WebSphere 和 WS-Security - 不确定策略集设置是否正确
WebSphere and WS-Security - Not Sure Policy Sets Are Set Correctly
我一直在努力学习 WS-Security -- 特别是如何使用 WebSphere 8.5(完整配置文件)配置和测试它。 (我使用 Rational Software Architect 9.5 作为 IDE。)
我已经 运行 学习了几个 IBM 教程,但我不满意我创建并附加到 SOAP Web 服务提供商和客户端的策略集在我测试它们时甚至被强制执行。
示例:我在 IBM 网站上使用了本教程:
入门:使用策略集和默认绑定来签名和加密消息 (http://www14.software.ibm.com/webapp/wsbroker/redirect?version=matt&product=was-nd-dist&topic=twbs_getstart_policyset)
我按照教程中的描述创建了策略集——一个看似具有以下特征的简单策略集:
- 出站消息中发送的时间戳
- 入站消息中需要时间戳
- 签署请求和响应(Body、WS-Addressing header 和时间戳)
- 加密请求和响应(Body 和 SOAP 安全中的签名元素 header)
我将此政策集附加到:
- 在一个本地 WebSphere Application Server 实例("Provider WAS Instance")上设置的 Web 服务提供者
- 在另一个本地 WebSphere Application Server 实例("Client WAS Instance")上设置的 Web 服务客户端。
Web 服务客户端还有一个 JSP-based 测试工具,我使用 RSA 的 Java 框架 class 创建向导设置了该工具。我设置了 JSP-based 工具来调用 Provider WAS 实例上的服务。
我根本没有设置任何证书或密钥,因为这样做不是本教程的一部分。
当我导航到 Web 服务客户端的 JSP-based 测试工具并调用该 Web 服务时,我得到了一个成功的回复,没有关于签名请求消息身份验证失败的消息,并且没有关于客户端解密失败的消息。
我不应该得到这些类型的错误,因为我没有配置任何密钥或证书或将它们与客户端或提供商相关联吗?如果不是,那么提供者 WAS 实例和客户端 WAS 实例使用什么来完成所有这些工作?
我知道这些是 "n00b" 个问题,但是这个 material 是一个挑战。如果有任何建议可以帮助我快速了解该主题,我将不胜感激。提前致谢。
我最终创建了 IBM 的支持票。 IBM 通知我,我的 WebSphere Application Server 实例应该启用了应用程序安全性。
如 IBM 网站上所述,应用程序安全启用并未具体说明影响 WebSphere 是否执行 Web 服务安全策略的设置:
我从未验证 IBM 的建议是否适用于我们的案例,因为在此期间,我们选择集成 WebSphere 和 Apache CXF。无论如何,我希望其他人发现此信息有用。
我一直在努力学习 WS-Security -- 特别是如何使用 WebSphere 8.5(完整配置文件)配置和测试它。 (我使用 Rational Software Architect 9.5 作为 IDE。)
我已经 运行 学习了几个 IBM 教程,但我不满意我创建并附加到 SOAP Web 服务提供商和客户端的策略集在我测试它们时甚至被强制执行。
示例:我在 IBM 网站上使用了本教程:
入门:使用策略集和默认绑定来签名和加密消息 (http://www14.software.ibm.com/webapp/wsbroker/redirect?version=matt&product=was-nd-dist&topic=twbs_getstart_policyset)
我按照教程中的描述创建了策略集——一个看似具有以下特征的简单策略集:
- 出站消息中发送的时间戳
- 入站消息中需要时间戳
- 签署请求和响应(Body、WS-Addressing header 和时间戳)
- 加密请求和响应(Body 和 SOAP 安全中的签名元素 header)
我将此政策集附加到:
- 在一个本地 WebSphere Application Server 实例("Provider WAS Instance")上设置的 Web 服务提供者
- 在另一个本地 WebSphere Application Server 实例("Client WAS Instance")上设置的 Web 服务客户端。
Web 服务客户端还有一个 JSP-based 测试工具,我使用 RSA 的 Java 框架 class 创建向导设置了该工具。我设置了 JSP-based 工具来调用 Provider WAS 实例上的服务。
我根本没有设置任何证书或密钥,因为这样做不是本教程的一部分。
当我导航到 Web 服务客户端的 JSP-based 测试工具并调用该 Web 服务时,我得到了一个成功的回复,没有关于签名请求消息身份验证失败的消息,并且没有关于客户端解密失败的消息。
我不应该得到这些类型的错误,因为我没有配置任何密钥或证书或将它们与客户端或提供商相关联吗?如果不是,那么提供者 WAS 实例和客户端 WAS 实例使用什么来完成所有这些工作?
我知道这些是 "n00b" 个问题,但是这个 material 是一个挑战。如果有任何建议可以帮助我快速了解该主题,我将不胜感激。提前致谢。
我最终创建了 IBM 的支持票。 IBM 通知我,我的 WebSphere Application Server 实例应该启用了应用程序安全性。
如 IBM 网站上所述,应用程序安全启用并未具体说明影响 WebSphere 是否执行 Web 服务安全策略的设置:
我从未验证 IBM 的建议是否适用于我们的案例,因为在此期间,我们选择集成 WebSphere 和 Apache CXF。无论如何,我希望其他人发现此信息有用。