配置应用程序级别的生成者绑定的密钥信息

在开始此任务前,配置由密钥信息面板中的“密钥定位器引用”和“令牌引用”字段引用的密钥定位器和令牌使用者。
此任务提供为请求生成者(客户端)和响应生成者(服务器端)绑定配置应用程序级别的密钥信息所需的步骤。该密钥信息用于指定生成数字签名和加密的密钥所需的配置。 签名信息和加密信息配置可共享密钥信息,这是将它们定义在同一级别的原因。

完成以下信息在应用程序级别上配置生成者绑定的密钥信息:

  1. 在管理控制台中找到密钥信息配置面板。
    1. 单击应用程序 > 企业应用程序 > application_name
    2. 在“相关项”下,单击 EJB 模块Web 模块 > URI_name
    3. 在“其他属性”下,您可以访问请求生成者绑定和响应生成者绑定的密钥信息。
      • 要获取请求生成者(发送方)绑定,单击 Web Service:客户机安全绑定。在“请求生成者(发送方)绑定”下,单击编辑定制
      • 要获取响应生成者(发送方)绑定,单击 Web Service:服务器安全绑定。在“响应生成者(发送方)绑定”下,单击编辑定制
    4. 在“必需属性”下,单击密钥信息
    5. 单击新建以创建密钥信息配置,选择现有配置旁的框并单击删除以删除该配置,或者单击现有签名信息配置的名称以编辑其设置。 如果您正在创建新配置,则在“密钥信息名称”字段中输入名称。例如,您可以指定 gen_signkeyinfo
  2. 从“密钥信息类型”字段中选择密钥信息类型。 密钥信息类型指定如何引用安全性令牌。WebSphere® Application Server 支持下列密钥信息类型:
    密钥标识
    安全性令牌是使用唯一识别令牌的不透明值引用的。用于生成 <KeyIdentifier> 元素值的算法取决于令牌类型。例如,使用安全性令牌的一系列重要元素来生成 <KeyIdentifier> 元素值。在简单对象访问协议(SOAP)消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    密钥名
    安全性令牌是使用与令牌内的标识声明匹配的名称引用的。建议您不要使用此密钥类型,因为它可能导致多个安全性令牌匹配指定的名称。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>
    安全性令牌引用
    使用通用资源标识(URI)直接引用该安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI="#mytoken" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo> 
    嵌入式令牌
    在 <SecurityTokenReference> 元素中直接嵌入了安全性令牌。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             …
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    X509 发布者名称和发布者串行
    安全性令牌由 X.509 证书的发布者名称和发布者序列号引用。在 SOAP 消息中为此密钥信息类型生成以下 <KeyInfo> 元素:
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    Web Service 安全性:SOAP 消息安全性 1.0(WS-Security 2004)OASIS 标准对每种类型的密钥信息都作了描述,该标准位于 http://www.oasis-open.org/home/index.php 上的 Web Services security 中。
  3. 从“密钥定位器引用”字段选择密钥定位器引用。 此引用指定一个密钥定位器,WebSphere Application Server 使用该密钥定位器来找到用于数字签名和加密的密钥。选择密钥定位器前,必须配置密钥定位器。有关配置密钥定位器的更多信息,请参阅下文:
  4. 单击获取密钥以查看密钥名引用的列表。 在单击获取密钥后,在密钥名引用菜单中显示了 sig_klocator 元素中定义的密钥名。如果您更改了密钥定位器引用,则必须再次单击获取密钥以显示与新密钥定位器相关的密钥名列表。
  5. 从“密钥名引用”字段中选择密钥名引用。 此引用指定用于生成数字签名和加密的密钥的名称。提供的密钥名列表来自密钥定位器引用指定的密钥定位器。
  6. 从“令牌引用”字段中选择令牌引用。 此令牌引用指定用于处理安全性令牌的令牌生成者的名称。但是,仅当在“密钥信息类型”字段中选择了“安全性令牌引用”或“嵌入的令牌”时,WebSphere Application Server 才需要此字段。指定令牌引用前,必须配置令牌生成者。有关配置令牌生成者的更多信息,请参阅配置应用程序级别的令牌生成者
  7. 可选: 如果在此面板上将密钥标识选为密钥信息类型,则必须指定编码方法、计算方法、值类型名称空间 URI 和值类型局部名。
    1. 从“编码方法”字段中选择编码方法。 该编码方法指定密钥标识的编码格式。 WebSphere Application Server 支持下列编码方法:
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
    2. 从“计算方法”字段中选择计算方法。 WebSphere Application Server 支持下列计算方法:
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
    3. 在“名称空间 URI”字段中指定值类型名称空间统一资源标识(URI)。 在此字段中,为密钥标识引用的安全性令牌指定值类型的名称空间 URI。 指定 X.509 证书令牌时,不需要指定此选项。如果要指定另一个令牌,则必须指定值类型的限定名(QName)的 URI。
    4. 指定值类型局部名。 此名称是密钥标识所引用安全性令牌的值类型的局部名。此局部名用于与相应的名称空间 URI 结合时,该信息称为值类型限定名或 QName。
      指定 X.509 证书令牌时,建议您使用预定义的局部名。指定预定义的局部名时,不需要指定值类型的名称空间 URI。然而,如果您不使用某个预定义的局部名,则必须指定统一资源标识(URI)和局部名。WebSphere Application Server 提供了下列预定义的局部名:
      X.509 证书令牌
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
      PKIPath 格式的 X.509 证书
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
      PKCS#7 格式的 X509 证书和 CRL 列表
      http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
      LTPA
      http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  8. 单击确定,然后单击保存保存配置。
您已在应用程序级别上配置生成者绑定的密钥信息
您必须为使用者指定类似的密钥信息配置。
相关任务
配置应用程序级别的生成者绑定的密钥信息
在应用程序级别上为生成者绑定配置签名信息
配置应用程序级别的生成者绑定的密钥定位器
配置应用程序级别的令牌生成者

反馈