WebSphere и WS-Security - нет уверенности, что наборы политик установлены правильно

Я изо всех сил пытался изучить WS-Security - в частности, как его настроить и протестировать с помощью WebSphere 8.5 (полный профиль). (Я использую Rational Software Architect 9.5 в качестве IDE.)

Я просмотрел несколько руководств IBM, но меня не устраивает, что наборы политик, которые я создаю и прикрепляю к поставщикам и клиентам веб-служб SOAP, даже применяются, когда я их тестирую.

Пример: я использовал это руководство на веб-сайте IBM:

Начало работы: использование набора политик и привязок по умолчанию для подписи и шифрования сообщения (http://www14.software.ibm.com/webapp/wsbroker/redirect?version=matt&product=was-nd-dist&topic=twbs_getstart_policyset)

Я создал набор политик, как описано в руководстве - простой, который, по-видимому, имеет следующие характеристики:

  • Отметка времени, отправленная в исходящих сообщениях
  • Отметка времени требуется во входящих сообщениях
  • Подпишите запрос и ответ (тело, заголовок WS-Addressing и отметка времени)
  • Зашифруйте запрос и ответ (элементы Body и Signature в заголовке безопасности SOAP)

Я прикрепил этот набор правил к:

  • Поставщик веб-службы, настроенный на одном локальном экземпляре WebSphere Application Server («Экземпляр WAS поставщика»)
  • Клиент веб-службы, установленный на другом локальном экземпляре WebSphere Application Server («Клиентский экземпляр WAS»).

Клиент веб-службы также имеет инструмент тестирования на основе JSP, который я настроил с помощью мастера создания скелетных классов Java от RSA. Я установил инструмент на основе JSP для вызова службы в экземпляре Provider WAS.

Я не устанавливал никаких сертификатов или ключей, так как это не входило в учебник.

Когда я перехожу к инструменту тестирования на основе JSP для клиента веб-службы и вызываю веб-службу, я получаю успешный ответ, без сообщений о неудачной аутентификации подписанного сообщения запроса и без сообщений о неудачной расшифровке клиент.

Разве я не должен получать такие ошибки, поскольку я не настроил какие-либо ключи или сертификаты и не связал их с клиентом или поставщиком? Если нет, то что используются экземпляром WAS поставщика и экземпляром клиента WAS, чтобы все это работало?

Я понимаю, что это вопросы типа "n00b", но этот материал был проблемой. Буду признателен за любые предложения, которые помогут мне быстро разобраться в этой теме. Заранее спасибо.


soap web-services ws-security websphere-8
person Dynotherm Connector    schedule 21.11.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я закончил создание заявки в службу поддержки IBM. IBM сообщила мне, что в моем экземпляре WebSphere Application Server должна быть включена защита приложений.

Включение безопасности приложений, описанное на веб-сайте IBM, ничего конкретно не говорит о настройке, влияющей на то, применяет ли WebSphere политики безопасности веб-служб:

http://www.ibm.com/support/knowledgecenter/en/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/csec_appsecurity.html

Я никогда не проверял, сработает ли рекомендация IBM в нашем случае, поскольку тем временем мы решили интегрировать WebSphere и Apache CXF. В любом случае, я надеюсь, что другие сочтут эту информацию полезной.

person Dynotherm Connector    schedule 15.12.2016