信任锚指定包含可信根证书的密钥库。这些证书用于验证 X.509 证书是否嵌入在简单对象访问协议(SOAP)消息中。
这些密钥库供以下消息点使用,以验证 X.509 证书是否用于数字签名或 XML 加密:
- 请求使用者,如在 ibm-webservices-bnd.xmi 文件中定义的那样
- 响应使用者,如在 ibm-webservicesclient-bnd.xmi 文件中定义的那样(当 Web Service 正在充当另一个 Web Service 的客户机时)
密钥库对于数字签名验证的完整性很关键。如果密钥库被篡改,则数字签名验证的结果可疑且受到损害。因此,建议您保护这些密钥库。
ibm-webservices-bnd.xmi 文件中为请求使用者指定的绑定配置必须与
ibm-webservicesclient-bnd.xmi 文件中请求生成者的绑定配置匹配。
在 Java™ CertPath
应用程序编程接口(API)中,将信任锚定义为 java.security.cert.TrustAnchor。Java CertPath API 使用信任锚和证书库来对嵌入在简单对象访问协议(SOAP)消息中的输入
X.509 证书进行验证。WebSphere® Application Server
中的 Web Service 安全性实现支持此信任锚。在 WebSphere Application Server
中,将信任锚表示为 Java 密钥库对象。通过 WebSphere Application Server
管理控制台或通过进行脚本编制来将密钥库的类型、路径和密码传递给实现。