密钥信息配置设置

使用此页面来指定 XML 数字签名或 XML 加密的密钥所需的相关配置。
要在服务器级别查看此 WebSphere® Application Server 管理控制台页来了解密钥信息引用,请完成下列步骤:
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“缺省生成者绑定”或“缺省使用者绑定”下,单击密钥信息
  4. 单击新建以创建新配置,或单击配置名称以修改其内容。
要在应用程序级别查看此 WebSphere Application Server 管理控制台页来了解密钥信息引用,请完成下列步骤。此选项在 V6.x 应用程序的应用程序级别上可用。
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 在“其他属性”下,可以访问以下绑定的签名信息:
    • 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
    • 对于“请求使用者(接收方)绑定”,单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
    • 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    • 对于“响应使用者(接收方)绑定”,单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
  4. 在“必需属性”下,单击密钥信息
  5. 单击新建以创建新配置,或单击配置名称以修改其内容。

在“其他属性”下单击属性之前,必须在“密钥信息名称”字段中输入一个值,并为“密钥信息类型和密钥定位器引用”选项选择一个选项。

相关参考
令牌生成者集合令牌生成者名称
令牌使用者集合令牌使用者名
密钥信息集合密钥信息名

密钥信息名

指定密钥信息配置的名称。

密钥信息类型

指定密钥信息的类型。密钥信息类型指定如何引用安全性令牌。
WebSphere Application Server 支持下列类型的密钥信息。Web Service 安全性:SOAP 消息安全性 1.0(WS-Security 2004)OASIS 标准对每种类型的密钥信息都作了描述,该标准位于 http://www.oasis-open.org/home/index.php 上的 Web Services security 中。
类型 描述
密钥标识 安全性令牌是使用唯一识别令牌的不透明值引用的。
密钥名 安全性令牌是使用与令牌内的标识声明匹配的名称引用的。
安全性令牌引用 使用此类型可以直接引用安全性令牌。
嵌入式令牌 具有此类型,可以嵌入安全性令牌引用。
X509 发布者名称和发布者序列 具有此类型,安全性令牌可以由 X.509 证书的发布者和序列号引用
Web Service Security: X509 Token Profile V1.0 描述了 X.509 发布者名称和发布者序列号,该文档位于:http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf。Web Service Security: SOAP Message Security V1.0 描述了其他类型,该文档位于:http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf
如果为密钥信息类型选择密钥标识,则可以在此面板上的以下字段中指定值:
  • 编码方法
  • 计算方法
  • 值类型名称空间 URI
  • 值类型局部名

密钥定位器引用

指定检索用于数字签名和加密的密钥时所用的引用。
指定密钥定位器引用前,必须配置密钥定位器。可以为以下绑定指定签署密钥配置:
绑定名 单元级别、服务器级别或应用程序级别 路径
缺省生成者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下,单击密钥定位器
  4. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
缺省使用者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下,单击密钥定位器
  4. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
请求生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
响应使用者(接收方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
请求使用者(接收方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:服务器安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
响应生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。

密钥名引用

指定用于生成数字签名和加密的密钥的名称。

为缺省生成者显示此字段,并且还为 V6.x 应用程序的请求生成者和响应生成者显示此字段。

绑定名 单元级别、服务器级别或应用程序级别 路径
缺省生成者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“其他属性”下,单击密钥定位器
  4. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
请求生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。
响应生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击密钥定位器
  5. 单击新建以创建新的密钥定位器,或者单击已配置的密钥定位器的名称以修改其配置。

令牌引用

指定用于处理安全性令牌的令牌生成者或令牌使用者的名称。
仅当在“密钥信息类型”字段中指定了“安全性令牌引用”或“嵌入的令牌”时,WebSphere Application Server 才需要此字段。当为使用者指定密钥标识类型时,也需要“令牌引用”字段。指定令牌引用前,必须配置令牌生成者或令牌使用者。可以为以下级别上的下列绑定指定令牌配置:
绑定名 单元级别、服务器级别或应用程序级别 路径
缺省生成者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“缺省生成者绑定”下,单击令牌生成者
  4. 单击新建以创建新的令牌生成者,或者单击已配置的令牌生成者的名称以修改其配置。
缺省使用者绑定 服务器级别
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击 Web Service:Web Service 安全性的缺省绑定
  3. 在“缺省使用者绑定”下,单击令牌使用者
  4. 单击新建以创建新的令牌使用者,或者单击已配置的令牌使用者的名称以修改其配置。
请求生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击令牌生成者
  5. 单击新建以创建新的令牌使用者,或者单击已配置的令牌使用者的名称以修改其配置。
响应使用者(接收方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:客户机安全绑定。在“响应使用者(接收方)绑定”下,单击编辑定制
  4. 在“必需属性”下,单击令牌使用者
  5. 单击新建以创建新的令牌使用者,或者单击已配置的令牌使用者的名称以修改其配置。
请求使用者(接收方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:发送方安全绑定。在“请求使用者(接收方)绑定”下,单击编辑定制
  4. 在“必需属性”下,单击令牌使用者
  5. 单击新建以创建新的令牌使用者,或者单击已配置的令牌使用者的名称以修改其配置。
响应生成者(发送方)绑定 应用程序级别
  1. 单击应用程序 > 企业应用程序 > application_name
  2. 在“相关项”下,单击 EJB 模块或者单击 Web 模块 > URI_name
  3. 单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
  4. 在“其他属性”下,单击令牌生成者
  5. 单击新建以创建新的令牌使用者,或者单击已配置的令牌使用者的名称以修改其配置。

编码方法

指定表明密钥标识的编码格式的编码方法。
当您在“密钥信息类型”字段中指定密钥标识时,此字段有效。WebSphere Application Server 支持下列编码方法:
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary

此字段仅可用于缺省生成者绑定。

计算方法

当您在“密钥信息类型”字段中指定密钥标识时,此字段有效。WebSphere Application Server 支持下列计算方法:
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
  • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1

此字段仅可用于生成者绑定。

值类型名称空间 URI

为密钥标识所引用的安全性令牌指定值类型的名称空间统一资源标识(URI)。

当您在“密钥信息类型”字段中指定密钥标识时,此字段有效。指定 X.509 证书令牌时,不需要指定此选项。如果要指定另一个令牌,则为值类型指定 QName 的 URI。

WebSphere Application Server 为轻量级第三方认证(LTPA)令牌提供了下列预定义值类型 URI:http://www.ibm.com/websphere/appserver/tokentype/5.0.2

此字段仅可用于生成者绑定。

值类型局部名

为密钥标识所引用的安全性令牌指定值类型的局部名。

当在相应的名称空间 URI 中使用此局部名时,此信息称为值类型限定名QName

当您在“密钥信息类型”字段中指定密钥标识时,此字段有效。指定 X.509 证书令牌时,建议您使用预定义的局部名。当您指定预定义局部名时,您不需要指定值类型的 URI。WebSphere Application Server 提供了下列预定义的局部名:
X.509 证书令牌
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 格式的 X.509 证书
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 格式的 X509 证书和 CRL 列表
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
LTPA
注意: 对于 LTPA,值类型局部名是 LTPA。如果输入局部名 LTPA,则还必须在“值类型 URI”字段中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 URI 值。对于其他预定义值类型(用户名令牌、X509 证书令牌、PKIPath 中的 X509 证书以及 PKCS#7 格式的 X509 证书和 CRL 列表),局部名字段的值以 http:// 开头。例如,如果正在为值类型指定用户名令牌,则在“值类型局部名”字段中输入 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken,而不需要在“值类型 URI”字段中输入值。
当您为定制令牌指定定制值类型时,您可以指定值类型的限定名(QName)的局部名和 URI。例如,您可以为局部名指定 Custom,并为 URI 指定 http://www.ibm.com/custom

此字段也仅可用于生成者绑定。


反馈