Sun Java System Application Server Enterprise Edition 8.2 管理指南

消息安全性设置

为使用消息安全性而对 Application Server 进行设置的大部分步骤都可以通过使用管理控制台、asadmin 命令行工具或通过手动编辑系统文件来完成。通常，建议不要通过编辑系统文件来完成，因为它可能会导致出现无意的更改而使 Application Server 不能正常运行，所以，如有可能，建议优先使用管理控制台来配置 Application Server，其次选用 asadmin 工具命令。仅在无管理控制台或等效的 asadmin 时，才通过手动编辑系统文件来完成。

对消息层安全性的支持以（可插入）验证模块的形式集成到 Application Server 及其客户机容器中。默认情况下，Application Server 中的消息层安全性处于禁用状态。以下各节提供了启用、创建、编辑和删除消息安全性配置和提供者的详细信息。

大多数情况下，在执行以上列出的管理操作后应重新启动 Application Server。它尤其适用于当执行完操作时，您要将管理更改的效果应用到 Application Server 上已部署的应用程序中的情况。

启用消息安全性提供者

要为在 Application Server 中部署的 Web 服务端点启用消息安全性，必须指定要在服务器端默认使用的提供者。如果为消息安全性启用了默认提供者，您还需要启用要由 Application Server 中部署的 Web 服务客户机所使用的提供者。启用应用程序客户机端的消息安全性中介绍了有关启用客户机使用的提供者的信息。

要为源于已部署的端点的 Web 服务调用启用消息安全性，您必须指定默认客户机提供者。如果已为 Application Server 启用了默认客户机提供者，则必须确保从 Application Server 中部署的端点中调用的所有服务均已配置为与消息层安全性兼容。

使用命令行实用程序：

要指定默认的服务器提供者，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
default_provider=ServerProvider

要指定默认的客户机提供者，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
default_client_provider=ClientProvider

配置消息安全性提供者

通常，应重新配置提供者以修改其消息保护策略，当然提供者类型、实现类和特定于提供者的配置属性可能也需要修改。

可以使用命令行实用程序设置响应策略，将以下命令中的文字 request 替换为 response。

要将请求策略添加到客户机并设置验证源，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
provider-config.ClientProvider.request-policy.auth_source=
sender | content

要将请求策略添加到服务器并设置验证源，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
provider-config.ServerProvider.request-policy.auth_source=
sender | content

要将请求策略添加到客户机并设置验证收件人，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
provider-config.ClientProvider.request-policy.auth_recipient=
before-content | after-content

要将请求策略添加到服务器并设置验证收件人，请使用：

asadmin  set --user  admin-user --port admin-port 
server-config.security-service.message-security-config.SOAP.
provider-config.ServerProvider.request-policy.auth_recipient=
before-content | after-content

创建消息安全性提供者

要使用管理控制台配置现有提供者，请选择“配置”节点>要配置的实例>“安全性”节点>“消息安全性”节点> "SOAP" 节点>“提供者”选项卡。

有关创建消息安全性提供者的更多详细说明，请参见管理控制台联机帮助。

启用应用程序客户机端的消息安全性

必须配置客户机提供者的消息保护策略，以使其等效于将与其进行交互的服务器端提供者的消息保护策略。在安装 Application Server 时已配置（但未启用）的提供者已符合此情况。

要启用客户机应用程序的消息安全性，请修改应用程序客户机端容器特定于 Application Server 的配置。

设置应用程序客户机端配置的请求策略和响应策略

请求策略和响应策略定义与验证提供者执行的请求处理和响应处理关联的验证策略要求。按照消息发件人的顺序表达这些策略，从而使内容之后出现的加密请求表示消息收件人将在验证签名之前先要对消息进行解密。

要获得消息安全性，必须既在服务器中也在客户机中启用请求策略和响应策略。在客户机和服务器中配置策略时，请确保请求/响应应用程序级别消息绑定的保护的客户机策略与服务器策略匹配。

要设置应用程序客户机端配置的请求策略，请按启用应用程序客户机端的消息安全性中所述，修改应用程序客户机端容器特定于 Application Server 的配置。在应用程序客户机端配置文件中，按所示添加 request-policy 和 response-policy 元素设置请求策略。

提供的其他代码可用作参考。您的安装中的其他代码可能会稍有不同。请勿对其进行更改。

<client-container>
  <target-server name="your-host" address="your-host"
      port="your-port"/>
  <log-service file="" level="WARNING"/>
  <message-security-config auth-layer="SOAP"
      default-client-provider="ClientProvider">
    <provider-config
        class-name="com.sun.enterprise.security.jauth.ClientAuthModule"
        provider-id="ClientProvider" provider-type="client">
      <request-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
      <response-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
       <property name="security.config"
           value="install-dir/lib/appclient/wss-client-config.xml"/>
    </provider-config>
  </message-security-config>
</client-container>

auth-source 的有效值包括 sender 和 content。auth-recipient 的有效值包括 before-content 和 after-content。请求策略配置和响应策略配置的操作中包含一个表，用于说明这些值的各种组合的结果。

如果不想指定请求策略或响应策略，请将该元素保留为空，例如：

<response-policy/>