Chiffrement des messages SOAP

Vous pouvez chiffrer l'en-tête et le corps d'un message SOAP si vous souhaitez sécuriser les services Web à l'aide du chiffrement.

Accédez à la vue physique et ajoutez des magasins d'identités pour IBM® DevOps Test Integrations and APIs (Test Integrations and APIs). Pour plus d'informations sur la définition et la configuration des magasins d'identités, voir Magasins d'identités et SSL.
Chiffrez l'en-tête et le corps d'un message SOAP sortant.
Note: La possibilité de chiffrer les en-têtes des messages SOAP est disponible dans Test Integrations and APIs 8.5.0 ou version ultérieure.
  1. Dans la Vue Logique de la perspective Ecole d'Architecture, importez et synchronisez un document WSDL.
  2. Créez un test ou un stub.
  3. Ouvrez le message SOAP sortant pour le modifier:
    • En cas de test, double-cliquez sur une action de message.
    • En cas de talon, ouvrez le Activité et double-cliquez sur une action de message.
  4. Dans le Configuration, cliquez avec le bouton droit sur le nœud de message SOAP et sélectionnez Propriétés.
    L’exemple d’image suivant provient d’un test.
    Option de chiffrement
  5. Ouvrez le WS-Sécurité languette. Sélectionnez le Activer case à cocher, si ce n’est déjà fait.
  6. Sélectionner Crypter dans la liste déroulante.
    Option de chiffrement
    Le Crypter La boîte de dialogue s'affiche.
  7. Dans le Crypter, configurez le cryptage du message SOAP.

    Image de la fenêtre Chiffrer.

    Le tableau suivant présente les paramètres et les options utilisés pour chiffrer un message SOAP:

    Champ/case à cocherDescriptif
    Nom de la transformation ( Requis )Un nom unique pour l'action de chiffrement. Cela vous aide à l'identifier dans la liste principale.
    Magasin de clésLe magasin d'identités IBM DevOps Test Integrations and APIs (Test Integrations and APIs) que vous avez créé et configuré. Sélectionnez celui qui convient dans la liste déroulante.
    Note: Un magasin de clés JKS est requis pour chiffrer un message.
    Alias du certificatL'alias du certificat à utiliser à partir du magasin de clés pour chiffrer la clé symétrique des messages. Par exemple, Californie.
    Type d'identifiant de cléMéthode par laquelle le certificat est identifié du côté du destinataire. Cet élément peut avoir l'une des valeurs suivantes:
    • Numéro de série: seuls le nom de l'émetteur et le numéro de série du certificat de signature sont placés dans l'en-tête de sécurité, par opposition à l'intégralité du certificat de signature. Cela réduit la quantité de données envoyées. La méthode de chiffrement utilise la clé publique associée à ce certificat pour chiffrer la clé symétrique utilisée pour chiffrer les données.
    • Référence directe du jeton de sécurité binaire: le certificat de signature est converti en un BinarySecurityToken et inséré dans l'en-tête de sécurité. Une référence au jeton de sécurité binaire est également insérée dans le wsse:SecurityReferenceToken. Cela signifie que l'intégralité du certificat de signature est transférée au destinataire. Le profil X509 recommande d'utiliser le numéro de série d'émission au lieu d'envoyer l'intégralité du certificat.
    • Identifiant de clé X509: La méthode de chiffrement utilise la clé publique associée à ce certificat pour chiffrer la clé symétrique utilisée pour chiffrer les données. Le certificat est converti en jeton KeyIdentfier et envoyé au destinataire. Ainsi, les données complètes du certificat sont transférées au destinataire. Le profil X509 recommande d'utiliser Issue Serial au lieu d'envoyer l'intégralité du certificat.
    Choisissez une valeur en fonction du destinataire du message SOAP et de ce dont le destinataire a besoin pour déchiffrer le message à la réception.
    Algorithme de chiffrement de cléL'algorithme utilisé pour transporter les messages à clé symétrique. Les choix disponibles dans la liste sont contrôlés par WS-Security Framework.

    Les algorithmes de chiffrement de clé spécifient respectivement les algorithmes Key Transport et KeyWrap à utiliser pour chiffrer et déchiffrer une clé secrète (la clé utilisée pour chiffrer les données). Ils spécifient également l’algorithme URI (Uniform Resource Identifier) de la méthode de chiffrement par clé.

    Les algorithmes de chiffrement à clé préconfigurés suivants sont pris en charge: http://www.w3.org/2001/04/xmlenc#rsa-1_5http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p

    Algorithme de signatureL'algorithme utilisé pour chiffrer la charge utile à l'aide de la clé symétrique des messages. Sélectionnez l'une des valeurs suivantes:
    • AES128 dans CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 dans CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc
    • AES256 dans CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc
    • Triple DES dans CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc

    Cet algorithme est utilisé pour crypter les données. Le récepteur doit utiliser le même algorithme pour décrypter les données.

    ActeurIndique un destinataire spécifique (soit le destinataire final, soit un intermédiaire) vers lequel le contenu du message doit généralement être adressé.

    Un message SOAP peut avoir plusieurs en-têtes WS-Security. Chaque en-tête WS-Security doit avoir un acteur unique défini s'il y en a plusieurs. Si un message SOAP est transmis entre des étapes intermédiaires (destinataires), chaque étape utilisera sa valeur d'acteur unique pour déterminer de quel en-tête WS-Security elle a besoin pour traiter le message comme elle le doit.

    Faut comprendre ?

    Indique si le récepteur (indiqué par leActor attribut) est requis pour traiter une entrée d’en-tête. Lorsque vous définissez cet attribut sur true, l'acteur doit comprendre la sémantique de l'entrée d'en-tête et doit la traiter correctement selon cette sémantique. Si la valeur est fausse, le traitement de l'entrée d'en-tête devient facultatif.Le L'attribut Doit comprendre indique que la sémantique d'un élément est différente de la sémantique de ses éléments parents ou homologues. Cela facilite une évolution robuste, garantissant qu'un changement de sémantique ne soit pas ignoré par ceux qui ne le comprennent peut-être pas complètement.

    SAVON CorpsIndique s’il faut chiffrer le corps d’un message SOAP.
    Jetons de sécurité WSLes jetons WS-Security sont ce que vous avez défini sur le WS-Security tel que le jeton binaire, le jeton utilisateur, le jeton d'horodatage, etc. (illustré ci-dessous) et deviennent des éléments XML dans l'en-tête de sécurité généré. Vous pouvez chiffrer n'importe quel jeton défini avant le jeton Encrypt individuellement par le jeton Encrypt, tout comme vous pouvez chiffrer les éléments d'en-tête SOAP et les éléments WS-Addressing.


    Dans le Boîte de dialogue Chiffrer, pour chaque jeton affiché sous le WS-Security Tokens, vous devez cocher la case en regard de celle-ci si vous souhaitez le chiffrer.

    Adressage WSIndique s’il faut chiffrer le WS-Addressing champs d’un message SOAP. Pour chaque champ affiché sous cette case à cocher, vous devez cocher la case à côté si vous souhaitez le chiffrer.
    En-têtes SOAPIndique s’il faut chiffrer les éléments d’en-tête individuels dans l’enveloppe SOAP. Vous devez sélectionner l'élément d'en-tête que vous souhaitez chiffrer.
    Champs corporelsIndique s’il faut chiffrer les éléments de corps individuels dans l’enveloppe SOAP. Vous devez ajouter le nom qualifié de chaque champ que vous souhaitez chiffrer.
    Note: Dans le Crypter Dans la boîte de dialogue, seuls les éléments de message explicitement sélectionnés sont chiffrés.
  8. Cliquez sur D'ACCORD pour terminer l'action.