使用WebSphere、Spring-WS和WSS4J进行WebService证书验证

Question

我正在开发一个使用Spring-WS2.0提供SOAP WebServices的WS应用程序。WebService请求需要使用证书签名，该证书当然是在服务器上验证的。为了做到这一点，需要使用WSS4J和信任库--这里是spring-config：

<bean class="org.springframework.ws.soap.security.wss4j.Wss4jSecurityInterceptor">
    <property name="validationActions" value="Signature" />
    <property name="validationSignatureCrypto">
      <bean class="org.springframework.ws.soap.security.wss4j.support.CryptoFactoryBean">
        <property name="keyStorePassword" value="pass"/>
        <property name="keyStoreLocation" value="location"/>
      </bean>
    </property>
</bean>

应用程序应该部署到WebSphere 7上，主要要求是信任库不应该随应用程序一起提供，而是由应用程序服务器提供。有谁知道我可以如何实现，即WebSphere提供了信任库，或者如何配置WebSphere来执行安全授权？主要的挑战似乎是，使用Spring-WS而不是使用WebSphere的WebServices工具……

Answer 1

我不使用Spring-WS，所以不知道它的细节。

WAS有一个信任库，其中存储了受信任的签名者证书的列表。

如果你愿意，THe密钥库和信任库可以保持多个级别(例如节点、单元等)。

有关详细信息，您可以查看公开提供的PPT

http://www.websphereusergroup.org.uk/wug/files/presentations/25/25_3_WAS61SecUpdate.pdf。

我不知道您使用的WAS 6.1和WAS 7.x版本是目前使用最广泛的版本！

HTH芒格鲁