記號產生者配置設定

請利用這個頁面來指定記號產生者的資訊。這項資訊只能用在產生者,來產生安全記號。

如果要檢視 Cell 層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「JAX-RPC 預設產生者連結」下,按一下記號產生者 > token_generator_name,或按一下新建來建立新的記號產生者。
如果要檢視伺服器層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「JAX-RPC 預設產生者連結」下,按一下記號產生者 > token_generator_name,或按一下新建來建立新的記號產生者。
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「其他內容」下,您可以存取下列連結的記號產生者資訊:
    • 如果是要求產生者(傳送端)連結,請按一下 Web 服務:用戶端安全連結。在「要求產生者(傳送端)連結」下,按一下編輯自訂
    • 如果是回應產生者(傳送端)連結,請按一下 Web 服務:伺服器安全連結。在「回應產生者(傳送端)連結」下,按一下編輯自訂
  4. 按一下新建,建立新的記號產生者,或者按一下現有記號產生者的名稱,來指定其設定。
如果要檢視應用程式層次的這個管理主控台頁面,請完成下列步驟:
  1. 按一下應用程式 > 應用程式類型 > WebSphere 企業應用程式 > application_name
  2. 在「模組」下,按一下管理模組 > URI_name
  3. 在「Web 服務安全內容」下,按一下 Web 服務:用戶端安全連結
  4. 在「要求產生者(傳送端)連結」下,按一下編輯自訂
  5. 在「其他內容」下,按一下記號產生者 > 新建

在指定其他內容之前,請先在記號產生者名稱記號產生者類別名稱欄位中指定值。

記號產生者名稱 [Version 6 only]

是指記號產生者配置的名稱。

比方說,預設 X509 記號產生者名稱便可能是進行加密的 gen_enctgen,或進行簽章的 gen_signtgen。 自訂記號產生者名稱可能是進行簽章的 sig_tgen

記號產生者類別名稱 [Version 6 only]

是指記號產生者實作類別的名稱。

這個類別必須實作 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 介面。

記號產生者類別名稱 [Version 6 only]

是指記號產生者實作類別的名稱。

憑證路徑 [Version 6 only]

指定憑證廢止清冊 (CRL),用來產生與 CRL 一起包覆在 PKCS#7 記號類型中的安全記號。

如果記號產生者不是採用 PKCS#7 記號類型,就必須選取。 如果記號產生者是採用 PKCS#7 記號類型,且您要將 CRL 套裝在安全記號中,請選取專用簽章資訊,並指定 CRL 作為集合憑證儲存庫。

您可以在下列層次上指定下列連結的憑證儲存庫配置:
表 1. 憑證路徑連結設定. 憑證會在簽署訊息時使用。
連結名稱 伺服器層次、Cell 層次或應用程式層次 路徑
預設產生者連結 Cell 層次
  1. 按一下安全 > JAX-WS 和 JAX-RPC 安全執行時期
  2. 在「其他內容」下,按一下集合憑證儲存庫
預設產生者連結 伺服器層次
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下 JAX-WS 和 JAX-RPC 安全執行時期
    混合版本環境: 在有伺服器使用 Websphere Application Server 6.1 版或更早版本的混合節點 Cell 中,按一下 Web 服務:Web 服務安全的預設連結mixv
  3. 在「其他內容」下,按一下集合憑證儲存庫

使用集合憑證儲存庫時,您可以在「其他內容」下,按一下憑證廢止清冊來配置一個相關的憑證廢止清冊。

新增 Nonce [Version 6 only]

指出 Nonce 是否包含在使用者名稱記號中,供記號產生者使用。Nonce 是內嵌在訊息中的唯一加密數字,有助於停止對使用者名稱記號重複未獲授權的攻擊。

在應用程式層次,如果您選取新增 Nonce 選項,您可以在「其他內容」下指定下列內容:

表 2. 其他 Nonce 內容 . Nonce 用來在訊息中新增額外的安全。
內容名稱 預設值 說明
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.cacheTimeout
600 秒 指定在伺服器快取之 Nonce 值的逾時值(秒)。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.clockSkew
0 秒 指定 Nonce 時間戳記到期之前的時間(秒)。
com.ibm.ws.wssecurity.config.token.
BasicAuth.Nonce.maxAge
300 秒 指定應用程式伺服器檢查訊息即時性時,所要考量的時鐘偏差值(秒)。

這些內容可從 Cell 和伺服器層次的管理主控台中取得。不過,在應用程式層次,您可以在「其他內容」下配置這些內容。

這個選項會顯示在 Cell、伺服器和應用程式層次。只有在產生的記號類型是使用者名稱記號時,這個選項才有效。

新增時間戳記 [Version 6 only]

指定是否要將時間戳記插到使用者名稱記號中。

這個選項會顯示在 Cell、伺服器和應用程式層次。只有在產生的記號類型是使用者名稱記號時,這個選項才有效。

值類型本端名稱 [Version 6 only]

指定所產生之記號的值類型的本端名稱。

針對使用者名稱記號和 X.509 憑證安全記號,這個產品提供了預先定義的值類型。 當您指定下列本端名稱時,不需指定值類型的統一資源識別碼 (URI)。
使用者名稱記號
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
X509 憑證記號
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath 中的 X509 憑證
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS#7 中的 X509 憑證和 CRL 清單
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
小型認證機構 (LTPA)
LTPA_PROPAGATION
重要: 如果是 LTPA,值類型本端名稱為 LTPA。如果您輸入 LTPA 作為本端名稱,您也必須在「值類型 URI」欄位中指定 http://www.ibm.com/websphere/appserver/tokentype/5.0.2 的 URI 值。如果是 LTPA 記號傳送,值類型本端名稱為 LTPA_PROPAGATION。 如果您輸入 LTPA_PROPAGATION 作為本端名稱,您也必須在「值類型 URI」欄位中,指定 http://www.ibm.com/websphere/appserver/tokentype URI 值。如果是其他預先定義的值類型(使用者名稱記號、X509 憑證記號、PKIPath 中的 X509 憑證,以及 PKCS#7 中 X509 憑證和 CRL 的清單),則「本端名稱」欄位中的值會以 http:// 開頭。比方說,如果您指定使用者名稱記號作為值類型,請在「值類型本端名稱」欄位中輸入 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken,且不需在「值類型 URI」欄位中輸入值。

當您對自訂記號指定自訂值類型時,您可以指定值類型之完整名稱的本端名稱和 URI。例如,您可以指定 Custom 作為本端名稱,並指定 http://www.ibm.com/custom 作為 URI。

值類型 URI [Version 6 only]

指定所產生之記號的值類型的名稱空間 URI。

當您指定使用者名稱記號或 X.509 憑證安全記號的記號產生者時,不需指定這個選項。如果您要指定另一個記號,請指定值類型之完整名稱的 URI。

應用程式伺服器會提供以下預先定義的值類型 URI:
  • LTPA 記號:http://www.ibm.com/websphere/appserver/tokentype/5.0.2
  • LTPA 記號傳送:http://www.ibm.com/websphere/appserver/tokentype



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
記號消費者集合
記號消費者配置設定
記號產生者集合


檔名: uwbs_tokengeneratorn.html