ws-security.html

Sun Java System Application Server Enterprise Edition 8.1 管理指南

<?xml version="1.0" encoding="GB2312"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
          "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="zh-CN" lang="zh-CN">
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=GB2312" />
  <meta name="keywords"           content="electronic commerce, ecommerce, ebusiness, e-business, e-commerce, enterprise software, net economy, Sun Microsystems, Sun Open Net Environment, Sun ONE, internet software" />
  <meta name="Description"        content="Sun Microsystems, Inc. is delivering Sun ONE e-commerce software and enterprise solutions that enable companies to compete successfully in the Net Economy." />
  <meta name="TemplateVersion"    content="Sun ONE WDT 2.3.1" />
  <meta name="LASTUPDATED"        content="10/03/03 09:48:21" />
  <meta name="BookTitle"          content="Sun Java System Application Server Enterprise Edition 8.1 Administration Guide 2005Q1" />

  <title>第 15 章  配置消息安全性</title>

  <link href="catalog.css" tppabs="http://docs.sun.com/source/819-1553/catalog.css" rel="stylesheet" type="text/css" />

  <!-- on load bring this window to front -->
  <script laguage="javascript">
  top.window.focus();
  </script>
</head>
<body text="#000000" link="#594FBF" vlink="#9966cc" alink="#333366" bgcolor="#FFFFFF">
<a name="top"> </a>

<!-- navigation -->
  <table width="100%" border="0" cellspacing="4" summary="Header navigation table">
    <tr><td>
    <p  class="pNavigation">
    <a HREF="javascript:if(confirm('http://www.sun.com/software/  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://www.sun.com/software/'" tppabs="http://www.sun.com/software/">
    <img SRC="Logo.jpg" tppabs="http://docs.sun.com/source/819-1553/Logo.jpg" alt="Sun logo" valign="bottom" border="0" /></a>
    &#160;&#160;&#160;&#160;

    <a href="security.html" tppabs="http://docs.sun.com/source/819-1553/security.html">上一页</a>
    &#160;&#160;&#160;&#160;
 
    <a href="index.html" tppabs="http://docs.sun.com/source/819-1553/index.html">目录</a>
    &#160;&#160;&#160;&#160;

    <a href="transactions.html" tppabs="http://docs.sun.com/source/819-1553/transactions.html">下一页</a>
    &#160;&#160;&#160;&#160;
    </p>
    </td></tr>
    
    <tr><td valign="top" align="right" bgcolor="#594FBF">
    <span class="cBookTitle">Sun Java System Application Server Enterprise Edition 8.1 管理指南 2005Q1</span>
    </td></tr>
  </table>
<!-- end navigation -->

<blockquote>



<!-- chapter content -->

<a name="wp929397"> </a><h2 class="pChapNumber">
<span class="cGray">
第 15 章
</span>
<br />
<a name="wp929401"> </a>
配置消息安全性
</h2>
<a name="wp929403"> </a><p class="pParagraph">
本章介绍如何在 Sun Java System Application Server 8.1 2005Q1 中为 Web 服务配置消息层的安全性。本章包含以下主题：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp929409"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929425" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929425">关于消息安全性</a></li></div>
<a name="wp929415"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929913" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929913">有关消息安全性的管理控制台任务</a></li></div>
</ul></div>
<a name="wp929421"> </a><p class="pParagraph">
本章中的某些内容假定您已对安全性和 Web 服务概念有了基本的了解。要详细了解这些概念，请在开始阅读本章之前先仔细阅读“<a  href="ws-security.html#wp930504" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930504">详细信息</a>”中列出的内容。
</p>
<a name="wp929425"> </a><h2 class="pHeading1">
<hr />
关于消息安全性
</h2>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp929431"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929463" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929463">消息安全性概述</a></li></div>
<a name="wp929437"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929505" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929505">了解 Application Server 中的消息安全性</a></li></div>
<a name="wp929443"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929701" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929701">确保 Web 服务的安全</a></li></div>
<a name="wp929449"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929769" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929769">确保样例应用程序的安全</a></li></div>
<a name="wp929455"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929791" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929791">配置 Application Server 以实现消息安全性</a></li></div>
</ul></div>
<a name="wp929463"> </a><h3 class="pHeading2">
消息安全性概述
</h3>
<a name="wp929465"> </a><p class="pParagraph">
在<em class="cEmphasis">消息安全性</em>中，安全性信息插入到消息中以使其通过网络层传输，并和消息一起到达消息目标。消息安全性与传输层安全性不同（在《The J2EE 1.4 Tutorial》的 "<em class="cEmphasis">Security</em>" 一章中有说明），这是因为消息安全性可用于将消息保护从消息传输中分离开，从而使消息在传输后仍保持被保护状态。
</p>
<a name="wp929467"> </a><p class="pParagraph">
<span style="font-style: oblique">Web 服务安全性：SOAP 消息安全性 (WS-Security</span>) 是可交互使用的 Web 服务安全性的国际标准，是在 OASIS 中由所有 Web 服务技术的主要提供商（包括 Sun Microsystems）协作开发的。WS-Security 是一种消息安全性机制，它使用 XML 加密和 XML 数字签名来确保 SOAP 上发送的 Web 服务消息的安全。WS-Security 规范定义了多种安全令牌（包括 X.509 证书、SAML 断言和用户名/密码令牌）的用途，以验证和加密 SOAP Web 服务消息。 
</p>
<a name="wp929469"> </a><p class="pParagraph">
可以访问以下 URL 来查看 WS-Security 规范：
</p>
<a name="wp929473"> </a><code class="pCodeline">
<a  href="javascript:if(confirm('http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf  \n\n该文件无法用 Teleport Ultra 下载, 因为 它是一个域或路径外部被设置为它的启始地址的地址。  \n\n你想在服务器上打开它?'))window.location='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf'" tppabs="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf">http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf</a>
</code>
<a name="wp929505"> </a><h3 class="pHeading2">
了解 Application Server 中的消息安全性
</h3>
<a name="wp929507"> </a><p class="pParagraph">
Sun Java System Application Server 8.1 2005Q1 将对 WS-Security 标准的支持集成至其 Web 服务客户机和服务器端容器。集成此功能，可以使 Web 服务安全性由代表应用程序的 Application Server 的容器强制执行，并且可以使此功能应用于保护任何 Web 服务应用程序而无需对应用程序的实现进行更改。Application Server 通过提供工具将 SOAP 层消息安全性提供者和消息保护策略绑定到容器和容器中部署的应用程序，来达到此效果。
</p>
<a name="wp929511"> </a><h4 class="pHeading3">
指定消息安全性职责
</h4>
<a name="wp929525"> </a><p class="pParagraph">
在 Sun Java System Application Server 8.1 2005Q1 中，<a  href="ws-security.html#wp929547" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929547">系统管理员</a>和<a  href="ws-security.html#wp929569" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929569">应用程序部署者</a>角色应主要负责配置消息安全性。尽管通常情况下，其他两个任一角色在无需更改应用程序实现的情况下就可以确保现有应用程序的安全而不必涉及开发者，但在某些情况下，<a  href="ws-security.html#wp929585" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929585">应用程序开发者</a>还是会有所作用的。以下小节定义了各种角色的职责：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp929531"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929547" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929547">系统管理员</a></li></div>
<a name="wp929537"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929569" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929569">应用程序部署者</a></li></div>
<a name="wp929543"> </a><div class="pSmartList1"><li><a  href="ws-security.html#wp929585" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929585">应用程序开发者</a></li></div>
</ul></div>
<a name="wp929547"> </a><h5 class="pHeading4">
系统管理员
</h5>
<a name="wp929549"> </a><p class="pParagraph">
系统管理员负责：
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp929551"> </a><div class="pSmartList1"><li>在 Application Server 中配置消息安全性提供者。</li></div>
<a name="wp929553"> </a><div class="pSmartList1"><li>管理用户数据库。</li></div>
<a name="wp929555"> </a><div class="pSmartList1"><li>管理密钥库和信任存储文件。</li></div>
<a name="wp929557"> </a><div class="pSmartList1"><li>在使用加密并且运行 1.5.0 版之前的 Java SDK 时，配置 Java 加密扩展 (JCE) 提供者。</li></div>
<a name="wp929559"> </a><div class="pSmartList1"><li>安装样例服务器。仅在 <code class="cCode">xms</code> 样例应用程序用于演示消息层 Web 服务安全性的用途时，才执行此操作。 </li></div>
</ul></div>
<a name="wp929565"> </a><p class="pParagraph">
系统管理员使用管理控制台来管理服务器安全性设置，并使用命令行工具来管理证书数据库。在 PE 中，证书和专用密钥存储在密钥库中，并由 <code class="cCode">keytool</code> 进行管理。SE 和 EE 将证书和专用密钥存储在 NSS 数据库中，并使用 <code class="cCode">certutil</code> 对其进行管理。本文档主要针对系统管理员。有关消息安全性任务的概述，请参见“<a  href="ws-security.html#wp929791" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929791">配置 Application Server 以实现消息安全性</a>”。
</p>
<a name="wp929569"> </a><h5 class="pHeading4">
应用程序部署者
</h5>
<a name="wp929571"> </a><p class="pParagraph">
应用程序部署者负责：
</p>