Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA, Parte 1: Configure un cliente de servicio y un servicio para seguridad asimétrica

Maximice la flexibilidad de sus servicios web usando el Web Services Feature Pack for IBM® WebSphere® Application Server V6.1 y Dispositivos IBM WebSphere DataPower SOA. El Feature Pack es una implementación basada en estándares que incluye varias especificaciones de servicios web (WS*). Los dispositivos WebSphere DataPower SOA son capaces de dispositivos de firewall y seguridad a velocidades bastante altas. La integración del WebSphere Application Server con los dispositivos WebSphere DataPower SOA proporciona un servicio web seguro y de alto desempeño. Esta serie de artículos le guía a través del proceso de integración de Dispositivos WebSphere DataPower SOA con el WebSphere Application Server para mejorar su instalación segura de servicio web.

Joel Smith, Senior Software Engineer, IBM

Joel Smith ha trabajado con una variedad de sistemas operativos, E/S y subsistemas de comunicaciones. En años recientes él ha trabajado con middleware de aplicaciones en las áreas de computación omnipresente, servicios web de servidor de aplicaciones y seguridad de servicios web.



06-01-2012

Requisitos de sistema

Para seguir este artículo, asegúrese de tener:

  • WebSphere Application Server V6.1 con el Web Services Feature Pack
  • IBM Rational Application Developer V7.0.0.6 o posterior
  • Credenciales de seguridad para seguridad de servicios web en forma de almacenes de claves JCEKS o las claves privadas o certificados públicos requeridos para las operaciones de criptografía especificadas

En este artículo

Este artículo cubre:

  • Implementando y configurando un servicio web seguro usando cifrado asimétrico.
  • Usando Rational Application Developer para importar un archivo EAR de muestra y configurar políticas de seguridad de servicios web y acoplando anexos para un Cliente de servicio web
  • Usando la consola WebSphere Application Server para configurar las políticas de Seguridad de servicios web para un servicio de muestra
  • Preparando Java™ Cryptography Extension (JCE) y credenciales de seguridad JCEKS.

Introducción

El Web Services Feature Pack for WebSphere Application Server V6.1 extiende las capacidades de los servicios para permitir que los mensajes se envíen de forma asíncrona, confiable y segura. Esta función extendida soporta estándares clave se servicios web, permitiendo la flexibilidad para interoperar con ofrecimientos de múltiples proveedores. los estándares soportados incluyen:

  • Java API for XML Web Services (JAX-WS)
  • WS-Security
  • WS-Addressing
  • WS-Reliable Messaging
  • WS-Secure Conversation
  • SOAP Message Transmission Optimization Mechanism (MTOM)

Este modelo proporciona un motor de servicios web que permite configuraciones flexibles para usar estos estándares diversos. Las políticas y los conjuntos de política se proporcionan en varias combinaciones para simplificar la configuración de niveles sofisticados de procesamiento para servicios web.

Los Dispositivos WebSphere DataPower SOA son dispositivos de red especialmente construidos que ayudan a asegurar y acelerar el procesamiento de XML y de servicios web. Aunque los Dispositivos WebSphere DataPower SOA tienen una extensa lista de capacidades y recursos, este artículo se enfoca en sus aspectos de servicios web. Las capacidades de servicios web relevantes para este artículo son el procesamiento de seguridad de nivel de mensaje XML para cifrado y descifrado, la firma y verificación mediante firma digital, WS-Security, validación de esquema XML, soporte de administración de servicios web, y registro y auditoría detallados. El procesamiento de Secure XML puede ser extremadamente intensivo en recursos. Los Dispositivos WebSphere DataPower SOA ofrecen procesamiento y seguridad XML que puede no estar disponible en los motores XML tradicionales. Permitir a los Dispositivos WebSphere DataPower SOA efectuar porciones intensivas en procesamiento de las solicitudes de servicios web, acelera y aligera la carga del servicio web del servidor de aplicaciones.

El Web Services Feature Pack for WebSphere Application Server V6.1 incluye varias políticas de seguridad de servicios web y conjuntos que soportan una variedad de configuraciones de seguridad de servicios web. Estas políticas y conjuntos de políticas pueden seleccionarse y configurarse desde la consola del WebSphere Application Server. Desde la consola también se pueden crear nuevas políticas. La flexibilidad para configurar niveles mixtos de procesamiento para un servicio web ofrece un nivel altamente adecuado de seguridad y confiabilidad. Esta modularidad permite además que porciones del servicio web sean procesadas de forma separada. Este artículo demuestra cómo implementar un servicio web de muestra y configurar el conjunto de políticas de seguridad WS-Security predeterminado usando el Rational Application Developer.

La Parte 2 de esta serie de artículos demostrará cómo descargar la porción modular del procesamiento WS-Security desde el servidor hacia Dispositivos WebSphere DataPower SOA y diferir el procesamiento de servicio web restante al servidor de aplicaciones. Esto permite al dispositivo hacer el procesamiento intensivo en recursos y al servidor de aplicaciones procesar la lógica de negocios de la aplicación.

La política WS-Security predeterminada asegura la integridad de mensaje mediante una firma digital para el cuerpo y los encabezados, asegurando la confidencialidad del mensaje mediante el cifrado del cuerpo. Aplicar la política WS-Security predeterminada a un servicio web implementado configura el servicio web de manera que la solicitud inicial es recibida por el módulo WS-Security. El mensaje SOAP es procesado para descifrar el contenido del mensaje. Luego se verifica la firma digital. Si el mensaje es procesado exitosamente, luego es enviado al siguiente módulo del motor de servicios web. Cuando la respuesta es generada para ser enviada de regreso al cliente, el módulo de seguridad revierte el proceso de seguridad. Una firma de seguridad es generada y ubicada en el mensaje SOAP. Luego el mensaje SOAP es cifrado como se especifica en la política y la solicitud es retornada al cliente. La Figura 1 muestra un ejemplo de esta configuración de servicio web.

Figura 1. Configuración de servicio web con política de seguridad predeterminada
Configuración de servicio web con política de seguridad predeterminada

En este escenario, todos los elementos del mensaje SOAP son procesados por el motor de servicios web en el Web Services Feature Pack for WebSphere Application Server V6.1. El tiempo de ejecución WS-Security es insertado en la cadena de procesamiento de servicios web cuando la aplicación es implementada. Los parámetros de configuración que definen las opciones WS-Security se especifican en el descriptor de implementación para determinar cómo se compila la cadena de procesamiento de servicio web. Estos parámetros WS-Security pueden especificarse usando WebSphere Application Server Console o Rational Application Developer. Este articulo usa el método Rational Application Developer.


Pasos para una configuración de muestra

Los siguientes pasos de configuración usan el Rational Application Developer para importar y exportar una muestra funcional de cliente de servicio web. Este escenario puede ser útil para entender las facetas de una aplicación de cliente de servicio web totalmente configurada que se utilizará para procesamiento de seguridad. Usted instala el cliente de servicios web en un servidor de aplicaciones WebSphere desde la consola. Este escenario de muestra utiliza la muestra EchoService y las credenciales de seguridad incluidas en el Web Services Feature Pack for WebSphere Application Server V6.1. IBM Rational Application Developer contiene plantillas de política WS-Security predeterminadas, usadas para configurar el cliente de servicio web de ejemplo.

Configuración de servicio web WebSphere

Lleve a cabo los siguientes pasos:

  1. Asegúrese de que las muestras de servicio web estén instaladas (hay una descripción sobre cómo hacer esto en el information center).
  2. Para verificar el progreso incremental, instale y configure el cliente y el servicio EchoService.
  3. Ejecute el cliente de muestra iniciando un navegador en http://localhost:9080/wssamplesei/demo.
  4. Usando el mensaje escriba Synchronous Echo lo cual debe dar como resultado una respuesta exitosa echo strings.

En el siguiente paso, usted configura políticas WS-Security y vinculaciones para verificar comunicaciones seguras exitosas para los mensajes a los que se les hizo eco. Comenzar con un cliente y configuración de servicio que funcionen simplifica la depuración, de ser necesaria, a medida que se completan pasos de configuración más complejos.


Configuración de cliente de servicios web con Rational Application Developer

Estos pasos describen como usar el Rational Application Developer para importar el archivo WebSphere Application Server Web Services Feature Pack WSSampleClientSei.ear, configurar la política WS-Security y vinculaciones predeterminadas, exportar el archivo .ear e implementarlo en el WebSphere Application Server.

  1. Inicie el Rational Application Developer.
  2. Ingrese un nuevo espacio de trabajo llamado MyEchoClient.
  3. Seleccione File > Import.
  4. En la carpeta J2EE, seleccione EAR file, luego seleccione Next.
    Figura 2. Importando un archivo EAR de cliente de servicio web
    Importando un archivo EAR de cliente de servicio web
  5. Para el campo de archivo EAR, navegue hacia, y seleccione app_server_root/samples/lib/WebServicesSamples/WSSampleClientSei.ear, luego haga clic en Next.
  6. En el panel New Server Runtime, al final del campo de nombre, añada WSFP para indicar que usted está usando el tiempo de ejecución objetivo Services Feature Pack.
  7. En el campo de directorio de instalación, ingrese la ruta donde el servidor está instalado.
    Figura 3. Nuevo tiempo de ejecución de servidor
    Nuevo tiempo de ejecución de servidor
  8. Haga clic en Finish. La ventana que se muestra en la Figura 2 aparecerá de nuevo.
  9. Haga clic en Finish de nuevo.
  10. Desde el panel Project Explorer a la izquierda, seleccione y haga clic derecho en SampleClientSei, y seleccione Project Facets.
  11. Haga clic en Add/Remove Project Facets.
  12. Seleccione WebSphere 6.1 Feature Pack for Web Services.
  13. Haga clic en Finish, y luego haga clic en OK.
    Figura 5. Rational Application Developer Project Facets
    Rational Application Developer Project Facets
  14. Cree un anexo de conjunto de política para la aplicación del cliente haciendo clic en File > New > Other en el menú principal.
  15. En el New wizard, expanda Web Services y Policy Set, luego haga clic en Client Side Policy Set Attachment.
    Figura 6. Cree anexos de conjunto de política del lado del cliente
    Cree anexos de conjunto de política del lado del cliente
  16. Haga clic en Next.
  17. Haga clic en Add para mostrar la ventana End Point definition Dialog. Seleccione lo siguiente:
    • Service Name: EchoService
    • Endpoint: EchoServicePort
    • Operation Name: echoOperation
    • Policy Set: WSSecurity default
    • Binding: MyWSSecurityBinding
  18. Haga clic en OK.
    Figura 7. Definición de acople de punto final
    Definición de acople de punto final

Ahora usted necesita establecer la configuración para la firma digital.

  1. Para Digital Signature Outbound Message Security Configuration, seleccione WSSecurity y luego seleccione Configure.
  2. En la ventana Outbound Message Security Configuration:
    • IngreseSTRREF en el campo Key Information Type.
    • Ingresehttp://www.w3.org/2001/10/xml-exc-c14n# en el campoTransform Algorithm.
    • Haga clic en el botón Key Store Settings .
  3. En la ventana Key Store Settings Dialog:
    • Ingrese${USER_INSTALL_ROOT}\etc\ws-security\samples\dsig-sender.ks en el campo Keystore Path.
    • Ingreseclient en el campo Keystore Password.
    • Para el Keystore Type, seleccione JKS.
    • En el campo Key Alias, ingrese soaprequester.
    • En el campo Key Password, ingrese client.
  4. Haga clic en OK para completar.
    Figura 8. Configuraciones de almacén de claves de firma digital del cliente
    Configuraciones de almacén de claves de firma digital del cliente
  5. Para configurar la configuración de enlace para cifrado XML, haga clic en la pestaña XML Encryption Configuration en la parte superior de la ventana Binding Configuration Dialog.
  6. En Outbound Message Security Configuration, ingrese KEYID en el campo Key Information Type.
  7. Haga clic en el botón Key Store Settings contiguo a Outbound Message Security Configuration. En la ventana Key Store Settings Dialog:
    • Ingrese${USER_INSTALL_ROOT}\etc\ws-security\samples\enc-sender.jceks en el campo Keystore Path.
    • Ingresestorepass en el campo Keystore Password.
    • Seleccione JCEKS en la lista desplegable Keystore Type.
    • IngreseBob en el campo Key Alias.
    Figura 9. Client Encryption Key Store Settings
    Client Encryption Key Store Settings
  8. Haga clic en OK para terminar.
  9. Haga clic en el botón Key Store Settings contiguo a Inbound Message Security Configuration. En la ventana Key Store Settings Dialog:
    • Ingrese%install%\etc\ws-security\samples\enc-sender.jceks en el campo Key Store Path.
    • Ingresestorepass en el campo Keystore Password.
    • Para Keystore Type, seleccione JCEKS.
    • IngreseAlice en el campo Key Alias.
  10. Haga clic en OK para terminar y luego haga clic en OK de nuevo para cerrar la ventana Binding Configuration Dialog.
  11. Haga clic en Finish para cerrar la ventana Client Side Policy Set Attachment.
    Figura 10. Configuración de enlace de cliente de servicio web con Rational Application Developer
    Configuración de enlace de cliente de servicio web con Rational Application Developer
  12. Con la política y los enlaces completos, ahora usted puede publicar o exportar, e instalar la aplicación de cliente de servicios web en el WebSphere Application Server para prueba.
  13. Antes de las pruebas, configure el EchoService con la política WS-Security predeterminada y acoples de enlace expandiendo Servicios en el panel izquierdo de la consola WebSphere Application Server, haciendo clic en Service providers y luego haciendo clic en EchoService en el panel derecho.
    Figura 11. Configure la política WS Security EchoService
    Configure la política WS Security EchoService
  14. En el panel derecho, seleccione todas las entradas.
  15. Haga clic en el menú desplegable Attach y seleccione WSSecurity default. Seleccione todas las entradas.
  16. Haga clic en el menú desplegable Assign Binding y seleccione default.
  17. En la parte superior de la pantalla, haga clic en Save. El EchoService está configurado ahora con WS-Security. Usted puede hacer clic en EchoService en el campo Name para confirmar WS-Security y las configuraciones de enlace como se muestra en la Figura 12.
    Figura 12. EchoService con política WS-Security y enlaces aplicados
    EchoService con política WS-Security y enlaces aplicados
  18. Pruebe la aplicación de cliente apuntando su navegador a http://localhost:9080/wssamplesei/demo. Usted puede reemplazar localhost en el URL con el nombre host del servidor de aplicación donde la aplicación cliente de servicio web esté instalada. Si la aplicación cliente del servicio web está instalado en un puerto diferente, asegúrese de usar el puerto donde la aplicación cliente de servicio web esté instalada.
  19. Ahora la aplicación está lista para enviar mensajes seguros al servicio de backend. Como se muestra en la Figura 13:
    • Seleccione un tipo de mensaje a ser enviado.
    • Ingrese la cadena de caracteres de mensaje de prueba a ser enviada.
    • Acepte el conteo de mensaje predeterminado.
    • En el campo Service URI, usted puede seleccionar dirección IP, nombre de host, puerto del servidor de aplicaciones y puerto al que el mensaje debe ser enviado. Al mensaje se le hará eco en la ventana que hay debajo del botón Send Message.
      Figura 13. Configuración de enlace
      Configuración de enlace

Conclusión

En este artículo usted usó el Rational Application Developer para importar un archivo EAR de cliente EchoService de muestra y lo activó con WS-Security; instaló el cliente de servicio web de muestra en el WebSphere Application Server; instaló y configuró EchoService con WS-Security; y usó el navegador para ingresar un mensaje para que fuera enviado desde la aplicación cliente EchoService de servicio web, hacia el servicio EchoService de servicio web. El mensaje hizo eco de retorno hacia el cliente de servicio web.

Antes de que el mensaje fuera enviado sobre la línea desde el cliente, WS-Security usó claves asimétricas para firmar y cifrar digitalmente el mensaje. Cuando el mensaje fue recibido en el servidor de aplicaciones, WS-Security usó las claves asimétricas para verificar la firma digital y descifrar el mensaje. El mensaje luego fue pasado al servicio web para procesamiento. En este escenario, al mensaje simplemente se le hizo eco en la respuesta. WS-Security usó las claves asimétricas para firmar y cifrar digitalmente el mensaje de respuesta. En el cliente, WS-Security recibe la respuesta, valida la firma digital y descifra el mensaje. Luego se hace eco al mensaje en la pantalla del navegador.

En la Parte 2 de esta serie, Usted usará Dispositivos WebSphere DataPower SOA para llevar a cabo la firma digital y verificación WS-Security, y la porción de cifrado y descifrado del procesamiento del mensaje.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=SOA y servicios web , WebSphere
ArticleID=783737
ArticleTitle=Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA, Parte 1: Configure un cliente de servicio y un servicio para seguridad asimétrica
publish-date=01062012