Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA: Parte 2: Configurando un proxy de servicio web de Dispositivo WebSphere DataPower SOA Appliance para Seguridad Asimétrica WS-Security

Aprenda cómo maximizar la flexibilidad de servicios web usando IBM® WebSphere®Application Server Web Services Feature Pack y el Dispositivo WebSphere DataPower SOA. El Web Services Feature Pack para WebSphere Application Server versión 6.1 es una implementación basada en estándares que incluye varias especificaciones de servicios web (WS*). El dispositivo WebSphere DataPower SOA es capaz de funciones de firewall y de seguridad a velocidad de cable. Integrando WebSphere Application Server con el Dispositivo WebSphere DataPower SOA da como resultado un servicio web seguro y de alto desempeño. Esta serie le guiará por el proceso de integración del Dispositivo WebSphere DataPower SOA con el WebSphere Application Server para mejorar y asegurar su instalación de servicios web.

Shiu Fun Poon, Senior Technical Lead, IBM

Shiu Fun Poon es líder Técnico/de Ingeniería dentro del grupo IBM WebSphere DataPower Security. A ella le interesan todos los aspectos de la SOA. Ella trabaja en recursos que proporcionan soporte Web Services Security de acuerdo a OASIS, W3C, Política WS-Security y otros recursos adicionales de seguridad relacionados de los Dispositivos IBM WebSphere DataPower. Ella también contribuye con la mejora Reliable Availability Serviceability [RAS] del dispositivo. Antes de unirse a DataPower, ella era Tech Lead en el Domino Security Team.



Joel Smith, Senior Software Engineer, IBM

Joel Smith ha trabajado con una variedad de sistemas operativos, E/S y subsistemas de comunicaciones. En años recientes él ha trabajado con middleware de aplicaciones en las áreas de computación omnipresente, servicios web de servidor de aplicaciones y seguridad de servicios web.



16-01-2012

Prerrequisitos para este ejemplo

  • WebSphere Application Server 6.1 con Web Services Feature Pack (WSFP)
  • Dispositivo WebSphere DataPower SOA XS40 o XI50, con firmware versión 3.6.1 o superior
  • Credenciales de seguridad para seguridad de servicios web en forma de almacenes de claves JCEKS o las claves privadas/certificados públicos requeridos para las operaciones de criptografía especificadas

En este artículo

En este artículo construiremos sobre el escenario anterior implementando el Dispositivo WebSphere DataPower SOA para procesar la porción WS-Security para el servidor de aplicaciones. Se creará un Proxy de servicio web en el Dispositivo WebSphere DataPower SOA para recibir la solicitud de servicio web enviada al servicio EchoService.

En este artículo cubriremos las siguientes tareas:

  • Configurar un proxy de servicio web en el Dispositivo DataPower SOA para efectuar el procesamiento de servicios web para un servicio web implementado
  • Preparar credenciales de seguridad JCE y JCEKS para este ejemplo
  • Usar la consola WebSphere Application Server para desactivar políticas de seguridad de servicios web para el servicio de muestra

Introducción

En la parte 1, usamos el Rational Application Developer para importar un EAR cliente EchoService de muestra y activarlo con WS-Security. Luego se instaló el Cliente de servicio web en el WebSphere Application Server. El EchoService se instaló y configuró con WS-Security. El navegador fue usado para ingresar un mensaje para ser enviado desde la aplicación Cliente EchoService del servicio web, hacia el servicio EchoService del servicio web. Al mensaje se le hizo eco de retorno hacia el cliente de servicio web.

Los pasos en este artículo demostrarán cómo descargar la porción de procesamiento WS-Security desde el servidor hacia el proxy de servicio web DataPower y diferir el procesamiento de servicio web restante al servidor de aplicaciones. Esto permite que el procesamiento intensivo en recursos sea efectuado por el Dispositivo WebSphere DataPower SOA y que la lógica de negocios de la aplicación sea procesada por el servidor de aplicaciones.

El Dispositivo WebSphere DataPower SOA es un dispositivo de red construido especialmente que ayuda a asegurar y acelerar el procesamiento XML y de servicios web. Aunque el Dispositivo WebSphere DataPower SOA tiene una extensa lista de capacidades y recursos, este artículo se enfoca en sus aspectos de servicios web. Las capacidades de servicios web relevantes para este artículo incluyen: el procesamiento de seguridad de nivel de mensaje XML para cifrado/descifrado, la firma y verificación mediante firma digital, WS-Security, validación de esquema XML, soporte de administración de servicios web, y registro y auditoría detallados. El procesamiento de Secure XML puede ser extremadamente intensivo en recursos. El Dispositivo WebSphere DataPower SOA ofrece procesamiento y seguridad XML que pueden no estar disponibles en los motores XML tradicionales. Permitir que el Dispositivo WebSphere DataPower SOA lleve a cabo porciones intensivas en procesamiento de las solicitudes de servicios web acelera y disminuye la carga sobre el servicio web del servidor de aplicaciones.

Para revisar la configuración de la parte 1, hemos configurado un EchoClient para comunicación segura con un EchoService usando firma y cifrado asimétricos WS-Security. Lo siguiente describe la parte 1 de la configuración del servicio web:

Figura 1. Configuración de servicio web con política de seguridad predeterminada
Configuración de servicio web con política de seguridad predeterminada

En este escenario, todos los elementos del mensaje SOAP son procesados por el motor de servicios web en WebSphere Application Server Feature Pack for 6.1. Para descargar el procesamiento de seguridad, el Dispositivo WebSphere DataPower SOA se convierte en un punto final objetivo para la solicitud de servicio web. El procesamiento de la política WS-Security será efectuado por el Dispositivo WebSphere DataPower SOA que luego reenviará la solicitud de servicio web hacia el servidor de aplicaciones para procesar la operación de servicio. La política WS-Security será removida del servicio del servidor de aplicaciones de servicios web. Para que el Dispositivo WebSphere DataPower SOA procese la política WS-Security, se configurarán las credenciales de seguridad necesarias, WSDL y la información de direccionamiento de servidor de aplicaciones con el proxy de servicios web del Dispositivo WebSphere DataPower SOA Appliance. La configuración de Dispositivo WebSphere DataPower SOA utilizará un navegador para acceder a la webGUI de DataPower. La siguiente figura es una visión general del servicio web con la seguridad siendo descargada y procesada por el Dispositivo WebSphere DataPower SOA:

Figura 2: Configuración de servicio web con política de seguridad descargada
Figura 2: Configuración de servicio web con política de seguridad descargada

En esta configuración, la política de seguridad WAS predeterminada ha sido removida del motor de servicios web. La solicitud recibida desde el Dispositivo WebSphere DataPower SOA es ahora despachada directamente hacia el punto final del servicio web para procesamiento. Las credenciales y el WSDL para el servicio web especificado han sido exportadas y configuradas en el Dispositivo WebSphere DataPower SOA.

Pasos para esta configuración de muestra

La descarga del procesamiento de la seguridad hacia el Dispositivo WebSphere DataPower SOA requerirá que el dispositivo tenga acceso a las credenciales de seguridad del servicio web. Los pasos se llevarán a cabo para que estén a disposición.

El proxy de servicio web de Dispositivo WebSphere DataPower SOA se configurará para procesar la política WS-Security predeterminada. Esta política de seguridad lleva a cabo firma digital y verificación, cifrado y descifrado, usando criptografía asimétrica.

Usando la Consola WAS, nos aseguraremos que WS-Security ya no esté configurada. Como el Dispositivo WebSphere DataPower SOA estará efectuando esta tarea, esto ya no se necesita.

Utilizaremos u navegador que acceda al cliente EchoService para enviar mensajes que verifiquen que el escenario está configurado adecuadamente.

Administración de clave y de certificado

La configuración de muestra para este ejemplo usa dos tipos diferentes de almacenes de claves que se incluyen con el WAS WSFP. El almacén de claves usado en la política WS-Security predeterminada para firmas digitales es el almacén de claves JDK estándar. El almacén de claves usado para cifrado es el almacén de claves JCE (Java Cryptography Extension). Para que el Dispositivo WebSphere DataPower SOA efectúe las acciones de firma digital, cifrado y descifrado, las claves y certificados deben cargarse desde estos almacenes de claves. Para cargar los JKS los almacenes de claves primero necesitan ser convertidos en almacenes de claves JCE. Lleve a cabo los siguientes pasos para preparar los almacenes de claves para subirlos al Dispositivo WebSphere DataPower SOA:

  1. Copy ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks to a temporary directory /temp.
  2. Para conveniencia, copie también los siguientes dos archivos en el directorio temporal.

    ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks

    ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer

    (Si gsk7 está disponible, el gsk7cmd.exe puede utilizarse para hacer la conversión).
  3. Use el siguiente comando para convertir el almacén de claves JKS en un almacén de claves JCE.

    keytool -keypasswd -alias soapprovider -storetype jceks -keystore dsig-receiver.ks -v -storepass server -keypass server -new server

  4. Este directorio temporal se utilizará más adelante como un directorio fuente para subir las claves y certificados al dispositivo desde estos almacenes de claves.

Configure el Dispositivo WebSphere DataPower SOA para la política de seguridad predeterminada de servicios web

Esta sección muestra un paso a paso sobre cómo configurar el Dispositivo WebSphere DataPower SOA con un proxy de servicio web. Este proxy sirve como un punto final de servicio web para la aplicación EchoClient, efectúa el procesamiento de servicio web y luego reenvía el mensaje SOAP hacia el punto final de servicio web WAS para procesar la operación solicitada.

La configuración de proxy de servicio web para este ejemplo tiene un primer plano HTTP para el puerto deseado. La dirección y el puerto de este sistema remoto se configurarán para que reenvíen la solicitud hacia el punto final de servicio web objetivo. Las reglas de procesamiento de solicitud y de respuesta son creadas para manipular el mensaje SOAP como se requiere para que esté conforme a la política de seguridad deseada. Para el procesamiento de cifrado/descifrado, firma/verificación, los almacenes de claves necesarios son cargados en el Dispositivo DataPower. Los objetos crípticos son creados y configurados en las reglas de procesamiento. Cada una de las reglas de procesamiento está vinculada mediante entrada/salida/interconexión, según sea necesario para completar una solicitud completamente procesada.

El Dispositivo WebSphere DataPower SOA permite que los objetos crípticos sean creados individualmente y que luego sean seleccionados en la configuración necesaria. En este ejemplo los objetos crípticos son creados según es necesario mientras se configura el proxy de servicio web.

Para contexto de configuración, el inicio de sesión de navegador de Dispositivo WebSphere DataPower SOA es desde la máquina WAS que proporciona el servicio web. Los almacenes de claves de muestra, los almacenes de claves convertidos, los certificados y el WSDL exportado descrito arriba necesitarán estar disponibles para el proceso de carga al Dispositivo WebSphere DataPower SOA.

  1. Usando un navegador, inicie sesión en la WebGUI del Dispositivo WebSphere DataPower SOA usando el Id de usuario, contraseña y dominio adecuados.
  2. Haga clic en el ícono Web Service Proxy
    Figura 3: Selecciones de Configuración de Dispositivo WebSphere DataPower SOA
    Figura 3: Selecciones de Configuración de Dispositivo WebSphere DataPower SOA
  3. Cree un nuevo proxy de servicio web, haga clic en el botón agregar
  4. Ingrese un nombre de proxy web, WSP-EchoService"
  5. Para el WSDLs de proxy de servicio web, seleccione Add WSDL
  6. Cargue el WSDL exportado desde la Consola WebSphere para el EchoService (arriba)
  7. Haga clic en el botón Upload
  8. Navegue o ingrese la ubicación del archivo WSDL (descomprimido) para el EchoService
  9. Verifique el nombre de archivo para guardar-como
  10. Seleccione el botón Upload
    Figura 4: Configure el proxy de servicio web de Dispositivo WebSphere DataPower SOA
    Figura 4: Configure el proxy de servicio web de Dispositivo WebSphere DataPower SOA
  11. Seleccione Next
  12. Para configurar el manejador del primer plano o el de EndPoint, haga clic en + para crear un nuevo manejador de primer plano.
  13. Seleccione Http Front Side Handler desde las opciones del menú.
  14. Ingrese un nombre para el manejador de primer plano, FSH-HTTP-EchoService
  15. Ingrese la dirección IP para el manejador del primer plano. Dejar este valor en 0.0.0.0 utilizará la dirección DataPower configurada de forma predeterminada.
  16. Ingrese el puerto deseado para el EndPoint, 9080
  17. Verifique otras configuraciones deseadas, este ejemplo utiliza los predeterminados
  18. Seleccione Apply
  19. Con "FSH-HTTP-EchoService" en la ventana desplegable, Seleccione "+ Add" a la derecha pata activarlo como el manejador del primer plano.
  20. Seleccione Next
    Figura 5: Configure manejador HTTP del primer plano
    Figura 5: Configure manejador HTTP del primer plano
  21. Ingrese la configuración remota del Endpoint del servicio web WAS donde se procesará la operación.
  22. Ingrese la dirección IP o nombre host, puerto (9080) y URI (/WSSampleSei/EchoService)
    Figura 6: Configure el manejador HTTP del segundo plano
    Figura 6: Configure el manejador HTTP del segundo plano
  23. Seleccione Next.

En este punto, el Dispositivo WebSphere DataPower SOA es configurado para aceptar solicitudes y reenviarlas hacia el sistema remoto sin efectuar procesamiento. Esta pantalla es un ejemplo de lo que va de la configuración:

Figura 7: Configuración de proxy de servicio web
Figura 7: Configuración de proxy de servicio web

Configuración de política de Dispositivo WebSphere DataPower SOA

La política de procesamiento de seguridad necesita ser configurada para que coincida con la política WAS WS-Security predeterminada. Las configuraremos en orden de flujo de procesamiento, como sigue:

Regla de solicitud

  • Descifrar el mensaje SOAP entrante
  • Verificar el mensaje SOAP entrante
  • Use un Transform para remover los encabezados de seguridad SOAP para el EndPoint WAS

Regla de respuesta

  • Firma del mensaje SOAP de salida
  • Cifrado del mensaje SOAP de salida

Configuración de la regla de descifrado de solicitud

  1. Seleccione la pestaña Policy de la parte superior de la pantalla Configure Web Service Proxy
  2. Haga clic en (request-rule) para obtener el panel de configuración de regla
  3. Haga clic en el ícono de descifrado y arrástrelo hacia la línea de procesamiento después del ícono de acción coincidente y descárguelo
  4. Haga doble clic en el ícono de descifrado que acaba de soltar, para configurar las opciones de cifrado
  5. Para el campo Decrypt Key, haga clic en + para crear la descripción criptográfica
  6. Ingrese el nombre para la clave criptográfica, WS-enc-receiver-privatekey
  7. Seleccione el botón Uploadâ para cargar una clave privada bobs desde nuestro almacén de claves JCEKS
  8. Seleccione Source Java Key Store
  9. Navegue o ingrese el nombre de archivo ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
  10. Para el tipo de almacén de claves, ingrese JCEKS
  11. Para almacén de contraseñas, ingrese storepass
  12. Tabule hasta un campo Key to upload: y seleccione bob (key)
  13. Para contraseña de clave, ingrese keypass
  14. Tabule hacia un campo Save as: e ingrese el nombre de archivo WS-enc-receiver-bob.pem
  15. Haga clic en el botón Upload (esto completará la pantalla Configure Crypto Key)
    Figura 8: Carga de un certificado de solicitud
    Figura 8: Carga de un certificado de solicitud
  16. Verifique que la clave críptica que acaba de crear (WS-enc-receiver-privatekey) esté seleccionada en el campo Decrypt Key .
  17. Haga clic en el botón Done
    Figura 9: Configuración de acción de descifrado
    Figura 9: Configuración de acción de descifrado
  18. Ahora seleccione la pestaña "Proxy Settings". En el campo desplegable "Decrypt Key", seleccione la"WS-enc-receiver-privatekey" que se acaba de configurar.
  19. Haga clic en el botón Apply para guardar la configuración actual

Configure la regla de verificación de solicitud

  1. Desde la página de la pestaña Policy, haga clic en (request-rule) para ver el panel de configuración de reglas
  2. Haga clic en el ícono de verificación y arrástrelo hacia la línea de procesamiento después del ícono de acción de descifrado creado anteriormente y descargue el ícono en la línea
  3. Haga doble clic en el ícono de verificación que acaba de soltar, para configurar las opciones de verificación
  4. En nombre ingrese "WS-Verify-Credential".
  5. Para el campo "Certificates", añada "+" para crear un nuevo certificado para el firmante para utilizarlo para verificar la solicitud entrante.
  6. Ingrese el nombre de la clave críptica, WS-Verify-Soap-ca
  7. Seleccione el botón Upload para cargar el certificado de verificación
  8. Seleccione Source para la opción de archivo
  9. Navegue o ingrese el nombre de archivo para ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
  10. Tabule hasta el campo Save as: e ingrese el nombre de archivo, WS-intca2.cer
  11. Haga clic en el botón Upload (esto completará la pantalla Configure Crypto Key)
    Figura 10: Configuración de credenciales de validación criptográfica
    Figura 10: Configuración de credenciales de validación criptográfica
  12. Verifique que la Crypto Key que acaba de crear (WS-Verify-Soap-ca) esté seleccionada en el campo Validation Credential.
  13. Haga clic en el botón Apply para guardar
  14. Seleccione la pestaña Advanced para expandir configuraciones adicionales. Verifique que las configuraciones de indicación de fecha y hora tengan une ventana de respuesta razonable. Se debe seleccionar un valor que tolere las inconsistencias de hora entre el cliente y el sistema DataPower, más las demoras de respuesta de red. Configúrelo en 300.
  15. Haga clic en el botón Done
    Figura 11: Configuración de la acción de verificación
    Figura 11: Configuración de la acción de verificación
  16. Haga clic en el botón Apply para guardar la configuración actual

Configure la regla de transformación de solicitud

  1. Desde la página de la pestaña Policy, haga clic en (request-rule) para ver el panel de configuración de reglas
  2. Haga clic en el ícono de transformación y arrástrelo hacia la línea de procesamiento después del ícono de acción de transformación creado previamente y descárguelo
  3. Haga doble clic en el ícono de transformación que acaba de soltar para configurar las opciones de verificación
  4. Seleccione dpvar_1 para el campo Input. Esto vincula la acción de transformación con el flujo de procesamiento que será reenviado.
  5. Para la configuración Processing Control File, selecciones la ubicación de hoja de estilo XSL store:/// del primer menú desplegable, seleccione la hoja de estilo de transformación el documento XSL strip-security-header.xsl en el segundo menú desplegable.
    Figura 12: Configuración de acción de transformación
    Figura 12: Configuración de acción de transformación
  6. Haga clic en el botón Done
  7. Haga clic en el botón Apply para guardar la configuración actual

Configure el resultado de la solicitud

  1. Desde la página de la pestaña Policy, haga clic en (request-rule) para ver el panel de configuración de reglas
  2. Haga doble clic en el ícono de resultados de la parte final de los parámetros de regla configurados
  3. Verifique que dpvar_2 esté seleccionado para el campo Input. Esto establece la secuencia que se enviará al servicio de segundo plano.
  4. Haga clic en el botón Done
    Figura 13: Configuración de resultado de solicitud
    Figura 13: Configuración de resultado de solicitud
  5. Haga clic en el botón Apply para guardar la configuración actual

Configure regla de firma de respuesta

  1. Desde la pestaña Policyâ de la página "Configure Web Service Proxy", haga clic en (response-rule) para ver el panel de configuración de regla
  2. Haga clic en el ícono de firma y arrástrelo hacia la línea de procesamiento después del ícono de acción coincidente
  3. Haga doble clic en el ícono de firma que acaba de soltar, para configurar los parámetros de acción de firma
  4. Seleccione la pestaña Advanced
  5. Para Envelope Method seleccione la opción WSSec method
  6. Seleccione el tipo de mensaje Selected Elements
  7. Seleccione + para crear un Document Crypto Map
  8. En la nueva pantalla ingrese el nombre, WS-Sec-Sign-Map
  9. Para la expresión XPATH, ingrese //*[local-name()='Body']
  10. Seleccione el botón Add
  11. Para la siguiente expresión XPATH ingrese, //*[local-name()='Header']/*[local-name()='Action']
  12. Seleccione el botón Add
  13. Para la siguiente expresión XPATH ingrese, //*[local-name()='Header']/*[local-name()='RelatesTo']
  14. Seleccione el botón Add
  15. Seleccione el botón Apply para completar el Document Crypto Map.
    Figura 14: Configuración de mapa de firma
    Figura 14: Configuración de mapa de firma
  16. Verifique que el "WS-Sec-Sign-Map" creado recientemente esté seleccionado e el campo "Document Crypto Map".
  17. Cree una nueva Key de firma presionando + en el campo Key
  18. Ingrese el nombre de la clave críptica privada que se utilizará para firma, WS-dsig-receiver-private
  19. Seleccione el botón upload
  20. Seleccione Java Key Store
  21. Navegue hacia el archivo JCEKS dsig-receiver.jceks convertido como se describió arriba.
  22. Ingrese JCEKS en el tipo de almacén clave
  23. Ingrese la contraseña de almacén de claves, server
  24. Seleccione la clave a cargar, soapprovider (key)
  25. Ingrese la contraseña de clave, server
  26. Ingrese guardar como: WS-dsig-receiver-soapprovider.pem
  27. Seleccione el botón upload
    Figura 15: Carga de clave de firma digital
    Figura 15: Carga de clave de firma digital
  28. Verifique el nombre de archivo de la clave privada que se acaba de cargar esté seleccionado en el campo File Name.
  29. Seleccione el botón Apply para completar
  30. Cree un nuevo certificado presionando +, este será la clave pública soapprovider
  31. Ingrese un nombre para el certificado críptico público, WS-dsig-receiver-public
  32. Seleccione el botón upload
  33. Seleccione Java Key Store
  34. Navegue hacia el archivo JCEKS dsig-receiver.jceks convertido como se describió arriba
  35. Ingrese JCEKS en el tipo de almacén clave
  36. Ingrese la contraseña de almacén de claves, server
  37. Seleccione el certificado a cargar, soapprovider (certificate)¦
  38. Ingrese la contraseña de clave, server
  39. Ingrese guardar como: WS-dsig-receiver-soapprovider.cer
  40. Seleccione el botón upload
    Figura 16: Configuración de certificado críptico de firma digital
    Figura 16: Configuración de certificado críptico de firma digital
  41. Seleccione el botón continue
  42. Verifique que el nombre de archivo del Configure Crypto Certificate para la clave pública se acaba de cargar esté seleccionado.
    Figura 17: Configuración de certificado críptico de firma digital
    Figura 17: Configuración de certificado críptico de firma digital
  43. Seleccione el botón Apply para completar
  44. Seleccione Done para completar la acción de firma.
    Figura 18: Configuración de acción de firma
    Figura 18: Configuración de acción de firma

    Haga clic para ampliar la imagen

    Figura 18: Configuración de acción de firma

    Figura 18: Configuración de acción de firma
  45. Haga clic en el botón Apply para guardar la configuración actual

Configure la regla #1 de cifrado de respuesta

  1. Desde la página de la pestaña Policy, haga clic en (response-rule) a obtener el panel de configuración de regla
  2. Haga clic en el ícono de cifrado y arrástrelo hacia la línea de procesamiento después del ícono de acción de firma que acabamos de crear.
  3. Haga doble clic en el ícono de cifrado que acaba de soltar, para configurar los parámetros de acción de cifrado
  4. Para el Envelope method, seleccione WSSec Encryption
  5. Para Message type, seleccione Selected Elements
  6. Para Document Crypto Map, seleccione + para ingresar un nuevo mapa que seleccionará los elementos a ser cifrados en el esquema.
  7. Ingrese el nombre para Document Crypto Map, WS-encrypt-map
  8. Ingrese XPATH Expression, //*[local-name()='Signature']
  9. Seleccione el botón Add
  10. Seleccione el botón Apply para completar.
    Figura 19: Configuración de Crypto Map
    Figura 19: Configuración de Crypto Map
  11. Seleccione la pestaña Advance de la parte superior de la pantalla Configure Encrypt Action
  12. Para Recipient Certificate Seleccione + para añadir un nuevo certificado para cifrar la firma.
  13. Ingrese el nombre para Crypto Certificate, WS-enc-receiver-publickey
  14. Seleccione el botón Upload en el campo File Name
  15. Seleccione como fuente, Java Key Store
  16. Navegue o ingrese el nombre de archivo ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
  17. Ingrese como tipo de almacén de claves, JCEKS
  18. Como contraseña de almacén de claves ingrese, storepass
  19. Seleccione como Keyâ para cargar, alice (certificate) ¦
  20. Seleccione como Key password, keypass
  21. Ingrese como nombre de archivo para guardar como, WS-enc-receiver-alice-cert.cer
  22. Seleccione el botón upload
  23. Verifique que el campo File Name esté configurado para la clave pública que usted acaba de cargar.
  24. Seleccione el botón continue.
  25. Seleccione el botón Apply para completar el panel Configure Crypto Certificate.
  26. En Symmetric Encryption Algorithm, seleccione AES128-CBC
    Figura 20: Configuración de certificado de cifrado
    Figura 20: Configuración de certificado de cifrado

    Haga clic para ampliar la imagen

    Figura 20: Configuración de certificado de cifrado

    Figura 20: Configuración de certificado de cifrado
  27. Seleccione el botón Done para completar Configure Encrypt Action.
  28. Haga clic en el botón Apply para guardar la configuración actual

Configure la regla #2 de cifrado de respuesta

  1. Desde la página de la pestaña Policy, haga clic en (response-rule) a obtener el panel de configuración de regla
  2. Haga clic en el ícono de cifrado y arrástrelo hacia la línea de procesamiento después del ícono de acción de cifrado anterior.
  3. Haga doble clic en el ícono de cifrado que acaba de soltar, para configurar los parámetros de la segunda acción de cifrado
  4. Seleccione la pestaña Advance de la parte superior de la pantalla Configure Encrypt Action
  5. En Envelope Method, seleccione WSSec Encryption
  6. En Message Type, seleccione Soap Message
  7. En Recipient Certificate seleccione la barra desplegable y seleccione el certificado creado previamente, WS-enc-receiver-publickey
  8. En Symmetric Encryption Algorithm, seleccione AES128-CBC
  9. Seleccione el botón Done para completar Configure Encrypt Action.
    Figura 21: Configuración de acción de cifrado
    Figura 21: Configuración de acción de cifrado

    Haga clic para ampliar la imagen

    Figura 21: Configuración de acción de cifrado

    Figura 21: Configuración de acción de cifrado
  10. Seleccione el botón Apply en Configure Web Service Proxy para aplicar los cambios de configuración de respuesta
    Figura 22: Configuración de acción de respuesta de proxy de servicios web
    Figura 22: Configuración de acción de respuesta de proxy de servicios web
  11. Seleccione el botón Save Config de la parte superior derecha de la pantalla para guardar la configuración actual de dominio.

Removiendo la política de seguridad predeterminada de servicios web WebSphere Application Server

El Dispositivo WebSphere DataPower SOA está ahora configurado para efectuar la política de seguridad predeterminada de servicios web para los servicios web EchoService. Las solicitudes de servicios web serán enviadas desde el Dispositivo WebSphere DataPower SOA hacia el servicio WebSphere Application Server como mensajes SOAP claros. No obstante, de un paso de configuración previo, el servicio web WebSphere Application Server (EchoService) está esperando mensajes firmados y cifrados. WS-Security necesita ser desactivada para que el EchoService permita que la solicitud se pase al punto final de servicio para procesamiento.

Para desactivar WS-Security para el EchoService, lleve a cabo los siguientes pasos.

  1. Desde la consola WAS (panel izquierdo) Services->Service providers, haga clic en EchoService.
    Figura 23: Proveedores de servicios
    Figura 23: Proveedores de servicios
  2. Seleccione todas las entradas. Haga clic en Detach desde el menú.
    Figura 24: Anexos de política de proveedor de servicios
    Figura 24: Anexos de política de proveedor de servicios
  3. El servicio EchoService está ahora configurado sin WS-Security.
    Figura 25: Anexos de política de proveedor de servicios removidos
    Figura 25: Anexos de política de proveedor de servicios removidos
  4. En la parte superior de la pantalla de la consola WAS, haga clic en Save para guardar los cambios.

Ahora la configuración está lista. Podemos usar el servlet Demo configurado en la Parte 1 de esta serie para enviar mensajes seguros al proxy de servicios web de Dispositivo WebSphere DataPower SOA y luego al servicio de backend. Consulte la Parte 1 para iniciar el navegador con el servlet Demo. Seleccione un tipo de mensaje a ser enviado. Ingrese la cadena de caracteres de mensaje de prueba a ser enviada. Acepte el conteo de mensaje predeterminado. En el URI de servicio usted puede seleccionar dirección IP, nombre de host, el puerto del servidor de aplicaciones y puerto al que el mensaje debe ser enviado. Al mensaje se le hará eco en el cuadro de diálogo que hay debajo del botón "Send".


Resumen/Conclusiones

En la parte 1 de esta serie usamos Rational Application Developer para importar un EAR de cliente EchoService de muestra y lo habilitamos con WS-Security. Luego se instaló el Cliente de servicio web en el WebSphere Application Server. El EchoService se instaló y configuró con WS-Security. El navegador fue usado para ingresar un mensaje para ser enviado desde la aplicación Cliente EchoService del servicio Web, hacia el servicio EchoService del servicio web. Al mensaje se le hizo eco de retorno hacia el cliente de servicio web.

Antes de que el mensaje fuera enviado sobre la línea desde el cliente, WS-Security usó claves asimétricas para firmar y cifrar digitalmente el mensaje. Cuando el mensaje fue recibido en el servidor de aplicaciones, WS-Security usó las claves asimétricas para verificar la firma digital y descifrar el mensaje. El mensaje luego fue pasado al servicio web para procesamiento. En este escenario al mensaje simplemente se le hizo eco en la respuesta. WS-Security usó las claves asimétricas para firmar y cifrar digitalmente el mensaje de respuesta. En el cliente, WS-Security recibe la respuesta, descifra el mensaje y luego valida la firma digital. Luego se hace eco al mensaje en la pantalla del navegador.

En esta parte de la serie configuramos el Dispositivo WebSphere DataPower SOA para que ejecutara la porción WS-Security del procesamiento. Se configuró un proxy de servicio web para que se convirtiera en el punto final de servicio mediante un manejador de primer plano. El manejador de primer plano acopla la solicitud de servicio con el WSDL que fue cargado en el Dispositivo WebSphere DataPower SOA. Cuando la solicitud coincide con el WSDL configurado, el Dispositivo WebSphere DataPower SOA comienza a procesar la solicitud usando la política de solicitud configurada. En este caso, el mensaje es descifrado usando la clave privada Bob. Luego la firma digital de la solicitud es verificada usando la clave pública soaprequestor. Luego se ejecuta una regla de transformación para remover todos los encabezados de seguridad que ya están procesados. La solicitud, ahora descifrada y verificada para que coincida con la firma digital, es enviada al WebSphere Application Server EchoService para procesamiento. Con la WS-Security removida del servicio, la solicitud es procesada inmediatamente por la lógica de servidor.

Cuando EchoService emite una respuesta, esta es enviada al proxy de servicio web DataPower para añadir los atributos de seguridad especificados. En el procesamiento de respuesta se aplica una firma digital al cuerpo y los encabezados usando la clave privada soapprovider. Luego la firma digital es cifrada usando la clave pública para Alice. Luego el mensaje de respuesta es cifrado usando una clave pública para Alice. El proxy de servicio web DataPower ahora envía la respuesta asegurada a la solicitud EchoService inicial.

Como puede ver, en cuando el Dispositivo WebSphere DataPower SOA es configurado para la política de procesamiento WS-Security, las credenciales de seguridad del mensaje del servicio web pueden procesarse de forma independiente por el Dispositivo WebSphere DataPower SOA construido especialmente. Con su velocidad de procesamiento de credenciales de seguridad, se puede lograr una escalabilidad y desempeño sustanciales.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=SOA y servicios web , WebSphere
ArticleID=966753
ArticleTitle=Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA: Parte 2: Configurando un proxy de servicio web de Dispositivo WebSphere DataPower SOA Appliance para Seguridad Asimétrica WS-Security
publish-date=01162012