配置服务器或单元级别的生成者绑定的密钥信息
如果未定义应用程序级别的这些绑定,则使用缺省生成者的密钥信息来指定签署或加密信息配置使用的密钥。签署和加密信息配置可共享相同的密钥信息,这是将它们定义在同一级别的原因。WebSphere
®
Application Server 为这些绑定提供了缺省值。然而,管理员必须修改生产环境的这些值。
完成以下步骤在服务器或者单元级别上配置生成者绑定的密钥信息:
访问服务器级别的缺省绑定。
单击
服务器 > 应用程序服务器 >
server_name
。
在“安全性”下,单击
Web Service:Web Service 安全性的缺省绑定
。
在“缺省生成者绑定”下,单击
密钥信息
。
单击
新建
以创建密钥信息配置,单击
删除
以删除现有配置,或者单击现有密钥信息配置的名称以编辑该设置。
如果您正在创建新配置,则在“密钥信息名称”字段中输入密钥配置的唯一名称。例如,您可以指定
sig_keyinfo
。
从“密钥信息类型”字段中选择密钥信息类型。
WebSphere Application Server 支持下列类型的密钥信息:
密钥标识
当双方就如何创建密钥标识达成一致时,使用此密钥信息类型。例如,根据 X.509 概要文件,X.509 证书的字段可用于密钥标识。
密钥名
当发送方和接收方就密钥名达成一致时,使用此密钥信息类型。
安全性令牌引用
通常,当 X.509 证书用于数字签名时,使用此密钥信息类型。
嵌入式令牌
此密钥信息类型用于在嵌入式元素中嵌入安全性令牌。
X509 发布者名称和发布者串行
此密钥信息类型用它的发布者名称和序列号指定 X.509 证书。
如果您在使用数字签名的 X.509 证书,则选择
安全性令牌引用
。在这些步骤中,假设为此字段选择了
安全性令牌引用
。
要点:
此密钥信息类型必须匹配为使用者指定的密钥信息类型。
从“密钥定位器引用”菜单中选择密钥定位器引用。
在这些步骤中,假设密钥定位器引用称为 sig_klocator。 密钥定位器引用是密钥定位器的名称,用来生成数字签名的密钥。在此字段中选择它之前,您必须配置密钥定位器。有关配置密钥定位器的更多信息,请参阅
配置服务器或单元级别的密钥定位器
。
单击
获取密钥
以查看密钥名引用的列表。
在单击
获取密钥
后,在密钥名引用菜单中显示了 sig_klocator 元素中定义的密钥名。如果您更改了密钥定位器引用,则必须再次单击
获取密钥
以显示与新密钥定位器相关的密钥名列表。
从“密钥名引用”菜单中选择密钥名引用。
该密钥名引用指定用于生成数字签名或加密的密钥名。“密钥名引用”菜单显示为“密钥定位器引用”字段中所选密钥定位器定义的密钥名列表。例如,选择
signerkey
。 假设 signerkey 是为 sig_klocator 密钥定位器定义的密钥名。
从“令牌引用”字段中选择令牌引用。
令牌引用是指已配置的令牌生成者的名称。 当部署描述符中需要安全性令牌时,需要令牌引用属性。如果您在“密钥信息类型”字段中选择
安全性令牌引用
,则需要令牌引用并且您可以指定 X.509 令牌生成者。要指定 X.509 令牌生成者,您必须已配置 X.509 令牌生成者。要配置 X.509 令牌生成者,请参阅
配置服务器或单元级别的令牌生成者
。对于其余步骤,假定已配置名为 gen_tcon 的 X.509 令牌生成者。
可选:
从“编码方法”字段中选择编码方法
此字段指定密钥标识的编码格式。当您将
密钥标识
选为密钥信息类型时,编码方法属性是有效的。WebSphere Application Server 支持下列编码方法:
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
可选:
从“计算方法”字段中选择计算方法。
计算方法指定用于密钥标识的计算算法。当您将
密钥标识
选为密钥信息类型时,此属性是有效的。WebSphere Application Server 支持下列计算方法:
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
可选:
从“名称空间 URI”字段中为安全性令牌指定值类型的 URI。
名称空间 URI 由密钥标识引用。当您将
密钥标识
选为密钥信息类型时,此属性是有效的。指定 X.509 证书令牌时,不需要指定名称空间 URI。如果指定了另一个令牌,则必须指定名称空间 URI。例如,可以为轻量级第三方认证(LTPA)令牌指定
http://www.ibm.com/websphere/appserver/tokentype/5.0.2
。
可选:
在“局部名”字段中为安全性令牌指定值类型的局部名。
局部名由密钥标识引用。当您将
密钥标识
选为密钥信息类型时,此属性是有效的。WebSphere Application Server 支持下列局部名:
对于 X.509 证书令牌
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
对于 PKIPath 格式的 X.509 证书
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
对于 PKCS#7 格式的 X.509 证书和 CRL 的列表
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
对于 LTPA
LTPA
单击
确定
和
保存
以保存配置。
您已配置服务器或单元级别的生成者绑定的密钥信息。
您必须为使用者指定类似的密钥信息配置。
父主题:
手工保护基于 WS-Security 的 Web Service
相关任务
配置服务器或单元级别的使用者绑定的密钥信息
配置服务器或单元级别的密钥定位器
配置服务器或单元级别的令牌生成者
反馈