[5.1 版和更新版本]Web 服務:Web 服務安全集合的預設連結

請利用這個頁面來配置伺服器層次的 Nonce 設定及管理信任錨點、集合憑證儲存庫、金鑰定位器、授信 ID 求值運算元和登入對映的預設連結。

如果要檢視這個管理主控台頁面,請按一下伺服器 > 應用程式伺服器 > server_name。 在「其他內容」之下,按一下 Web 服務:Web 服務安全的預設連結

在開始定義 Web 服務安全的預設連結之前,請先閱讀 Web 服務文件。

如果要定義伺服器連結,請完成下列步驟:

  1. 按一下應用程式 > 企業應用程式 > application_name
  2. 在「相關項目」之下,按一下 Web 模組 > URI_file_name> Web 服務:伺服器安全連結

如果要定義用戶端連結,請完成下列步驟:

  1. 按一下應用程式 > 企業應用程式 > application_name
  2. 在「相關項目」之下,按一下 Web 模組 > URI_file_name > Web 服務:用戶端安全連結

[5.1 版和更新版本]Nonce 是一個內嵌在訊息中的專屬加密號碼,用來協助您停止未獲授權的重複使用者名稱記號攻擊。 在基本 WebSphere Application Server 環境中,您必須指定伺服器層次的 Nonce 快取逾時值Nonce 存在期間上限Nonce 時鐘偏差等欄位值。

預設連結配置提供用來定義可重複使用的連結資訊之中央位置。 應用程式連結檔可以參照預設連結配置所包含的資訊。

Nonce 快取逾時值   [5.1 版和更新版本]
指定在伺服器快取的 Nonce 的逾時值(秒)。Nonce 是隨機產生的值。

您必須在 Nonce 快取逾時值欄位中,指定至少 300 秒。 不過,如果您沒有指定值,預設值是 600 秒。

Nonce 快取逾時值是 WebSphere Application Server 環境的必要欄位。

如果您變更 Nonce 快取逾時值,您必須重新啟動 WebSphere Application Server,使變更生效。

預設值 600 秒
最小值 300 秒
Nonce 存在期間上限   [5.1 版和更新版本]
指定 Nonce 時間戳記到期之前的預設時間(秒)。Nonce 是隨機產生的值。

您必須在 Nonce 存在期間上限欄位中,指定至少 300 秒。 不過,最大值不能超出伺服器層次的 Nonce 快取逾時值欄位所指定的秒數。 如果您沒有指定值,預設值是 300 秒。 這個伺服器層次 Nonce 存在期間上限欄位所設定的值不能超出您按一下安全 > Web 服務 > 內容來存取的 Cell 層次 Nonce 存在期間上限設定值。

Nonce 存在期間上限是 WebSphere Application Server 環境的必要欄位。

預設值 300 秒
範圍 300 至 Nonce 快取逾時值
Nonce 計時器偏差   [5.1 版和更新版本]
指定 WebSphere Application Server 檢查訊息即時性時所要考量的預設計時器偏差值(秒)。Nonce 是隨機產生的值。

您必須在 Nonce 時鐘偏差欄位中,指定至少 0 秒。 不過,最大值不能超出 Nonce 存在期間上限欄位所指定的秒數。 如果您沒有指定值,預設值是 0 秒。

Nonce 時鐘偏差是 WebSphere Application Server 環境的必要欄位。

預設值 0 秒
範圍 0 至 Nonce 存在期間上限
信任錨點   [修正套件 5.0.2 和更新版本]
指定含有自行簽章的最高授信使用者憑證或憑證管理中心 (CA) 發出的最高授信使用者憑證之金鑰儲存庫物件清單。

憑證管理中心會鑑別使用者和發出憑證。 在發出憑證之後,這些憑證所在的金鑰儲存庫物件會使用憑證路徑的憑證或送入 X.509 格式安全記號的憑證鏈驗證。

集合憑證儲存庫   [修正套件 5.0.2 和更新版本]
指定非授信的中間憑證檔清單。

集合憑證儲存庫含有中間非授信憑證鏈。CertPath 會試圖驗證以信任錨點為基礎的這些憑證。

金鑰定位器   [修正套件 5.0.2 和更新版本]
指定從金鑰儲存庫檔或儲存庫擷取數位簽章和加密金鑰的金鑰定位器物件清單。 金鑰定位器會將名稱或邏輯名稱對映至別名,或將鑑別過的身分對映至金鑰。 這個邏輯名稱用來尋找金鑰定位器實作中的金鑰。
授信 ID 求值運算元   [修正套件 5.0.2 和更新版本]
指定用來判斷要不要信任身分確認管理中心或訊息傳送者的授信 ID 求值運算元清單。

授信 ID 求值運算元用來使某伺服器的其他身分接受另一伺服器的鑑別。 比方說,用戶端將 A 使用者的身分傳給 1 伺服器來鑑別。 1 伺服器呼叫下游伺服器 2,確認 A 使用者的身分,且併入 1 伺服器的使用者 ID 和密碼。 2 伺服器試圖鑑別 1 伺服器的使用者 ID 和密碼並根據 TrustedIDEvaluator 實作來進行信任檢查,以建立與 1 伺服器的信任關係。 如果鑑別程序和信任檢查順利完成,2 伺服器會相信 1 伺服器已鑑別 A 使用者,這時會在 2 伺服器建立 A 使用者的認證來呼叫要求。

登入對映   [修正套件 5.0.2 和更新版本]
指定用來驗證送入訊息內的記號之配置清單。

登入對映會將鑑別方法對映至 Java 鑑別和授權服務 (JAAS) 配置。

如果要配置 JAAS,請使用管理主控台,按一下安全 > JAAS 配置

相關資訊

信任錨點集合
集合憑證儲存庫集合
金鑰定位器集合
授信 ID 求值運算元集合
登入對映集合
登入對映配置設定