配置应用程序级别的使用者绑定的信任锚

此文档描述如何为应用程序级别的使用者绑定配置信任锚。它不描述如何在服务器或单元级别上配置信任锚。在应用程序级别上定义的信任锚比服务器或单元级别上定义的信任锚具有更高的优先级。有关在服务器或单元级别上创建和配置信任锚的更多信息,请参阅配置服务器或单元级别的信任锚

可以使用组装工具或 WebSphere® Application Server 管理控制台来为使用者绑定配置信任锚。本文档描述了如何使用 WebSphere Application Server 管理控制台来配置应用程序级别信任锚。

信任锚指定包含可信根认证中心(CA)证书的密钥库,其验证签署者证书。这些密钥库由请求使用者(如 ibm-webservices-bnd.xmi 文件中所定义)和响应使用者(如 Web Service 担当客户机时 ibm-webservicesclient-bnd.xmi 中所定义)用于验证简单对象访问协议(SOAP)消息中的 X.509 证书。密钥库对于数字签名验证的完整性很关键。如果密钥库被篡改,则数字签名验证结果将不可信。因此,建议您保护这些密钥库。ibm-webservices-bnd.xmi 文件中为请求使用者指定的绑定配置必须与 ibm-webservicesclient-bnd.xmi 文件中为响应使用者指定的绑定配置匹配。 服务器端上请求使用者的信任锚配置必须匹配客户端上的请求生成者配置。同样,客户端上响应使用者的信任锚配置必须匹配服务器端上的响应生成者配置。

完成以下步骤在应用程序级别上配置使用者绑定的信任锚:

  1. 在 WebSphere Application Server 管理控制台中找到信任锚面板。
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,可以访问以下绑定的信任锚配置:
      • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
      • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击信任锚
    5. 单击新建以创建信任锚配置。选择配置旁的框,单击删除以删除现有配置,或者单击现有信任锚配置的名称以编辑其设置。 如果您正在创建新配置,则在“信任锚名称”字段中输入唯一的名称。
  2. 指定密钥库密码、密钥库位置和密钥库类型。 信任锚密钥库文件包含可信根认证中心(CA)证书,这些证书用于验证数字签名或 XML 加密中使用的 X.509 证书。
    1. 在“密钥库密码”字段中指定密码。 此密码用于访问密钥库文件。
    2. 在“密钥库路径”字段中指定密钥库文件的位置。
    3. 从“密钥库类型”字段中选择密钥库类型。 IBM® 使用的 Java™ 密码术扩展(JCE)支持下列密钥库类型:
      JKS
      如果未使用 Java 密码术扩展(JCE),并且如果密钥库文件使用 Java 密钥库(JKS)格式,则使用此选项。
      JCEKS
      如果正在使用 Java 密码术扩展,则使用此选项。
      PKCS11KS(PKCS11)
      如果密钥库文件使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库文件可能包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
      PKCS12KS(PKCS12)
      如果密钥库文件使用 PKCS#12 文件格式,则使用此选项。
      WebSphere Application Server 在 ${USER_INSTALL_ROOT}/etc/ws-security/samples 目录中提供了一些样本密钥库文件。例如,您可能为加密密钥使用 enc-receiver.jceks 密钥库文件。此文件的密码为 storepass,类型为 JCEKS。
      注意: 不要在生产环境中使用这些密钥库文件。这些样本的提供仅用于测试目的。
此任务在应用程序级别上配置使用者绑定的信任锚。
您必须为生成者指定类似的信任锚信息。
相关任务
配置应用程序级别的生成者绑定的信任锚
配置服务器或单元级别的信任锚
相关参考
信任锚集合信任锚名
信任锚配置设置信任锚名

反馈