配置应用程序级别的令牌生成者

此任务描述指定应用程序级别的令牌生成者所需的步骤。生成者端使用该信息以生成安全性令牌。

完成以下步骤在应用程序级别上配置令牌生成者:

  1. 在 WebSphere® Application Server 管理控制台中找到令牌生成者面板。
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,可以访问以下绑定的令牌生成者信息:
      • 要获取请求生成者(发送方)绑定,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
      • 要获取响应生成者(发送方)绑定,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击令牌生成者
    5. 单击新建以创建令牌生成者配置,选择现有配置旁的框并单击删除以删除现有配置,或者单击现有令牌生成者配置的名称以编辑其设置。 如果您正在创建新配置,则在“令牌生成者名称”字段中输入唯一的名称。例如,您可以指定 gen_signtgen
  2. 在“令牌生成者类名”字段中指定类名。 该令牌生成者类必须实现 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。请求生成者和响应生成者的令牌生成者类名必须分别类似请求使用者和响应使用者的令牌使用者类名。例如,如果您的应用程序需要用户名令牌使用者,则可以在应用程序级别的令牌使用者面板上指定 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 类名,并在此字段中指定 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 类名。
  3. 可选: 在“部分引用”字段中选择部分引用。 该部分引用表明在部署描述符中定义的安全性令牌的名称。
    要点: 在应用程序级别上,未在部署描述符中指定安全性令牌时,将不显示“部分引用”字段。如果在部署描述符中定义了称为 user_tgen 的安全性令牌,则 user_tgen 在“部分引用”字段中将作为可选项显示。当使用组装工具组装应用程序时,您可以在部署描述符中指定安全性令牌。
  4. 为证书路径选择专用签名信息 当令牌生成者不使用 PKCS#7 令牌类型时,选择。当令牌生成者是 PKCS#7 令牌类型的生成者,并且您希望在安全性令牌中装入证书撤销列表(CRL)时,选择专用签名信息并选择证书库。要在应用程序级别上为生成者绑定配置集合证书库和证书撤销列表,请完成以下步骤:
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,可以访问以下绑定的集合证书库配置信息:
      • 要获取请求生成者(发送方)绑定,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
      • 要获取响应生成者(发送方)绑定,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    4. 在“其他属性”下,单击集合证书库

    有关配置集合证书库的更多信息,请参阅 在应用程序级别配置生成者绑定的集合证书库

  5. 可选: 选择添加现时标志选项。 此选项指出现时标志是否包含在令牌生成者的用户名令牌中。现时标志是一个嵌入在消息中的唯一的加密数字,以帮助停止用户名令牌的重复、未授权的攻击。仅当生成的令牌类型是用户名令牌并且仅可用于请求生成者绑定时,添加现时标志选项才有效。
    如果您选择添加现时标志选项,则您可以在“其他属性”下指定以下属性。这些属性由请求使用者使用。
    表 1. 其他现时标志属性
    属性名 缺省值 说明
    com.ibm.ws.wssecurity.config.token.
    BasicAuth.Nonce.cacheTimeout
    600 秒 为服务器上已高速缓存的现时标志值指定超时值(以秒计)。
    com.ibm.ws.wssecurity.config.token.
    BasicAuth.Nonce.clockSkew
    0 秒 指定现时标志时间戳记到期前的时间(以秒计)。
    com.ibm.ws.wssecurity.config.token.
    BasicAuth.Nonce.maxAge
    300 秒 指定 WebSphere Application Server 在检查消息适时性时要考虑的时钟偏差值(以秒计)。

    在服务器级别,可以在 WebSphere Application Server 管理控制台中的“Web Service 安全性的缺省绑定”面板上为现时标志指定这些其他属性。要访问该面板,请单击服务器 > 应用程序服务器 > server_name。在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定

  6. 可选: 选择添加时间戳记选项。 此选项指定是否将时间戳记插入到用户名令牌中。仅当生成的令牌类型是用户名令牌并且仅可用于请求生成者绑定时,添加时间戳记选项才有效。
  7. 在“局部名”字段中指定值类型局部名。 对于用户名令牌和 X.509 证书安全性令牌,WebSphere Application Server 为值类型提供了预定义的局部名。指定以下局部名时,不需要指定值类型的 URI:
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    此局部名指定用户名令牌。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
    此局部名指定 X.509 证书令牌。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    此局部名用公共密钥基础结构(PKI)路径指定 X.509 证书。
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    此局部名指定 PKCS#7 格式的 X.509 证书列表和证书撤销列表。

    对于 LTPA 令牌,您可对值类型局部名使用 LTPA,对值类型统一资源标识(URI)使用 http://www.ibm.com/websphere/appserver/tokentype/5.0.2

  8. 可选: 在 URI 字段中指定值类型 URI。 此条目指定生成的令牌的值类型的名称空间 URI。
  9. 单击确定保存以保存配置。
  10. 单击令牌生成者配置的名称。
  11. 在“其他属性”下,单击回调处理程序
  12. 指定回调处理程序的设置。
    1. 在“回调处理程序类名”字段中指定类名。 此类名是用于插入安全性令牌框架的回调处理程序实现类的名称。指定的回调处理程序类必须实现 javax.security.auth.callback.CallbackHandler 接口,并且必须使用以下语法提供构造函数:
      MyCallbackHandler(String username, char[] password, java.util.Map properties)
      其中:
      username
      指定传递到配置中的用户名。
      password
      指定传递到配置中的密码。
      properties
      指定传递到配置中的其他配置属性。
      如果回调处理程序需要用户名和密码,则需要此构造函数。然而,如果回调处理程序不需要用户名和密码(如 X509CallbackHandler),则使用具有以下语法的构造函数:
      MyCallbackHandler(java.util.Map properties)
      WebSphere Application Server 提供了下列缺省的回调处理程序实现:
      com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示,并且,WebSphere Application Server 会将该用户名和密码返回给令牌生成者。只应该对 Java™ 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。如果使用此实现,则必须在此面板上提供基本认证用户标识和密码。
      com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      如果在此面板上指定了用户名和密码,则此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。如果使用此实现,则必须在此面板上提供基本认证用户标识和密码。
      com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 不发出提示,而是将该用户名和密码返回给令牌生成者。只应该对 Java 2 Platform, Enterprise Edition(J2EE)应用程序客户机使用此实现。如果使用此实现,则必须在此面板上提供基本认证用户标识和密码。
      com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
      此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证(LTPA)安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板上指定了用户名和密码,则 WebSphere Application Server 将对该用户名和密码进行认证以获取 LTPA 安全性令牌,而不是从“运行方式主体集”中获取该安全性令牌。仅当 Web Service 作为应用程序服务器上的客户机时使用此回调处理程序。建议您不要在 J2EE Application Client 上使用此回调处理程序。如果使用此实现,则必须在此面板上提供基本认证用户标识和密码。
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。如果使用此实现,则必须在此面板上提供密钥库密码、路径和类型。
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。您可以在集合证书库中指定证书撤销列表(CRL)。CRL 是用 PKCS#7 格式的 X.509 证书编码的。如果使用此实现,则必须在此面板上提供密钥库密码、路径和类型。
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入在 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL;因此,不需要或不使用集合证书库。如果使用此实现,则必须在此面板上提供密钥库密码、路径和类型。

      回调处理程序实现获取必需的安全性令牌并将它传递到响应生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供者可以提供它们自己的实现,但是该实现必须使用 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 接口。

    2. 可选: 选择使用标识声明选项。 如果在 IBM® 扩展部署描述符中定义了标识声明,则选择此选项。此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,对于用户名令牌生成者,WebSphere Application Server 只发送初始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
    3. 可选: 选择使用运行方式标识选项。 如果在 IBM 扩展部署描述符中定义了标识声明,并且要对下游调用中的标识声明使用运行方式标识而不是初始调用者标识,则选择此选项。仅当将 Username TokenGenerator 配置为响应生成者时此选项有效。
    4. 可选: 在“基本认证用户标识”字段中指定基本认证用户标识。 此条目指定传递给回调处理程序实现的构造函数的用户名。如果指定“回调处理程序类名”字段中的以下某个缺省回调处理程序实现,则将使用基本认证用户名和密码:
      • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
      • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
    5. 可选: 在“基本认证密码”字段中指定基本认证密码。 此条目指定传递给回调处理程序实现的构造函数的密码。
    6. 可选: 在“密钥库密码”字段中指定密钥库密码。 此条目指定用于访问密钥库文件的密码。如果选择了下列某一个由 WebSphere Application Server 提供的缺省回调处理程序实现,则将使用密钥库及其配置:
      com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
      该密钥库用于构建具有证书路径的 X.509 证书。
      com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
      该密钥库用于构建具有证书路径的 X.509 证书。
      com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
      该密钥库用于检索 X.509 证书。
    7. 可选: 在“路径”字段中指定密钥库路径。 建议在路径名中使用 ${USER_INSTALL_ROOT},这是因为此变量将展开为机器上的 WebSphere Application Server 路径。要更改由此变量使用的路径,请单击环境 > WebSphere 变量并单击 USER_INSTALL_ROOT。当您使用 com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler、com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler 或 com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler 回调处理程序实现时,需要此字段。
    8. 可选: 在“类型”字段中选择密钥库类型。 此选择表明密钥库文件使用的格式。您可以为此字段选择下列某个值:
      JKS
      如果密钥库使用 Java 密钥库(JKS)格式,则使用此选项。
      JCEKS
      如果在软件开发包(SDK)中配置了 Java 密码术扩展,则使用此选项。在 WebSphere Application Server 中配置了缺省 IBM JCE。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
      PKCS11KS(PKCS11)
      如果密钥库使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
      PKCS12KS(PKCS12)
      如果密钥库使用 PKCS#12 文件格式,则使用此选项。
  13. 单击确定,然后单击保存保存配置。
  14. 单击令牌生成者配置的名称。
  15. 在“其他属性”下,单击回调处理程序 > 密钥
  16. 指定密钥名、密钥别名和密钥密码。
    1. 单击新建以创建密钥配置,单击删除以删除现有配置,或者单击现有密钥配置的名称以编辑其设置。 如果您正在创建新配置,则在“密钥名”字段中输入唯一的名称。对于数字签名,请求生成者或响应生成者签名信息使用密钥名以确定哪个密钥用于数字签名消息。对于加密,密钥名用于确定用于加密的密钥。密钥名必须是标准的专有名称。例如,CN=Bob,O=IBM,C=US
    2. 在“密钥别名”字段中指定密钥别名。 该密钥别名由密钥定位器用于查找密钥库文件中的密钥。
    3. 在“密钥密码”字段中指定密钥密码。 需要此密码访问密钥库文件内的密钥对象。
  17. 单击确定保存以保存配置。
您已配置应用程序级别的令牌生成者。
您必须为应用程序级别指定类似的令牌使用者配置。
相关任务
在应用程序级别配置生成者绑定的集合证书库
配置应用程序级别的令牌生成者

反馈