配置由密钥信息面板中的“密钥定位器引用”和“令牌引用”字段引用的密钥定位器和令牌使用者。
此任务提供为请求使用者(服务器端)和响应使用者(客户端)绑定配置应用程序级别的密钥信息所需的步骤。使用者端上的密钥信息用于指定关于密钥的信息,用于验证接收消息中的数字签名或者用于解密消息的加密部分。完成以下步骤在应用程序级别上配置使用者绑定的密钥信息。
- 在管理控制台中找到密钥信息配置面板。
- 单击应用程序 > 企业应用程序 > application_name。
- 在“相关项”下,单击 EJB 模块或 Web 模块 > URI_name。
- 在“其他属性”下,可以访问请求使用者和响应使用者绑定的密钥信息。
- 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制。
- 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制。
- 在“必需属性”下,单击密钥信息。
- 单击新建以创建密钥信息配置,单击删除并且选择配置旁的框来删除现有配置,或者单击现有密钥信息配置的名称以编辑其设置。 如果您正在创建新配置,则在“密钥信息名称”字段中输入名称。例如,您可以指定 con_signkeyinfo。
- 从“密钥信息类型”字段中选择密钥信息类型。 密钥信息类型指定了通过使用 <ds:KeyInfo> 元素中的 <wsse:SecurityTokenReference> 元素来引用安全性令牌的不同机制。WebSphere® Application Server 支持下列密钥信息类型:
- 密钥标识
- 安全性令牌是使用唯一识别令牌的不透明值引用的。用于生成 <KeyIdentifier> 元素值的算法取决于令牌类型。例如,您可以使用请求评论(RFC)3280 的因特网工程任务组织(IETF)中定义的公用密钥的标识。在简单对象访问协议(SOAP)消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
/oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">/62wXO...
</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 密钥名
- 安全性令牌是使用与令牌内的标识声明匹配的名称引用的。建议您不要使用此密钥类型,因为它可能导致多个安全性令牌匹配指定的名称。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
通常,当您使用 Key-Hashing Message Authentication Code(HMAC)数字签名算法(如 http://www.w3.org/2000/09/xmldsig#hmac-sha1)时,使用密钥名称。
- 安全性令牌引用
- 使用通用资源标识(URI)直接引用该安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI='#SomeCert'
ValueType="http://docs.oasis-open.org/wss/2004/01/
oasis-200401-wss-x509-token-profile-1.0#X509v3" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 嵌入式令牌
- 在 <SecurityTokenReference> 元素中直接嵌入了安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- X509 发布者名称和发布者串行
- 安全性令牌由 X.509 证书的发布者名称和发布者序列号引用。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
Web Service 安全性:SOAP 消息安全性 1.0(WS-Security 2004)OASIS
标准对每种类型的密钥信息都作了描述,该标准位于 http://www.oasis-open.org/home/index.php 上的 Web Services security 中。
- 从“密钥定位器引用”字段选择密钥定位器引用。 此字段的值是对密钥定位器的引用,WebSphere Application Server
使用该密钥定位器来查找用于数字签名和加密的密钥。选择密钥定位器前,必须配置密钥定位器。有关配置密钥定位器的更多信息,请参阅配置应用程序级别的使用者绑定的密钥定位器。
- 从“令牌引用”字段中选择令牌引用。 该令牌引用指定对用于处理消息中的安全性令牌的令牌使用者的引用。但是,仅当在“密钥信息类型”字段中选择了“安全性令牌引用”或“嵌入的令牌”时,WebSphere Application Server
才需要此字段。指定令牌引用前,必须配置令牌使用者。有关配置令牌使用者的更多信息,请参阅配置应用程序级别的令牌使用者。
如果此密钥信息配置不需要令牌使用者,则选择(无)。
- 单击确定和保存以保存此配置。
您已在应用程序级别上配置生成者绑定的密钥信息
如果您未为生成者绑定配置密钥信息。您必须为生成者指定类似的密钥信息配置。在为使用者和生成者配置密钥信息后,配置签名信息或加密信息,这引用此密钥信息任务中指定的密钥信息。