缺省 Web Service 安全性配置

WebSphere® Application Server V6 提供了各种样本配置,可以通过 WebSphere Application Server 管理控制台来对这些样本配置进行配置。在单元或服务器级别上反映您指定的这些配置。当这些配置仅供样本和测试使用时,不要在生产环境中使用。要修改这些样本配置,建议使用 WebSphere Application Server 提供的管理控制台。

对于启用 Web Service 安全性的应用程序,您必须正确配置部署描述符和绑定。在 WebSphere Application Server V6 中,应用程序共享一组缺省绑定以使应用程序部署工作简单易行。服务器级别的缺省绑定信息可以由应用程序级别上的绑定信息覆盖。Application Server 在搜索服务器级别前先搜索应用程序级别上应用程序的绑定信息。

本文包含有关样本缺省绑定、密钥库、密钥定位器、集合证书库、信任锚和可信标识鉴别程序的信息。

缺省生成者绑定

WebSphere Application Server V6 提供了一组缺省生成者绑定样本。缺省生成者绑定包含签署信息和加密信息。

样本签署信息配置称为 gen_signinfo 并包含以下配置:
  • 将以下算法用于 gen_signinfo 配置:
    • 签名方法:http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法:http://www.w3.org/2001/10/xml-exc-c14n#
  • 请参考 gen_signkeyinfo 签署密钥信息。以下信息适合 gen_signkeyinfo 配置:
    • 包含称为 gen_signpart 的部分参考配置。部分参考未用于缺省绑定中。签署信息适用于部署描述符中的所有 Integrity 或 Required Integrity 元素,并且这些信息仅供命名使用。以下信息适合 gen_signpart 配置:
      • 使用称为 transform1 的转换配置。为缺省签署信息配置以下转换:
        • 使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法
        • 使用 http://www.w3.org/2000/09/xmldsig#sha1 摘要方法
    • 使用安全性令牌引用,其是已配置的缺省密钥信息。
    • 使用 SampleGeneratorSignatureKeyStoreKeyLocator 密钥定位器。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 使用 gen_signtgen 令牌生成者,其包含以下配置:
      • 包含 X.509 令牌生成者,其生成签署者的 X.509 令牌。
      • 包含 gen_signtgen_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 值类型局部名值。
    • 使用 X.509 回调处理程序。回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库。
      • 密钥库密码为 client
      • 可信证书的别名为 soapca
      • 个人证书的别名为 soaprequester
      • soapca 依次发出中介认证中心 Int CA2 发出的密钥密码 client。
样本加密信息配置称为 gen_encinfo 并包含以下配置:
  • 将以下算法用于 gen_encinfo 配置:
    • 数据加密方法:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 密钥加密方法:http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 请参考 gen_enckeyinfo 加密密钥信息。以下信息适合 gen_enckeyinfo 配置:
    • 将密钥标识用作缺省密钥信息。
    • 包含对 SampleGeneratorEncryptionKeyStoreKeyLocator 密钥定位器的引用。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 使用 gen_signtgen 令牌生成者,其具有以下配置:
      • 包含 X.509 令牌生成者,其生成签署者的 X.509 令牌。
      • 包含 gen_enctgen_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 值类型局部名值。
    • 使用 X.509 回调处理程序。回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 密钥库。
      • 密钥库密码为 storepass
      • 密钥 CN=Group1 具有别名 Group1 和密钥密码 keypass
      • 公用密钥 CN=Bob, O=IBM, C=US 具有别名 bob 和密钥密码 keypass
      • 专用密钥 CN=Alice, O=IBM, C=US 具有别名 alice 和密钥密码 keypass

缺省使用者绑定

WebSphere Application Server V6 提供了一组缺省使用者绑定样本。缺省使用者绑定包含签署信息和加密信息。

样本签署信息配置称为 con_signinfo 并包含以下配置:
  • 将以下算法用于 con_signinfo 配置:
    • 签名方法:http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法:http://www.w3.org/2001/10/xml-exc-c14n#
  • 使用 con_signkeyinfo 签署密钥信息参考。以下信息适合 con_signkeyinfo 配置:
    • 包含称为 con_signpart 的部分参考配置。部分参考未用于缺省绑定中。签署信息适用于部署描述符中的所有 Integrity 或 RequiredIntegrity 元素,并且这些信息仅供命名使用。以下信息适合 con_signpart 配置:
      • 使用称为 reqint_body_transform1 的转换配置。为缺省签署信息配置以下转换:
        • 使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
        • 使用 http://www.w3.org/2000/09/xmldsig#sha1 摘要方法。
    • 使用安全性令牌引用,其是已配置的缺省密钥信息。
    • 使用 SampleX509TokenKeyLocator 密钥定位器。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 请参考 con_signtcon 令牌使用者配置。以下信息适合 con_signtcon 配置:
      • 使用 X.509 令牌使用者,其配置为缺省签署信息的使用者。
      • 包含 signtconsumer_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 值类型局部名值。
    • 包含称为 system.wssecurity.X509BST 的 JAAS 配置,其参考以下信息:
      • 信任锚:SampleClientTrustAnchor
      • 集合证书库:SampleCollectionCertStore
加密信息配置称为 con_encinfo 并包含以下配置:
  • 将以下算法用于 con_encinfo 配置:
    • 数据加密方法:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 密钥加密方法:http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 请参考 con_enckeyinfo 加密密钥信息。此密钥实际上会解密消息。以下信息适合 con_enckeyinfo 配置:
    • 使用密钥标识,其配置为缺省加密信息的密钥信息。
    • 包含对 SampleConsumerEncryptionKeyStoreKeyLocator 密钥定位器的引用。有关此密钥定位器的更多信息,请参阅样本密钥定位器
    • 请参考 con_enctcon 令牌使用者配置。以下信息适合 con_enctcon 配置:
      • 使用 X.509 令牌使用者,其是为缺省加密信息配置的。
      • 包含 enctconsumer_vtype 值类型 URI。
      • 包含 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 值类型局部名值。
    • 包含称为 system.wssecurity.X509BST 的 JAAS 配置。

样本密钥库配置

WebSphere Application Server 提供了下列密钥库。可以通过使用 iKeyman 实用程序或密钥工具与这些密钥库在 Application Server 外配合使用。

iKeyman 实用程序位于以下目录中:
  • Windows®install_dir/bin/ikeyman
  • Unix:install_dir\bin\ikeyman.sh
密钥工具位于以下目录中:
  • Windows:install_dir/java/jre/bin/keytool
  • Unix:install_dir\java\jre\bin\keytool.sh
以下样本密钥库仅供测试使用;不要将这些密钥库用于生产环境中:
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • 密钥库格式为 JKS。
    • 密钥库密码为 client
    • 可信证书具有 soapca 别名。
    • 个人证书具有 soaprequester 别名和 client 密钥密码,由 soapca 依次发出 Int CA2 中介认证中心发出的 client 密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • 密钥库格式为 JKS。
    • 密钥库密码为 server
    • 可信证书具有 soapca 别名。
    • 个人证书具有 soapprovider 别名和 server 密钥密码,由 soapca 依次发出 Int CA2 中介认证中心发出的 server 密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • 密钥库格式为 JCEKS。
    • 密钥库密码为 storepass
    • CN=Group1 DES 密钥具有 Group1 别名和 keypass 密钥密码。
    • CN=Bob, O=IBM, C=US 公用密钥具有 bob 别名和 keypass 密钥密码。
    • CN=Alice, O=IBM, C=US 专用密钥具有 alice 别名和 keypass 密钥密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • 密钥库格式为 JCEKS。
    • 密钥库密码为 storepass
    • CN=Group1 DES 密钥具有 Group1 别名和 keypass 密钥密码。
    • CN=Bob, O=IBM, C=US 专用密钥具有 bob 别名和 keypass 密钥密码。
    • CN=Alice, O=IBM, C=US 公用密钥具有 alice 别名和 keypass 密钥密码。
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • 中间证书由 soapca 签署,并且它还会签署 soaprequestersoapprovider

样本密钥定位器

密钥定位器

使用密钥定位器查找用于数字签名、加密和解密的密钥。有关如何修改这些样本密钥定位器配置的信息,请参阅以下文章:
SampleGeneratorSignatureKeyStoreKeyLocator
此密钥定位器供生成器使用以标记 SOAP 消息。签署的密钥名为 SOAPRequester,它在签署信息中作为签署密钥名引用。配置此密钥定位器使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleConsumerSignatureKeyStoreKeyLocator
此密钥定位器供使用者使用以验证 SOAP 消息中的数字签名。签署密钥为 SOAPProvider,在签名信息中作为签署密钥名来引用。配置此密钥定位器使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleGeneratorEncryptionKeyStoreKeyLocator
此密钥定位器供生成器使用以加密 SOAP 消息。配置此密钥定位器使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleConsumerEncryptionKeyStoreKeyLocator
此密钥定位器供使用者使用以解密已加密的 SOAP 消息。配置此密钥定位器使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。
SampleX509TokenKeyLocator
此密钥定位器供使用者使用以验证 X.509 证书中的数字证书。配置此密钥定位器使用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 密钥库和 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥库密钥定位器。

样本集合证书库

集合证书库用于验证证书路径。有关如何修改此样本集合证书库的信息,请参阅以下文章:
SampleCollectionCertStore
此集合证书库供响应使用者和请求生成者使用以验证签署者证书路径。

样本信任锚

信任锚用于验证签署者证书的信任度。有关如何修改样本信任锚配置的信息,请参阅以下文章:

样本可信标识鉴别程序

可信标识鉴别程序用于在断言标识声明中的标识之前建立信任。有关如何修改样本可信标识鉴别程序配置的信息,请参阅在服务器或单元级别上配置可信标识鉴别程序
SampleTrustedIDEvaluator
此可信标识鉴别程序使用 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 实现。com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 的缺省实现包含可信标识的列表。当密钥和值与可信标识相同时,此列表定义为具有 trustedId_* 的属性。
在 WebSphere Application Server 管理控制台中,请完成下列步骤以便在服务器级别定义此信息:
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下面,单击可信标识鉴别程序 > SampleTrustedIDEvaluator
相关任务
配置应用程序级别的生成者绑定的密钥定位器
配置应用程序级别的使用者绑定的密钥定位器
配置服务器或单元级别的密钥定位器
在应用程序级别配置生成者绑定的集合证书库
在应用程序级别上配置使用者绑定的集合证书库
对服务器级别绑定或单元级别绑定配置集合证书库
配置应用程序级别的生成者绑定的信任锚
配置应用程序级别的使用者绑定的信任锚
配置服务器或单元级别的信任锚
在服务器或单元级别上配置可信标识鉴别程序

反馈