配置服务器或单元级别的令牌生成者

如果未定义应用程序级别的这些绑定,服务器或单元级别上的令牌生成者用于指定令牌生成者的信息。签名信息和加密信息可共享令牌生成者信息,这是将它们都定义在同一级别的原因。WebSphere® Application Server 为绑定提供了缺省值。您必须修改生产环境的缺省值。

完成以下步骤在服务器级别上配置令牌生成者:

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  2. 在“缺省生成者绑定”下,单击令牌生成者
  3. 单击新建以创建令牌生成者配置,单击删除以删除现有配置,或者单击现有令牌生成者配置的名称以编辑其设置。 如果正在创建新配置,则在“令牌生成者名称”字段中输入令牌生成者配置的唯一名称。例如,您可以指定 sig_tgen。此字段指定令牌生成者元素的名称。
  4. 在“令牌生成者类名”字段中指定类名。 该令牌生成者类必须实现 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。令牌生成者类名必须类似于令牌使用者类名。例如,如果您的应用程序需要 X.509 证书令牌使用者,则可以在令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.X509TokenGenerator 类名。WebSphere Application Server 提供了下列缺省令牌生成者类实现:
    com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator
    此实现生成用户名令牌。
    com.ibm.wsspi.wssecurity.token.X509TokenGenerator
    此实现生成 X.509 证书令牌。
    com.ibm.wsspi.wssecurity.token.LTPATokenGenerator
    此实现生成轻量级第三方认证(LTPA)令牌。
  5. 选择证书路径选项。 证书路径指定证书撤销列表(CRL),用于生成采用 PKCS#7 格式与 CRL 合并在一起的安全性令牌。WebSphere Application Server 提供了下列证书路径选项:
    在 CRL 不用于生成安全性令牌的情况下,选择此选项。当令牌生成者不使用 PKCS#7 令牌类型时,必须选择此选项。
    专用签名信息
    如果 CRL 与安全性令牌合并在一起,则选择专用的签名信息并从“证书库”字段中选择集合证书库名称。该“证书库”字段显示已定义的集合证书库名称。要定义单元级别上的集合证书库,请参阅对服务器级别绑定或单元级别绑定配置集合证书库
  6. 选择添加现时标志选项以包含令牌生成者的用户名令牌内的现时标志。 现时标志是唯一加密数字,它嵌入在消息中以帮助停止用户名令牌的重复未授权攻击。如果您为令牌生成者指定用户名令牌,则可使用添加现时标志选项。
  7. 选择添加时间戳记选项以包含令牌生成者的用户名令牌内的时间戳记。
  8. 在“局部名”字段中指定值类型局部名。 此条目为密钥标识引用的安全性令牌指定值类型的局部名。当您将密钥标识选为密钥信息类型时,此属性是有效的。要指定密钥信息类型,请参阅配置服务器或单元级别的生成者绑定的密钥信息。WebSphere Application Server 提供了下列预定义的 X.509 证书令牌配置:
    X.509 证书令牌
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
    PKIPath 格式的 X.509 证书
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    PKCS#7 格式的 X.509 证书和 CRL 的列表
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    LTPA
    对于 LTPA,值类型局部名为 LTPA。如果输入局部名 LTPA,则还必须在“值类型 URI”字段中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 值。
    例如,当指定 X.509 证书令牌时,您可将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 用于局部名。
  9. 在 URI 字段中指定值类型统一资源标识(URI)。 此条目为密钥标识引用的安全性令牌指定值类型的名称空间 URI。在缺省生成者的密钥信息面板上将密钥标识选为密钥信息类型时,此属性是有效的。指定 X.509 证书令牌时,不需要指定名称空间 URI。如果指定了另一个令牌,则必须指定值类型的名称空间 URI。
  10. 单击确定,然后单击保存保存配置。
  11. 单击令牌生成者配置的名称。
  12. 在“其他属性”下,单击回调处理程序以配置回调处理程序属性。 该回调处理程序指定如何获取插入在简单对象访问协议(SOAP)消息中的 Web Service 安全性头中的安全性令牌。“令牌获取”是一个可插入的框架,它利用 Java™ 认证和授权服务(JAAS)javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。
    1. 在“回调处理程序类名”字段中指定回调处理程序类实现。 此属性指定用于插入安全性令牌框架的回调处理程序类实现的名称。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 类。WebSphere Application Server 提供了下列缺省的回调处理程序实现:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示,并且,WebSphere Application Server 会将该用户名和密码返回给令牌生成者。只应该对 Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      如果在此面板的基本认证部分中指定了此回调处理程序,则它不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上的基本认证部分中指定了用户名和密码,则 WebSphere Application Server 不发出提示,而是将该用户名和密码返回给令牌生成者。只应该对 Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证(LTPA)安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板上的基本认证部分中指定了用户名和密码,则 WebSphere Application Server 将对该用户名和密码进行认证以获取 LTPA 安全性令牌。它用此方法获取安全性令牌,而不是从“作为主体集运行”中获取安全性令牌。仅当 Web Service 作为应用程序服务器上的客户机时使用此回调处理程序。建议您不要在 J2EE Application Client 上使用此回调处理程序。
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库文件和密钥定义对于此回调处理程序来说是必需的。
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库文件。必须在集合证书库中指定证书撤销列表(CRL)。CRL 是用 PKCS#7 格式的 X.509 证书编码的。有关配置集合证书库的更多信息,请参阅对服务器级别绑定或单元级别绑定配置集合证书库
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库文件。此回调处理程序不支持 CRL;因此,不需要或不使用集合证书库。

      对于 X.509 证书令牌,您可以指定 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 实现。

    2. 可选: 选择使用标识声明选项。 如果在 IBM® 扩展部署描述符中定义了标识声明,则选择此选项。此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,对于用户名令牌生成者,WebSphere Application Server 只发送初始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
    3. 可选: 选择使用运行方式标识选项。 如果以下条件为真,则选择此选项:
      • 在 IBM 扩展部署描述符中定义了标识声明。
      • 您要在下游调用的标识声明中使用运行方式标识而不是初始调用者标识。
    4. 可选: 在“用户标识”和“密码”字段中指定基本认证用户标识和密码。 此条目指定传递给回调处理程序实现的构造函数的用户名和密码。如果指定了下列某一个由 WebSphere Application Server 提供的缺省回调处理程序实现,则将使用基本认证用户标识和密码:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
    5. 可选: 指定密钥库密码和路径。 当密钥或证书用于生成令牌时,密钥库和它的相关信息是必需的。例如,如果选择了下列某一个由 WebSphere Application Server 提供的缺省回调处理程序实现,则密钥库信息是必需的:
      • com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler

      密钥库文件包含公用和专用密钥、根认证中心(CA)证书和中间 CA 证书等等。从密钥库文件获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。要从密钥库文件获取密钥,必须指定密钥库密码、密钥库路径和密钥库类型。

  13. 从“类型”字段中选择密钥库类型。 WebSphere Application Server 提供了下列选项:
    JKS
    如果未使用 Java 密码术扩展(JCE),并且如果密钥库文件使用 Java 密钥库(JKS)格式,则使用此选项。
    JCEKS
    如果正在使用 Java 密码术扩展,则使用此选项。
    PKCS11KS(PKCS11)
    如果密钥库文件使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库文件可能包含加密硬件上的 RSA 密钥,或者加密使用加密硬件的密钥来确保安全。
    PKCS12KS(PKCS12)
    如果密钥库文件使用 PKCS#12 文件格式,则使用此选项。
  14. 单击确定,然后单击保存保存配置。
  15. 单击令牌生成者配置的名称。
  16. 在“其他属性”下,单击回调处理程序 > 密钥
  17. 单击新建以创建密钥配置,单击删除以删除现有配置,或者单击现有密钥配置的名称以编辑其设置。 如果正在创建新配置,则在“密钥名”字段中输入密钥配置的唯一名称。此名称是指密钥库文件中存储的密钥对象名。
  18. 在“密钥别名”字段中指定密钥对象的别名。 当密钥定位器搜索密钥库中的密钥对象时使用该别名。
  19. 在“密钥密码”字段中指定与密钥相关联的密码。
  20. 单击确定保存以保存配置。
已经在服务器级别或单元级别上配置了令牌生成者。
必须指定类似的令牌使用者配置。
相关任务
对服务器级别绑定或单元级别绑定配置集合证书库

反馈