为生成者绑定配置密钥定位器

配置密钥定位器前,您应该了解哪个密钥信息配置将引用此密钥定位器。例如,如果您为 STRREF 密钥信息类型配置此密钥定位器,则选择 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥定位器类。

WebSphere® Application Server V6 提供了可供选择的缺省密钥定位器实现,也可以编写您自己的实现。定制密钥定位器必须实现 com.ibm.wsspi.wssecurity.keyinfo.KeyLocator 接口。 使用此实现,您可以在任何数据源内定位密钥。

完成以下步骤,使用组装工具为生成者配置密钥定位器。密钥定位器的目的是从密钥库检索用于数字签名和加密的密钥。请求生成者是为客户机配置的,而响应生成者是为服务器配置的。在以下步骤中,您必须在步骤 2 中配置客户端绑定或在步骤 3 中配置服务器端绑定。

  1. 单击窗口 > 打开透视图 > J2EE
  2. 可选: 使用“项目资源管理器”窗口找到客户端绑定。 显示“客户机部署描述符”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 客户机”部分,并双击 Web Service 的名称。
    2. 单击 WS 绑定选项卡并展开“安全请求生成者绑定配置”部分。
  3. 可选: 使用“项目资源管理器”窗口找到服务器端绑定。 显示“Web Service 编辑器”窗口。此 Web Service 包含需要配置的绑定。
    1. 展开“Web Service > 服务”部分,并双击 Web Service 的名称。
    2. 单击绑定配置选项卡,并展开“响应生成者绑定配置详细信息”部分。
  4. 展开“密钥定位器”部分并单击添加以添加新条目或单击编辑以编辑所选条目。
  5. 在“密钥定位器名称”字段中指定此配置的名称。 在“密钥信息”对话的“密钥定位器”字段中引用此配置名称。
  6. 在“密钥定位器类”字段中选择密钥定位器实现。 选择与引用此密钥定位器的密钥信息配置匹配的密钥定位器类。V6 应用程序支持以下缺省密钥定位器类实现:
    com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
    此实现从指定的密钥库文件查找并获取密钥。
    com.ibm.wsspi.wssecurity.keyinfo.SignerCertKeyLocator
    此实现使用签署者证书的公用密钥。此类实现由响应生成者使用。
    com.ibm.wsspi.wssecurity.keyinfo.X509TokenKeyLocator
    此实现使用发送方消息的 X.509 安全性令牌进行数字签名验证和加密。此类实现由请求使用者和响应使用者使用。
  7. 如果您需要为此密钥定位器配置密钥库,则选择使用密钥库选项。 您是否需要为密钥定位器配置密钥库信息取决于密钥定位器类和您的应用程序配置。例如,如果在前面的步骤中选择 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 密钥定位器类,则为此密钥定位器配置密钥库信息。
    1. 在“密钥库存储护照”字段中指定密钥库密码。 密钥库存储护照是访问密钥库文件所需的密码。
    2. 在“密钥库路径”字段中指定到密钥库文件的路径。 密钥库路径是密钥库驻留的目录。确保无论您在哪里部署应用程序,都可以找到您的密钥库文件。因此,建议在路径名中使用 ${USER_INSTALL_ROOT},这是因为此变量将展开为机器上的 WebSphere Application Server 路径。
    3. 从“密钥库类型”字段选择密钥库类型。 您选择的密钥库类型必须与“密钥库路径”字段中指定的密钥库文件相匹配。支持以下密钥库类型:
      JKS
      如果未使用 Java™ 密码术扩展(JCE),并且如果密钥库文件使用 Java 密钥库(JKS)格式,则使用此选项。
      JCEKS
      如果正在使用 Java 密码术扩展,则使用此选项。
      PKCS11
      如果密钥库使用 PKCS#11 文件格式,则使用此格式。使用此格式的密钥库可以包含加密硬件上的 RSA 密钥,或者包含使用加密硬件的加密密钥来确保安全。
      PKCS12
      如果密钥库使用 PKCS#12 文件格式,则使用此选项。
  8. 单击“密钥”字段下的添加,以便在您在前一步骤中指定的密钥库文件中添加密钥条目。 此密钥用于签名生成或加密。您指定的密钥必须与用于使用者验证或解密的密钥相匹配。
    1. 在“别名”字段中为密钥指定别名。 该密钥别名由密钥定位器用于查找密钥库文件中的密钥。
    2. 指定与“密钥传递”字段中的密钥相关联的密码。 需要此密码访问密钥库文件内的密钥对象。
    3. 在“密钥名”字段中指定密钥名称。 对于数字签名,在请求生成者或响应生成者的签署信息中使用该密钥名以确定使用哪个密钥来对消息进行数字签名。对于加密,该密钥名用于确定使用哪个密钥进行加密。您必须为密钥名指定标准的专有名称。例如,您可以指定 CN=Bob,O=IBM,C=US
  9. 单击确定以保存配置。
在您配置需要配置的密钥定位器和任何密钥生成器后,可以配置引用此密钥定位器的密钥信息。有关更多信息,请参阅为生成者绑定配置密钥信息
相关概念
密钥定位器
相关任务
为生成者绑定配置密钥信息

反馈