第四章 设置和其他常见活动
作为参考,本主题介绍了用于保护 Web 服务的常见活动。
执行设置任务
对于大多数与 SOAP 安全相关的任务,必须首先执行以下任务:
- 提供可信证书供
IRIS使用 - 创建
IRIS凭证集
这些任务也是使用 XML 工具中描述的某些任务的先决条件。
可能还需要创建 SSL/TLS 配置。有关信息,请参阅 TLS 指南。
为 IRIS 提供可信证书
IRIS 使用其自己的可信证书集合来验证入站 SOAP 消息(或 XML 文档)中的用户证书和签名。在加密出站 SOAP 消息中的内容或加密 XML 文档时,它也会使用这些证书和签名。此集合可供此 IRIS 安装的所有命名空间使用。要创建此集合,请创建以下两个文件并将它们放在系统管理器的目录中:
iris.cer— 包含根证书,即PEM编码格式的受信任CA X.509证书。如果想在IRIS中使用任何WS-Policy或WS-Security功能,则需要此文件。iris.crl— 包含PEM编码格式的X.509证书撤销列表。此文件是可选的。
请注意,可以使用特定的 IRIS 凭证集作为备用根证书;请参阅下一节。
有关创建这些文件的信息超出了本文档的范围。有关 X.509(指定证书和证书撤销列表的内容)的信息,请参阅 RFC5280 (https://www.ietf.org/rfc/rfc5280.txt)。有关 PEM 编码(一种文件格式)的信息,请参阅 RFC1421 (https://www.ietf.org/rfc/rfc1421.txt)。
注意:对于任何生产用途,请务必从可信来源获取证书,因为这些证书是信任所有其他证书的基础。
此集合不用于 SSL。
创建和编辑 IRIS 凭证集
本节介绍如何创建和编辑 IRIS 凭证集,它们是 X.509 证书的容器。有两种一般情况:
- 拥有该证书。在这种情况下,还拥有私钥。可以在以下时间使用此证书:
- 当签署出站消息时(如果还加载了私钥文件)。
- 当解密使用公钥加密的消息时。
- 不拥有该证书。在这种情况下,是从其所有者处获取的,并且没有私钥文件。在以下情况下使用此证书:
- 当加密发送给证书所有者的消息时。
- 当验证证书所有者创建的数字签名时。
