ws-security.html

Sun Java System Application Server Enterprise Edition 8.1 管理指南

要为 Application Server 启用默认提供者，请执行以下步骤。 
</p>
<div class="pSmartList1"><ol type="1" class="pSmartList1">
<a name="wp929973"> </a><div class="pSmartList1"><li>在管理控制台的树组件中，展开“配置”节点。</li></div>
<a name="wp929975"> </a><div class="pSmartList1"><li>选择要配置的实例：</li></div>
<div class="pSmartList2"><ol type="a" class="pSmartList2">
<a name="wp929977"> </a><div class="pSmartList2"><li>要配置特定的实例，请选择该实例的配置节点。例如，对于默认实例 <code class="cCode">server</code>，请选择 <code class="cCode">server-config</code> 节点。</li></div>
<a name="wp929979"> </a><div class="pSmartList2"><li>要配置所有实例的默认设置，请选择 <code class="cCode">default-config</code> 节点。</li></div>
</ol></div>
<a name="wp929981"> </a><div class="pSmartList1"><li>展开“安全性”节点。</li></div>
<a name="wp929983"> </a><div class="pSmartList1"><li>展开“消息安全性”节点。</li></div>
<a name="wp929985"> </a><div class="pSmartList1"><li>选择“SOAP”节点。</li></div>
<a name="wp929987"> </a><div class="pSmartList1"><li>选择“消息安全性”选项卡。</li></div>
<a name="wp929989"> </a><div class="pSmartList1"><li>在“编辑消息安全性配置”页面中，指定一个要用于服务器端的提供者和一个要用于客户端的提供者，以用于尚未绑定特定提供者的所有应用程序。通过修改以下可选属性来完成此操作：</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp929991"> </a><div class="pSmartList2"><li><b class="cStrong">默认提供者</b>——要为尚未绑定特定服务器提供者的任何应用程序调用的服务器提供者的标识。 </li></div>
</ul></div>
<div class="pParaIndent2"><ul class="pParaIndent2">
<a name="wp929993"> </a><p class="pParaIndent2">
默认情况下，没有为 Application Server 选择任何提供者配置。要标识服务器端提供者，请选择 <code class="cCode">ServerProvider</code>。选择空选项意味着不会在服务器端（默认情况下）调用消息安全性提供者。
</p>
<a name="wp929995"> </a><p class="pParaIndent2">
通常应在该字段中选择 <code class="cCode">ServerProvider</code>。
</p>
</ul></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp929997"> </a><div class="pSmartList2"><li><b class="cStrong">默认客户机提供者</b>——要为尚未绑定特定客户机提供者的任何应用程序调用的客户机提供者的标识。 </li></div>
<a name="wp929999"> </a><p class="pStepParaI2">
默认情况下，没有为 Application Server 选择任何提供者配置。要标识客户端提供者，请选择 <code class="cCode">ClientProvider</code>。选择空选项意味着不会在客户端（默认情况下）调用消息安全性提供者。
</p>
<a name="wp930001"> </a><p class="pStepParaI2">
通常应在该字段中选择空。如果您要启用默认提供者和消息保护策略以应用到源于 Application Server 上所部署的 Web 服务端点的 Web 服务调用，则应选择 ClientProvider。
</p>
</ul></div>
<a name="wp930003"> </a><div class="pSmartList1"><li>单击“保存”。</li></div>
<a name="wp930009"> </a><div class="pSmartList1"><li>如果您已启用客户机或服务器提供者并且要修改已启用的提供者的消息保护策略，请参阅“<a  href="ws-security.html#wp930051" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930051">配置消息安全性提供者</a>”以获得有关修改在此步骤中所启用的消息安全性提供者的配置的信息。</li></div>
</ol></div>
<a name="wp930011"> </a><p class="pParagraph">
等效的 asadmin 命令为： 
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp930013"> </a><div class="pSmartList1"><li>要指定默认的服务器提供者，请使用：</li></div>
<a name="wp930015"> </a><code class="pCodelineIndent">
asadmin set --user &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />default_provider=ServerProvider
</code>
<a name="wp930017"> </a><div class="pSmartList1"><li>要指定默认的客户机提供者，请使用：</li></div>
<a name="wp930019"> </a><code class="pCodelineIndent">
asadmin  set --user  &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />default_client_provider=ClientProvider
</code>
</ul></div>
<a name="wp930051"> </a><h3 class="pHeading2">
配置消息安全性提供者
</h3>
<a name="wp930053"> </a><p class="pParagraph">
通常，应重新配置提供者以修改其消息保护策略，当然提供者类型、实现类和特定于提供者的配置属性可能也需要修改。请按以下所列步骤重新配置消息安全性提供者。
</p>
<div class="pSmartList1"><ol type="1" class="pSmartList1">
<a name="wp930055"> </a><div class="pSmartList1"><li>在管理控制台的树组件中，展开“配置”节点。</li></div>
<a name="wp930057"> </a><div class="pSmartList1"><li>选择要配置的实例：</li></div>
<div class="pSmartList2"><ol type="a" class="pSmartList2">
<a name="wp930059"> </a><div class="pSmartList2"><li>要配置特定的实例，请选择该实例的配置节点。例如，对于默认实例 <code class="cCode">server</code>，请选择 <code class="cCode">server-config</code> 节点。</li></div>
<a name="wp930061"> </a><div class="pSmartList2"><li>要配置所有实例的默认设置，请选择 <code class="cCode">default-config</code> 节点。</li></div>
</ol></div>
<a name="wp930063"> </a><div class="pSmartList1"><li>展开“安全性”节点。</li></div>
<a name="wp930065"> </a><div class="pSmartList1"><li>展开“消息安全性”节点。</li></div>
<a name="wp930067"> </a><div class="pSmartList1"><li>选择“SOAP”节点。</li></div>
<a name="wp930069"> </a><div class="pSmartList1"><li>选择“提供者”选项卡。</li></div>
<a name="wp930071"> </a><div class="pSmartList1"><li>选择要编辑的消息安全性提供者。Application Server 附带了 <code class="cCode">ClientProvider</code> 和 <code class="cCode">ServerProvider</code>。</li></div>
<a name="wp930073"> </a><div class="pSmartList1"><li>在“编辑提供者配置”页面的“提供者配置”部分，可以修改以下属性：</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930075"> </a><div class="pSmartList2"><li><b class="cStrong">提供者类型</b>——选择 <code class="cCode">client</code>、<code class="cCode">server</code> 或 <code class="cCode">client-server</code> 以确定是将提供者用作客户机验证提供者、服务器验证提供者还是兼用作两者（客户机-服务器提供者）。 </li></div>
<a name="wp930077"> </a><div class="pSmartList2"><li><b class="cStrong">类名</b>——输入提供者的 Java 实现类。客户机验证提供者必须实现 <code class="cCode">com.sun.xml.wss.provider.ClientSecurityAuthModule</code> 接口。服务器端提供者必须实现 <code class="cCode">com.sun.xml.wss.provider.ServerSecurityAuthModule</code> 接口。一个提供者可以实现这两种接口，但该提供者必须实现对应于其提供者类型的接口。</li></div>
</ul></div>
<a name="wp930079"> </a><div class="pSmartList1"><li>在“创建提供者配置”页面的“请求策略”部分，根据需要输入以下<span style="font-weight: bold">可选</span>值。这些属性是可选的，但如果不指定这些属性，将不会对请求消息执行任何验证。 </li></div>
</ol></div>
<div class="pParaIndent1"><ul class="pParaIndent1">
<a name="wp930081"> </a><p class="pParaIndent1">
<em class="cEmphasis">请求策略</em>定义与验证提供者执行的请求处理关联的验证策略要求。按照消息发件人的顺序表达这些策略，从而使内容之后出现的加密请求表示消息收件人将在验证签名之前先要对消息进行解密。
</p>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930083"> </a><div class="pSmartList2"><li><b class="cStrong">验证源</b>——选择 <code class="cCode">sender</code>、<code class="cCode">content</code> 或空（空白选项）来定义对消息层发件人验证的要求（例如用户名密码）、内容验证（例如数字签名）或不对请求消息执行任何验证。如果指定为空，则不需要进行请求的源验证。</li></div>
<a name="wp930085"> </a><div class="pSmartList2"><li><b class="cStrong">验证收件人</b>——选择 <code class="cCode">beforeContent</code> 或 <code class="cCode">afterContent</code> 来定义向发件人响应消息的收件人的消息层验证的请求（例如，通过 XML 加密）。如果不指定该值，则其为默认值 <code class="cCode">afterContent</code>。</li></div>
<a name="wp930091"> </a><p class="pStepParaI1">
有关为产生以下消息保护策略而由 SOAP 消息安全性提供者执行的操作的说明，请参见“<a  href="ws-security.html#wp930289" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930289">请求策略配置和响应策略配置的操作</a>”。
</p>
</ul></div>
</ul></div>
<div class="pSmartList1"><ol start="10" type="1" class="pSmartList1">
<a name="wp930093"> </a><div class="pSmartList1"><li>在“创建提供者配置”页面的“响应策略”部分，根据需要输入以下<span style="font-weight: bold">可选</span>属性。这些属性是可选的，但如果不指定这些属性，将不会对响应消息执行任何验证。</li></div>
</ol></div>
<div class="pParaIndent1"><ul class="pParaIndent1">
<a name="wp930095"> </a><p class="pParaIndent1">
<em class="cEmphasis">响应策略</em>定义与验证提供者执行的响应处理关联的验证策略要求。按照消息发件人的顺序表达这些策略，从而使内容之后出现的加密请求表示消息收件人将在验证签名之前先要对消息进行解密。
</p>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930097"> </a><div class="pSmartList2"><li><b class="cStrong">验证源</b>——选择 <code class="cCode">sender</code>、<code class="cCode">content</code> 或空（空白选项）来定义要应用到响应消息的消息层发件人验证的请求（例如用户名口令）或内容验证（例如数字签名）。如果指定为空，则不需要进行响应的源验证。</li></div>
<a name="wp930099"> </a><div class="pSmartList2"><li><b class="cStrong">验证收件人</b>——选择 <code class="cCode">beforeContent</code> 或 <code class="cCode">afterContent</code> 来定义向发件人响应消息的收件人的消息层验证的请求（例如，通过 XML 加密）。如果不指定该值，则其为默认值 <code class="cCode">afterContent</code>。</li></div>
<a name="wp930105"> </a><p class="pStepParaI1">
有关为产生以下消息保护策略而由 SOAP 消息安全性提供者执行的操作的说明，请参见“<a  href="ws-security.html#wp930289" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930289">请求策略配置和响应策略配置的操作</a>”。
</p>
</ul></div>
</ul></div>
<div class="pSmartList1"><ol start="11" type="1" class="pSmartList1">
<a name="wp930107"> </a><div class="pSmartList1"><li>通过单击“添加属性”按钮添加其他属性。Application Server 附带的提供者支持下面列出的属性。如果使用了其他提供者，则有关属性和有效值的更多信息，请参阅其他提供者的文档。</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930109"> </a><div class="pSmartList2"><li><code class="cCode">server.config</code>——包含服务器配置信息的 XML 文件的目录和文件名。例如，该值为 <em class="cEmphasis">install_dir</em><code class="cCode">/domains/</code><em class="cEmphasis">domain_dir</em><code class="cCode">/config/wss-server-config.xml</code>。</li></div>
</ul></div>
<a name="wp930111"> </a><div class="pSmartList1"><li>单击“保存”。</li></div>
</ol></div>
<a name="wp930113"> </a><p class="pParagraph">
下面列出了等效的 <code class="cCode">asadmin</code> 命令。要设置响应策略，请用 <code class="cCode">response</code> 一词替换以下命令中的 <code class="cCode">request</code> 一词。
</p>
<div class="pSmartList1"><ul class="pSmartList1">
<a name="wp930115"> </a><div class="pSmartList1"><li>要将请求策略添加到客户机并设置验证源，请使用：</li></div>
<a name="wp930117"> </a><code class="pCodelineIndent">
asadmin  set --user  &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />provider-config.ClientProvider.request-policy.auth_source=<br /><em class="cEmphasis">&lt;sender | content&gt;</em>
</code>
<a name="wp930119"> </a><div class="pSmartList1"><li>要将请求策略添加到服务器并设置验证源，请使用：</li></div>
<a name="wp930121"> </a><code class="pCodelineIndent">
asadmin  set --user  &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />provider-config.ServerProvider.request-policy.auth_source=<br /><em class="cEmphasis">&lt;sender | content&gt;</em>
</code>
<a name="wp930123"> </a><div class="pSmartList1"><li>要将请求策略添加到客户机并设置验证收件人，请使用：</li></div>
<a name="wp930125"> </a><code class="pCodelineIndent">
asadmin  set --user  &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />provider-config.ClientProvider.request-policy.auth_recipient=<br /><em class="cEmphasis">&lt;before-content | after-content&gt;</em>
</code>
<a name="wp930127"> </a><div class="pSmartList1"><li>要将请求策略添加到服务器并设置验证收件人，请使用：</li></div>
<a name="wp930129"> </a><code class="pCodelineIndent">
asadmin  set --user  &lt;<em class="cEmphasis">admin-user</em>&gt; --port &lt;<em class="cEmphasis">admin-port</em>&gt; server-config.security-service.message-security-config.SOAP.<br />provider-config.ServerProvider.request-policy.auth_recipient=<br /><em class="cEmphasis">&lt;before-content | after-content&gt;</em>
</code>
</ul></div>
<a name="wp930175"> </a><h3 class="pHeading2">
创建消息安全性提供者
</h3>
<a name="wp930181"> </a><p class="pParagraph">
要创建新的消息安全性提供者，请执行以下步骤。要配置现有提供者，请执行<a  href="ws-security.html#wp930051" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930051">配置消息安全性提供者</a>中的步骤。
</p>
<div class="pSmartList1"><ol type="1" class="pSmartList1">
<a name="wp930183"> </a><div class="pSmartList1"><li>在管理控制台的树组件中，展开“配置”节点。</li></div>