連結檔的「回應傳送端連結配置詳細資料」區段中的配置資訊,移轉到 Java EE 1.4 版應用程式的「回應產生者連結配置詳細資料」區段。 配置「回應產生者」區段非常類似於配置「要求消費者」區段。
- 使用組合工具中的「金鑰定位器對話框」視窗,從「金鑰定位器」區段移轉資訊。
- 配置「金鑰資訊對話框」視窗中參照的記號產生器。 您必須為 SOAP 訊息中產生的每個安全記號配置記號產生器。
如果記號產生器是針對用於數位簽章或加密的 X.509 憑證,請完成下列步驟:
- 配置金鑰定位器時,指定 com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator 類別作為金鑰定位器類別,不要指定金鑰儲存庫。
- 配置記號產生器時,請選取 com.ibm.wsspi.wssecurity.X509TokenGenerator 類別,並指定 X509 certificate token 作為值類型「統一資源識別碼 (URI)」。
指定給記號產生器的金鑰儲存庫資訊,就是用於配置金鑰定位器的資訊。
因此,來自 Java EE 1.3 版應用程式中的「金鑰定位器」配置的金鑰儲存庫資訊,在 Java EE 1.4 版應用程式中就用於配置金鑰定位器和記號產生器。
- 在「記號產生器對話框」視窗中,指定回呼處理常式為了取得產生記號所需的金鑰資訊,而需要使用的金鑰儲存庫資訊。
- 對於回呼處理常式,選取 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 類別。
- 在「金鑰資訊對話框」視窗中,指定您先前配置的金鑰定位器和記號產生器的名稱。 在產生器端,「金鑰名稱」是必要的。「金鑰資訊對話框」視窗中指定的金鑰,必須存在於金鑰定位器配置所指定的金鑰清單中。
此外,移轉「簽署資訊」和「加密資訊」配置類似於移轉「要求接收端連結配置」區段的「簽署資訊」和「加密資訊」配置。
配置回應產生者區段的金鑰資訊類似於配置要求消費者區段的金鑰資訊。
結果
這組步驟說明將 Java EE 1.3 版應用程式的伺服器端連結配置移轉到 Java EE 1.4 版應用程式時,您所需要的資訊類型。
下一步
將 Java EE 1.3 版應用程式的用戶端連結配置移轉到 Java EE 1.4 版應用程式。如需相關資訊,請參閱
移轉用戶端連結檔。