訊息安全性設定

為使用訊息安全性而對 Application Server 設定的大多數步驟都可以透過使用 Administration Console、asadmin 指令行工具或透過手動編輯系統檔案來完成。通常，不建議編輯系統檔案，因為它可能會做出無意識的變更而使 Application Server 無法正常工作，因此，如有可能，建議優先選擇使用 Administration Console 來配置 Application Server，然後選擇使用 asadmin 工具指令。僅在無 Administration Console 或等效的 asadmin 時，才手動編輯系統檔案。

訊息層安全性支援以 (可插接式) 認證模組的形式整合在 Application Server 及其用戶端容器中。依預設，Application Server 中的訊息層安全性處於停用狀態。以下小節提供用於啟用、建立、編輯和刪除訊息安全性配置和提供者的詳細資訊。

• 啟用訊息安全性的提供者

• 配置訊息安全性提供者

• 建立訊息安全性提供者

• 啟用應用程式用戶端的訊息安全性

• 設定應用程式用戶端配置的請求策略和回應策略

• 詳細資訊

大多數情況下，在執行以上管理作業後應重新啟動 Application Server。此步驟尤其適用於作業完成後，您要將管理變更的效果套用至 Application Server 上已部署應用程式中的情況。

啟用訊息安全性的提供者

若要為在 Application Server 中部署的 Web 服務端點啟用訊息安全性，則必須指定要在伺服器端依預設使用的提供者。若要啟用訊息安全性的預設提供者，您還需要啟用由 Application Server 中部署的 Web 服務之用戶端所使用的提供者。啟用應用程式用戶端的訊息安全性中論述了有關啟用用戶端使用的提供者之資訊。

若要啟用源自已部署端點的 Web 服務呼叫之訊息安全性，您必須指定預設用戶端提供者。如果已為 Application Server 啟用了預設用戶端提供者，則您必須確保在 Application Server 中部署的端點所呼叫的所有服務均配置為與訊息層安全性相容。

使用指令行公用程式：

• 若要指定預設伺服器提供者，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. default_provider=ServerProvider

• 若要指定預設用戶端提供者，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. default_client_provider=ClientProvider

配置訊息安全性提供者

通常應重新配置提供者以修改其訊息保護策略 (儘管提供者類型、實作類別和提供者特定的配置特性可能也需要修改)。

使用指令行公用程式來設定回應策略，以 response 取代下列指令中的 request。

• 若要將請求策略增加到用戶端並設定認證來源，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ClientProvider.request-policy.auth_source= sender | content

• 若要將請求策略增加到伺服器並設定認證來源，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ServerProvider.request-policy.auth_source= sender | content

• 若要將請求策略增加到用戶端並設定認證收信人，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ClientProvider.request-policy.auth_recipient= before-content | after-content

• 若要將請求策略增加到伺服器並設定認證收信人，請使用：

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ServerProvider.request-policy.auth_recipient= before-content | after-content

建立訊息安全性提供者

若要使用 Admin Console 配置現有的提供者，請選取 [配置] 節點 > 要配置的實例 > [安全性] 節點 > [訊息安全性] 節點 > [SOAP] 節點 > [提供者] 標籤。

如需有關建立訊息安全性提供者的詳細說明，請參閱 Admin Console 線上說明。

啟用應用程式用戶端的訊息安全性

必須配置用戶端提供者的訊息保護策略，以使其等效於將與其進行互動式操作的伺服器端提供者的訊息保護策略。在安裝 Application Server 時已配置 (但未啟用) 的提供者符合此情況。

若要啟用用戶端應用程式的訊息安全性，請修改特定於 Application Server 的應用程式用戶端容器配置。

設定應用程式用戶端配置的請求策略和回應策略

請求策略和回應策略定義與認證提供者執行的請求處理和回應處理相關的認證策略需求。按照訊息寄件者的順序表示這些策略，從而使內容之後出現的加密請求意味著訊息收件者將在驗證簽名之前先要對訊息進行解密。

若要獲得訊息安全性，必須同時在伺服器和用戶端中啟用請求策略和回應策略。在用戶端和伺服器中配置策略時，請確定應用程式層級訊息連結之請求/回應保護的用戶端策略與伺服器策略相符。

若要設定應用程式用戶端配置的請求策略，請依循啟用應用程式用戶端的訊息安全性中的說明，修改特定於 Application Server 的應用程式用戶端容器配置。在應用程式用戶端配置檔案中，增加以下所示的 request-policy 和 response-policy 元素，以設定請求策略。

提供的其他代碼可用做參照。其他代碼在安裝中可能略有不同。請勿變更這些代碼。

<client-container>
  <target-server name="your-host" address="your-host"
      port="your-port"/>
  <log-service file="" level="WARNING"/>
  <message-security-config auth-layer="SOAP"
      default-client-provider="ClientProvider">
    <provider-config
        class-name="com.sun.enterprise.security.jauth.ClientAuthModule"
        provider-id="ClientProvider" provider-type="client">
      <request-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
      <response-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
       <property name="security.config"
           value="install-dir/lib/appclient/wss-client-config.xml"/>
    </provider-config>
  </message-security-config>
</client-container>

auth-source 的有效值包括 sender 和 content。auth-recipient 的有效值包括 before-content 和 after-content。請求策略配置和回應策略配置的動作中提供了用於說明這些值的各種組合結果的表。

如果不想指定請求策略或回應策略，請將該元素保留為空白，例如：

<response-policy/>

詳細資訊

• 您可透過以下 URL 檢視 Java 2 Standard Edition 的安全性論述：http://java.sun.com/j2se/1.4.2/docs/guide/security/index.html。

• 您可透過以下 URL 檢視「J2EE 1.4 Tutorial」中的「Security」一章：http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html。

• 「Administration Guide」中的第 9 章, 配置安全性。

• 「Developer’s Guide」中的「Securing Applications」一章。

• 您可透過以下 URL 檢視「 Oasis Web Services Security: SOAP Message Security (WS-Security)」規格：http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security -1.0.pdf。

• 您可透過以下 URL 檢視 OASIS Web Services Security Username Token Profile 1.0：http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token -profile-1.0.pdf。

• 您可透過以下 URL 檢視 OASIS Web Services Security X.509 Certificate Token Profile 1.0：http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile -1.0.pdf。

• 您可透過以下 URL 檢視「XML-Signature Syntax and Processing」文件：http://www.w3.org/TR/xmldsig-core/。

• 您可透過以下 URL 檢視「XML Encryption Syntax and Processing」文件：http://www.w3.org/TR/xmlenc-core/。