此文档描述如何在应用程序级别上配置生成者绑定的信任锚。它不描述如何在服务器或单元级别上配置信任锚。在应用程序级别上定义的信任锚比服务器或单元级别上定义的信任锚具有更高的优先级。有关在服务器或单元级别上创建和配置信任锚的更多信息,请参阅配置服务器或单元级别的信任锚。
可以使用 Application Server Toolkit 或 WebSphere® Application Server 管理控制台来为应用程序级别信任锚配置信任锚。此文档描述如何使用管理控制台配置应用程序级别的信任锚。
信任锚指定包含可信根证书的密钥库,其验证签署者证书。这些密钥库由请求生成者和响应生成者(当 Web Service 作为客户机时)用于生成数字签名的签署者证书。 密钥库对于数字签名验证的完整性很关键。如果密钥库被篡改,则数字签名验证结果将不可信。因此,建议您保护这些密钥库。为请求生成者指定的绑定配置信息必须与为响应生成者指定的绑定配置信息匹配。
为客户机指定的请求生成者的信任锚配置信息必须与为服务器指定的请求使用者的配置信息匹配。同样,为服务器指定的响应生成者的信任锚配置信息必须与为客户机指定的响应使用者的配置信息匹配。
完成以下步骤在应用程序级别上配置生成者绑定的信任锚: