配置服务器或单元级别的密钥定位器

缺省生成者绑定的密钥定位器信息指定如果未定义应用程序级别的这些绑定,使用何种密钥定位器实现来找到用于签名和加密信息的密钥。缺省使用者绑定的密钥定位器信息指定如果未定义应用程序级别的这些绑定,使用何种密钥定位器实现来找到用于签名验证或解密的密钥。WebSphere® Application Server 为绑定提供了缺省值。然而,您必须修改生产环境的缺省值。

完成以下步骤在服务器或单元级别上配置密钥定位器:

  1. 访问服务器级别的缺省绑定。
    1. 单击服务器 > 应用程序服务器 > server_name
    2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  2. 在“其他属性”下,单击密钥定位器 您可以在此位置为缺省生成者和缺省使用者配置密钥定位器配置。
  3. 单击新建以创建密钥定位器配置,单击删除以删除现有配置,或者单击现有密钥定位器配置的名称以编辑其设置。 如果您正在创建新配置,则在“密钥定位器名称”字段中输入密钥定位器配置的唯一名称。例如,您可以指定 sig_klocator
  4. 在“密钥定位器类名”字段中指定密钥定位器类实现的名称。 与 V6 应用程序关联的密钥定位器必须实现 com.ibm.wsspi.wssecurity.keyinfo.KeyLocator 接口。WebSphere Application Server 为 V6 应用程序提供了下列缺省密钥定位器类实现:
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator
    此实现从指定的密钥库文件查找并获取密钥。
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    此实现使用签署者证书的公用密钥。此类实现由响应生成者使用。
    com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
    此实现使用发送方消息的 X.509 安全性令牌进行数字签名验证和加密。此类实现由请求使用者和响应使用者使用。

    例如,如果您需要配置成为签名信息的密钥定位器,则可能指定 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreLeyLocator 实现。

  5. 指定密钥库密码、密钥库位置和密钥库类型。 密钥库文件包含公用和专用密钥、根认证中心(CA)证书和中间 CA 证书等等。从密钥库文件获取的密钥用于签署和验证消息或消息部件,或者加密和解密消息或消息部件。如果您为密钥定位器类实现指定了 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 实现,则您必须指定密钥库密码、位置和类型。
    1. 在“密钥库密码”字段中指定密码。 此密码用于访问密钥库文件。
    2. 在“密钥库路径”字段中指定密钥库文件的位置。
    3. 从“密钥库类型”字段中选择密钥库类型。 使用的 Java™ 密码术扩展(JCE)支持下列密钥库类型:
      JKS
      如果未使用 Java 密码术扩展(JCE),并且如果密钥库文件使用 Java 密钥库(JKS)格式,则使用此选项。
      JCEKS
      如果正在使用 Java 密码术扩展,则使用此选项。
      PKCS11
      如果密钥库文件使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库文件可能包含加密硬件上的 Rivest Shamir Adleman(RSA)密钥,或者包含使用加密硬件的加密密钥来确保安全。
      PKCS12
      如果密钥库文件使用 PKCS#12 文件格式,则使用此选项。
      WebSphere Application Server 在 ${USER_INSTALL_ROOT}/etc/ws-security/samples 目录中提供了一些样本密钥库文件。例如,您可能为加密密钥使用 enc-receiver.jceks 密钥库文件。此文件的密码为 storepass,类型为 JCEKS。
      注意: 不要在生产环境中使用这些密钥库文件。这些样本的提供仅用于测试目的。
  6. 单击确定保存以保存配置。
  7. 在“其他属性”下,单击密钥
  8. 单击新建以创建密钥配置,单击删除以删除现有配置,或者单击现有密钥配置的名称以编辑该设置。 此条目指定密钥库文件中的密钥对象名。如果正在创建新配置,则在“密钥名”字段中输入唯一的名称。

    您必须使用密钥名的标准专有名称。例如,您可能使用 CN=Bob,O=IBM,C=US

  9. 在“密钥别名”字段中指定别名。 该密钥别名由密钥定位器用于搜索密钥库文件中的密钥对象。
  10. 在“密钥密码”字段中指定密码。 该密码用于访问密钥库文件中的密钥对象。
  11. 单击确定,然后单击保存保存配置。
您已为服务器或单元级别配置密钥定位器。
为引用此密钥定位器的缺省生成者和缺省使用者绑定配置密钥信息。

反馈