用于 JAX-WS 应用程序的常规样本绑定

可将样本绑定与管理控制台配合使用,以进行测试。 会在单元或服务器级别上反映您指定的配置。

WebSphere® Application Server V 7.0 和更高版本包含用于测试目的的提供程序和客户机样本绑定。 在这些绑定中,产品提供了用于支持不同令牌类型的令牌(例如 X.509 令牌、用户名令牌、LTPA 令牌和 Kerberos 令牌)的样本值。 这些绑定还包括针对令牌类型(例如 X.509 和安全对话)的消息保护信息的样本值。 从缺省本地存储库中,可以将提供程序样本绑定和客户机样本绑定应用于与系统策略集连接的应用程序或应用程序策略集。

此信息描述 Java™ API for XML-Based Web Services (JAX-WS) 编程模型的常规样本绑定。 您可以使用基于 XML 的 RPC 的 Java API (JAX- RPC ) 编程模型开发 Web 服务,或者对于 WebSphere Application Server 版本 7.0 及更高版本,可以使用基于 XML 的 Web 服务的 Java API (JAX-WS) 编程模型开发 Web 服务。 根据您所使用的编程模型的不同,常规样本绑定可能会不同。 提供的下列各节描述了各种常规样本绑定:
最佳实践: IBM®WebSphere Application Server 支持基于XML的Web服务Java API(JAX-WS)编程模型以及基于XML的 RPC Java API(JAX- RPC )编程模型。 JAX-WS 是一种 Web Service 编程模型,用于扩展 JAX-RPC 编程模型所提供的基础。 JAX-WS 编程模型可通过基于标准的注释模型的支持简化 Web Service 和客户机的开发。 虽然仍支持 JAX-RPC 编程模型和应用程序,但应该利用易于实现的 JAX-WS 编程模型来开发新的 Web Service 应用程序和客户机。

在生产环境中,请不要按其缺省状态使用这些提供程序样本绑定和客户机样本绑定。 在生产环境中使用这些绑定之前,必须通过以下方式修改这些绑定来满足安全性需要:对这些绑定生成副本然后修改该副本。 例如,必须更改密钥和密钥库设置以确保安全性,然后修改绑定设置来与环境相匹配。

避免麻烦: 生成提供程序或客户机样本绑定的副本后,请仅定制新副本的设置以适合您的用途。 请勿从客户机样本绑定移除任何内容,例如,令牌生成器、令牌使用者、签名部件或加密部件。
应用程序共享一组常规缺省绑定,以使应用程序部署变得更容易。 可以为服务提供程序或客户机指定用于全局安全性(单元)级别、安全域或特定服务器的缺省绑定。 缺省绑定是您位在更低作用域指定覆盖绑定时使用的绑定。 应用程序服务器用于确定要使用哪个缺省绑定的优先顺序从低到高如下所示:
  1. 服务器级别缺省绑定
  2. 安全域级别缺省绑定
  3. 全局安全性(单元)缺省绑定

常规客户机样本绑定

  • 用于签署信息生成的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
    • 引用 gen_signkeyinfo 签署密钥信息。
    • 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
    • 签署密钥信息 gen_signkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • gen_signx509token 保护令牌非对称签名生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录
      • X.509 回调处理程序。 回调处理程序使用以下特征来调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks中的定制密钥库:
        • 密钥库类型为 JKS
        • 密钥库密码为 client
        • 个人证书的别名为 soaprequester
        • 密钥密码为 client
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于签署信息生成的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
    • 引用 gen_signsctkeyinfo 签署密钥信息。
    • 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
    • 签署密钥信息 gen_signsctkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含作为局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录
      • WS-Trust 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
    • 引用 gen_enckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_enckeyinfo),它包含以下配置:
      • 密钥标识。
      • gen_encx509token 保护令牌非对称加密生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录
      • X.509 回调处理程序。 回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks中的定制密钥库,如下所示:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 bob
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
    • 引用 gen_encsctkeyinfo 加密密钥信息。
    • 加密密钥信息 gen_encsctkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,它包含以下配置:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息使用的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
    • 引用 con_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
      • con_signx509token 保护令牌非对称签名使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序,如下:
        • 引用名为 DigSigCertStore 的证书库。
        • 引用名为 DigSigTrustAnchor 的可信锚库。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于签署信息使用的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
    • 引用 con_sctsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoResponse),它包含以下配置:
    • 引用 dec_keyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
      • con_encx509token 保护令牌非对称加密使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 alice
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
    • 引用 dec_sctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_sctkeyinfo)包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含本地部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌生成的样本配置(称为 gen_signkrb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.generate.KRB5BST JAAS 登录。
    • 下列定制属性:
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName,目标 Kerberos 服务名称。
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,与目标 Kerberos 服务名称相关联的主机名。

        在使用此配置之前,必须针对环境提供正确值。

    • 定制 Kerberos 令牌回调处理程序。 必须为 Kerberos 客户机主体和密码提供正确值。
  • 用于认证令牌生成的样本配置(称为 gen_signltpaproptoken)包含以下配置:
    • 令牌类型 LTPA 传播令牌,如下:
      • 包含用于局部部件值的 LTPA_PROPAGATION
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • 包含 wss.generate.ltpaProp JAAS 登录。
    • 使用 LTPA 令牌回调处理程序。
  • 用于认证令牌生成的样本配置(称为 gen_signltpatoken)包含以下配置:
    • 令牌类型 LTPA 令牌 V2.0,如下:
      • 包含用于局部部件值的 LTPA_PROPAGATION
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • wss.generate.ltpa JAAS 登录。
    • LTPA 令牌回调处理程序。
  • 用于认证令牌生成的样本配置(称为 gen_signunametoken)包含以下配置:
    • 令牌类型用户名令牌 V1.0,它将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于局部部件值。
    • wss.generate.unt JAAS 登录。
    • 用户名令牌回调处理程序,如下:
      • 包含基本认证字段。 必须针对环境为客户机主体和密码提供正确值。
      • 包含下列定制属性:
        • com.ibm.wsspi.wssecurity.token.username.addNonce,用于添加现时标志值。
        • com.ibm.wsspi.wssecurity.token.username.addTimestamp,用于添加时间戳记值。

SHA256 客户机样本绑定

  • 用于签署信息生成的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
    • 引用 gen_signkeyinfo 签署密钥信息。
    • 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
    • 签署密钥信息 gen_signkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • gen_signx509token 保护令牌非对称签名生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录
      • X.509 回调处理程序。 回调处理程序使用以下特征来调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks中的定制密钥库:
        • 密钥库类型为 JKS
        • 密钥库密码为 client
        • 个人证书的别名为 soaprequester
        • 密钥密码为 client
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=rsa-sha256
  • 用于签署信息生成的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
    • 引用 gen_signsctkeyinfo 签署密钥信息。
    • 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
    • 签署密钥信息 gen_signsctkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含作为局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录
      • WS-Trust 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=hmac-sha256
  • 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
    • 引用 gen_enckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_enckeyinfo),它包含以下配置:
      • 密钥标识。
      • gen_encx509token 保护令牌非对称加密生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录
      • X.509 回调处理程序。 回调处理程序调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks中的定制密钥库,如下所示:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 bob
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
    • 引用 gen_encsctkeyinfo 加密密钥信息。
    • 加密密钥信息 gen_encsctkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,它包含以下配置:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息使用的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
    • 引用 con_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
      • con_signx509token 保护令牌非对称签名使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序,如下:
        • 引用名为 DigSigCertStore 的证书库。
        • 引用名为 DigSigTrustAnchor 的可信锚库。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=rsa-sha256
  • 用于签署信息使用的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
    • 引用 con_sctsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=hmac-sha256
  • 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoResponse),它包含以下配置:
    • 引用 dec_keyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
      • con_encx509token 保护令牌非对称加密使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 alice
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
    • 引用 dec_sctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_sctkeyinfo)包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含本地部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌生成的样本配置(称为 gen_signkrb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.generate.KRB5BST JAAS 登录。
    • 下列定制属性:
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName,目标 Kerberos 服务名称。
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,与目标 Kerberos 服务名称相关联的主机名。

        在使用此配置之前,必须针对环境提供正确值。

    • 定制 Kerberos 令牌回调处理程序。 必须为 Kerberos 客户机主体和密码提供正确值。
  • 用于认证令牌生成的样本配置(称为 gen_signltpaproptoken)包含以下配置:
    • 令牌类型 LTPA 传播令牌,如下:
      • 包含用于局部部件值的 LTPA_PROPAGATION
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • 包含 wss.generate.ltpaProp JAAS 登录。
    • 使用 LTPA 令牌回调处理程序。
  • 用于认证令牌生成的样本配置(称为 gen_signltpatoken)包含以下配置:
    • 令牌类型 LTPA 令牌 V2.0,如下:
      • 包含用于局部部件值的 LTPA_PROPAGATION
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • wss.generate.ltpa JAAS 登录。
    • LTPA 令牌回调处理程序。
  • 用于认证令牌生成的样本配置(称为 gen_signunametoken)包含以下配置:
    • 令牌类型用户名令牌 V1.0,它将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于局部部件值。
    • wss.generate.unt JAAS 登录。
    • 用户名令牌回调处理程序,如下:
      • 包含基本认证字段。 必须针对环境为客户机主体和密码提供正确值。
      • 包含下列定制属性:
        • com.ibm.wsspi.wssecurity.token.username.addNonce,用于添加现时标志值。
        • com.ibm.wsspi.wssecurity.token.username.addTimestamp,用于添加时间戳记值。
  • 用于认证令牌生成的样本配置(称为 gen_saml11token)包含以下配置:
    • SAML 的令牌类型为 1.1 ,如下所示: Contains http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 对于本地部分的值。
    • system.wss.generate.saml JAAS 登录。
    • SAML 生成器的回调处理程序,具有以下自定义属性:
      表 1. SAML 生成器回调处理器的自定义属性
      定制属性
      confirmationMethod 持有者
      keyType http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      stsURI https://example.com/Trust/13/UsernameMixed
      wstrustClientPolicy 用户名 WSHTTPS 缺省值
      wstrustClientBinding SamlTCSample
      wstrustClientSoapVersion 1.2
  • 用于认证令牌生成的样本配置(称为 gen_saml20token)包含以下配置:
    • SAML 的令牌类型为 2.0 ,如下所示: Contains http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 用于本地部分值。
    • system.wss.generate.saml JAAS 登录。
    • SAML 生成器的回调处理程序,具有以下自定义属性:
      表 2. SAML 生成器回调处理器的自定义属性
      定制属性
      confirmationMethod 持有者
      keyType http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      stsURI https://example.com/Trust/13/UsernameMixed
      wstrustClientPolicy 用户名 WSHTTPS 缺省值
      wstrustClientBinding SamlTCSample
      wstrustClientSoapVersion 1.2

客户机样本绑定 V2

已将两个新的常规样本绑定(客户机样本绑定 V2 和提供程序样本绑定 V2)添加至该产品。 虽然其中大量配置与先前版本的客户机样本绑定和提供程序样本绑定的配置相同,但是还有若干新的样本配置。 要使用这些新绑定,请在安装产品之后创建新的概要文件。 有关更多信息,请参阅主题“配置 Kerberos 策略集和 V2 常规样本绑定”。

  • 用于签署信息生成的样本配置(称为 symmetric-KrbsignInfoRequest)包含以下配置:
    • 引用 gen_reqKRBsignkeyinfo 签署密钥信息。
    • 部件引用配置,它包含使用 http://www.w3.org/2001/10/xml-exc-c14n# 算法的变换配置。
    • 签署密钥信息 gen_reqKRBsignkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_krb5token 保护令牌生成器,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含作为局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.generate.KRB5BST JAAS 登录
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息生成的样本配置(称为 symmetric-KrbEncInfoRequest)包含以下配置:
    • 引用 gen_reqKRBenckeyinfo 加密密钥信息。
    • 加密密钥信息 gen_reqKRBenckeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_krb5token 保护令牌生成器,它包含以下配置:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.generate.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息使用的样本配置(称为 symmetric-KrbsignInfoResponse)包含以下配置:
    • 引用 con_respKRBsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_respKRBsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_krb5token 保护令牌使用者,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.consume.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息使用的样本配置(称为 symmetric-KrbEncInfoResponse)包含以下配置:
    • 引用 con_respKRBenckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 con_respKRBenckeyinfo)包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_krb5token 保护令牌使用者,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.consume.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌生成的样本配置(称为 gen_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.generate.KRB5BST JAAS 登录。
    • 下列定制属性:
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceName,目标 Kerberos 服务名称。
      • com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost,与目标 Kerberos 服务名称相关联的主机名。
        注: 在使用此配置之前,必须为您的环境提供正确的值。
    • 定制 Kerberos 令牌回调处理程序。
      注: 必须为 Kerberos 客户机主体和密码提供正确的值。
  • 用于认证令牌生成的样本配置(称为 con_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.consume.KRB5BST JAAS 登录。
    • 定制 Kerberos 令牌回调处理程序。

常规提供程序样本绑定

  • 用于签署信息使用的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
    • 引用 con_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
      • con_signx509token 保护令牌非对称签名使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序,如下:
        • 引用名为 DigSigCertStore 的证书库。
        • 引用名为 DigSigTrustAnchor 的可信锚库。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=rsa-sha256
  • 用于签署信息使用的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
    • 引用 con_sctsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
    • 引用 dec_keyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
      • con_encx509token 保护令牌非对称加密使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 bob
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
    • 引用 dec_sctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_sctkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息生成的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
    • 引用 gen_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 gen_signkeyinfo),它包含以下配置:
      • 安全性令牌引用。
      • gen_signx509token 保护令牌非对称签名生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JKS
        • 密钥库密码为 server
        • 个人证书的别名为 soapprovider
        • 密钥密码为 server
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于签署信息生成的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
    • 引用 gen_signsctkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 gen_signsctkeyinfo),它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoResponse)包含以下配置:
    • 引用 gen_enckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_enckeyinfo)包含以下配置:
      • 密钥标识。
      • gen_encx509token 保护令牌非对称加密生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录。
      • 使用 X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 alice
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
    • 引用 gen_encsctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_encsctkeyinfo)包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌使用的样本配置(称为 con_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.consume.KRB5BST JAAS 登录。
    • 定制 Kerberos 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_ltpaproptoken)包含以下配置:
    • 令牌类型 LTPA propagation token
    • wss.consume.ltpaProp JAAS 登录。
    • LTPA 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_ltpatoken)包含以下配置:
    • 令牌类型 LTPA Token v2.0,具有以下特征:
      • 包含用于局部部件值的 LTPAv2
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • wss.consume.ltpa JAAS 登录
    • LTPA 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_unametoken)包含以下配置:
    • 令牌类型 Username Token v1.0,将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于本地部件值。
    • wss.consume.unt JAAS 登录。
    • 用户名令牌回调处理程序,具有下列定制属性:
      • com.ibm.wsspi.wssecurity.token.username.verifyNonce,用于验证现时标志值。
      • com.ibm.wsspi.wssecurity.token.username.verifyTimestamp,用于验证时间戳记值。

SHA256 提供程序样本绑定

  • 用于签署信息使用的样本配置(称为 asymmetric-signingInfoRequest)包含以下配置:
    • 引用 con_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_signkeyinfo),它包含以下配置:
      • con_signx509token 保护令牌非对称签名使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序,如下:
        • 引用名为 DigSigCertStore 的证书库。
        • 引用名为 DigSigTrustAnchor 的可信锚库。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=rsa-sha256
  • 用于签署信息使用的样本配置(称为 symmetric-signingInfoRequest)包含以下配置:
    • 引用 con_sctsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 con_sctsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=hmac-sha256
  • 用于加密信息使用的样本配置(称为 asymmetric-encryptionInfoRequest)包含以下配置:
    • 引用 dec_keyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_keyinfo),它包含以下配置:
      • con_encx509token 保护令牌非对称加密使用者,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.consume.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 bob
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息使用的样本配置(称为 symmetric-encryptionInfoRequest)包含以下配置:
    • 引用 dec_sctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 dec_sctkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_scttoken 保护令牌使用者,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.consume.sct JAAS 登录。
      • WS-SecureConversation 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息生成的样本配置(称为 asymmetric-signingInfoResponse)包含以下配置:
    • 引用 gen_signkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 gen_signkeyinfo),它包含以下配置:
      • 安全性令牌引用。
      • gen_signx509token 保护令牌非对称签名生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录。
      • X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JKS
        • 密钥库密码为 server
        • 个人证书的别名为 soapprovider
        • 密钥密码为 server
    • 签名方法 http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=rsa-sha256
  • 用于签署信息生成的样本配置(称为 symmetric-signingInfoResponse)包含以下配置:
    • 引用 gen_signsctkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 gen_signsctkeyinfo),它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
    • com.ibm.ws.wssecurity.dsig.SignatureAlgorithm=hmac-sha256
  • 用于加密信息生成的样本配置(称为 asymmetric-encryptionInfoResponse)包含以下配置:
    • 引用 gen_enckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_enckeyinfo)包含以下配置:
      • 密钥标识。
      • gen_encx509token 保护令牌非对称加密生成器,如下:
        • 包含 X.509 V3 令牌 V1.0 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 值类型。
        • 包含 wss.generate.x509 JAAS 登录。
      • 使用 X.509 回调处理程序。 该回调处理程序会调用 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 中具有下列特征的定制密钥库:
        • 密钥库类型为 JCEKS
        • 密钥库密码为 storepass
        • 个人证书的别名为 alice
        • 密钥密码为 keypass
    • 密钥加密方法 http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • 用于加密信息生成的样本配置(称为 symmetric-encryptionInfoResponse)包含以下配置:
    • 引用 gen_encsctkeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_encsctkeyinfo)包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_scttoken 保护令牌生成器,如下:
        • 包含安全对话令牌 V1.3 令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct 值类型。
        • 包含 wss.generate.sct JAAS 登录。
      • WS-Trust 回调处理程序。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌使用的样本配置(称为 con_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.consume.KRB5BST JAAS 登录。
    • 定制 Kerberos 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_ltpaproptoken)包含以下配置:
    • 令牌类型 LTPA propagation token
    • wss.consume.ltpaProp JAAS 登录。
    • LTPA 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_ltpatoken)包含以下配置:
    • 令牌类型 LTPA Token v2.0,具有以下特征:
      • 包含用于局部部件值的 LTPAv2
      • 包含用于名称空间 URI 值的 http://www.ibm.com/websphere/appserver/tokentype
    • wss.consume.ltpa JAAS 登录
    • LTPA 令牌回调处理程序。
  • 用于认证令牌使用的样本配置(称为 con_unametoken)包含以下配置:
    • 令牌类型 Username Token v1.0,将 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken 用于本地部件值。
    • wss.consume.unt JAAS 登录。
    • 用户名令牌回调处理程序,具有下列定制属性:
      • com.ibm.wsspi.wssecurity.token.username.verifyNonce,用于验证现时标志值。
      • com.ibm.wsspi.wssecurity.token.username.verifyTimestamp,用于验证时间戳记值。
  • 用于认证令牌生成的样本配置(称为 gen_saml11token)包含以下配置:
    • SAML 的令牌类型为 1.1 ,如下所示: Contains http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 用于本地部分值。
    • system.wss.consume.saml JAAS 登录。
    • SAML 消费者回调处理器,具有以下自定义属性:
      表 3. SAML 消费者回调处理程序的自定义属性
      定制属性
      confirmationMethod 持有者
      keyType http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      trustStoreType JCEKS
      trustStorePath ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig_issuer.jceks
      trustStorePassword 存储护照
  • 用于认证令牌生成的样本配置(称为 gen_saml20token)包含以下配置:
    • SAML 的令牌类型为 2.0 ,如下所示: Contains http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 用于本地部分值。
    • system.wss.consumer.saml JAAS 登录。
    • SAML 消费者回调处理器,具有以下自定义属性:
      表 4. SAML 消费者回调处理程序的自定义属性
      定制属性
      confirmationMethod 持有者
      keyType http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      trustStoreType JCEKS
      trustStorePath ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig_issuer.jceks
      trustStorePassword 存储护照

提供程序样本绑定 V2

已将两个新的常规样本绑定(客户机样本绑定 V2 和提供程序样本绑定 V2)添加至该产品。 虽然其中大量配置与先前版本的客户机样本绑定和提供程序样本绑定的配置相同,但是还有若干新的样本配置。 要使用这些新绑定,请在安装产品之后创建新的概要文件。 有关更多信息,请参阅主题“配置 Kerberos 策略集和 V2 常规样本绑定”。

  • 用于签署信息生成的样本配置(称为 symmetric-KrbsignInfoRequest)包含以下配置:
    • 引用 con_respKRBsignkeyinfo 签署密钥信息。
    • 部件引用配置,其中包含使用 http://www.w3.org/2001/10/xml-exc-c14n# algorithm的变换配置。
    • 签署密钥信息 con_respKRBsignkeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_krb5token 保护令牌使用者,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含作为局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.consume.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息生成的样本配置(称为 symmetric-KrbEncInfoRequest)包含以下配置:
    • 引用 con_reqKRBenckeyinfo 加密密钥信息。
    • 加密密钥信息 con_reqKRBenckeyinfo,它包含以下配置:
      • 安全性令牌引用。
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • con_krb5token 保护令牌使用者,它包含以下配置:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.consume.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler。
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于签署信息使用的样本配置(称为 symmetric-KrbsignInfoResponse)包含以下配置:
    • 引用 gen_respKRBsignkeyinfo 签署密钥信息。
    • 部件引用配置,它使用变换配置 http://www.w3.org/2001/10/xml-exc-c14n# 算法。
    • 签署密钥信息(名为 gen_respKRBsignkeyinfo),它包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_krb5token 保护令牌生成器,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.generate.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler。
    • 签名方法 http://www.w3.org/2000/09/xmldsig#hmac-sha1
    • 规范方法 http://www.w3.org/2001/10/xml-exc-c14n#
  • 用于加密信息使用的样本配置(称为 symmetric-KrbEncInfoResponse)包含以下配置:
    • 引用 gen_respKRBenckeyinfo 加密密钥信息。
    • 加密密钥信息(名为 gen_respKRBenckeyinfo)包含以下配置:
      • 派生密钥,如下:
        • 需要显式的派生密钥令牌。
        • WS-SecureConversation 作为客户机标签。
        • WS-SecureConversation 作为服务标签。
        • 密钥长度为 16 字节。
        • 现时标志长度为 16 字节。
      • gen_krb5token 保护令牌生成器,如下:
        • 包含 Kerberos V5 GSS AP_REQ 二进制安全性令牌类型。
        • 包含用于局部部件值的 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 值类型。
        • 包含 wss.generate.KRB5BST JAAS 登录。
      • com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler
    • 数据加密方法 http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • 用于认证令牌生成的样本配置(称为 gen_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.generate.KRB5BST JAAS 登录。
    • 定制 Kerberos 令牌回调处理程序。
  • 用于认证令牌生成的样本配置(称为 con_krb5token)包含以下配置:
    • 定制令牌类型 Kerberos V5 令牌,它将 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ 用于局部部件值。
    • wss.consume.KRB5BST JAAS 登录。
    • 定制 Kerberos 令牌回调处理程序。