配置密钥定位器前,您应该了解哪个密钥信息配置将引用此密钥定位器。例如,如果您为 STRREF 密钥信息类型配置此密钥定位器,则选择 com.ibm.wsspi.wssecurity.keyinfo.X509TokeyKeyLocator 密钥定位器类。
WebSphere® Application Server V6
提供了可供选择的缺省密钥定位器实现,也可以编写您自己的实现。定制密钥定位器必须实现 com.ibm.wsspi.wssecurity.keyinfo.KeyLocator 接口。
使用此实现,您可以在任何数据源内定位密钥。
完成以下步骤,以使用组装工具来为使用者配置密钥定位器。密钥定位器的目的是查找密钥或证书。使用者端的密钥定位器用于查找有关在接收的 SOAP 消息中验证数字签名或用于解密加密的消息部件。响应使用者是为客户机配置的,而请求使用者是为服务器配置的。在以下步骤中,您必须在步骤 2 中配置客户端绑定或在步骤 3 中配置服务器端绑定。
- 单击窗口 > 打开透视图 > J2EE。
- 可选: 使用“项目资源管理器”窗口找到客户端绑定。 显示“客户机部署描述符”窗口。此 Web Service 包含需要配置的绑定。完成下列步骤以找到客户端绑定:
- 展开“Web Service > 客户机”部分,并双击 Web Service 的名称。
- 单击 WS 绑定选项卡并展开“安全响应使用者绑定配置”部分。
- 可选: 使用“项目资源管理器”窗口找到服务器端绑定。 显示“Web Service 编辑器”窗口。此 Web Service 包含需要配置的绑定。
完成以下步骤找到服务器端绑定:
- 展开“Web Service > 服务”部分,并双击 Web Service 的名称。
- 单击绑定配置选项卡,并展开“请求使用者绑定配置详细信息”部分。
- 展开“密钥定位器”部分并单击添加以添加新条目或单击编辑以编辑所选条目。
- 在“密钥定位器名称”字段中指定此配置的名称。 在“密钥信息”对话的“密钥定位器”字段中引用此配置名称。
- 在“密钥定位器类”字段中选择密钥定位器实现。 选择与引用此密钥定位器的密钥信息配置匹配的密钥定位器类。例如,如果接收的简单对象访问协议(SOAP)消息包含签名验证需要的 X.509 证书,则选择 com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator 密钥定位器类。
如果需要使用密钥库文件指定签名验证或解密需要的密钥,则选择
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥定位器类。
com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator 密钥定位器类不会在使用者端使用。通常在响应生成者配置中使用它,以使用来
自请求消息的签署者密钥加密响应消息。
- 如果您需要为此密钥定位器配置密钥库,则选择使用密钥库选项。 您是否需要为密钥定位器配置密钥库信息取决于密钥定位器类和您的应用程序配置。例如,如果在前面的步骤中选择 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥定位器类,则为此密钥定位器配置密钥库信息。
- 在“密钥库存储护照”字段中指定密钥库密码。 密钥库存储护照是访问密钥库文件所需的密码。
- 在“密钥库路径”字段中指定到密钥库文件的路径。 密钥库路径是密钥库驻留的目录。确保无论您在哪里部署应用程序,服务器都可以找到您的密钥库文件。
- 从“密钥库类型”字段选择密钥库类型。 您选择的密钥库类型必须与“密钥库路径”字段中指定的密钥库文件相匹配。支持以下密钥库类型:
- JKS
- 如果未使用 Java™ 密码术扩展(JCE),并且如果密钥库文件使用 Java 密钥库(JKS)格式,则使用此选项。
- JCEKS
- 如果正在使用 Java 密码术扩展,则使用此选项。
- PKCS11
- 如果密钥库使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
- PKCS12
- 如果密钥库使用 PKCS#12 文件格式,则使用此选项。
- 单击“密钥”字段下的添加,以便在您在前一步骤中指定的密钥库文件中添加密钥条目。 此密钥用于签名验证或解密。您指定的密钥必须与用于生成者数字签名或加密的密钥相匹配。请完成下列步骤以添加密钥条目:
- 在“别名”字段中为密钥指定别名。
- 指定与“密钥传递”字段中的密钥相关联的密码。 此密码保护由此密钥指定的密钥对的专用密钥。
- 在“密钥名”字段中指定密钥名称。 该密钥名为密钥的所有者指定专有名称(DN)。
- 单击确定以保存密钥定位器配置。
在您配置需要配置的密钥定位器和任何密钥使用者后,可以配置引用此密钥定位器的密钥信息。有关更多信息,请参阅
为使用者绑定配置密钥信息。