java - Java アプリケーションで受け入れられるように WS-Security 証明書を取得する方法

Question

そのため、私はしばらくの間 WS-Security に苦労してきましたが、ゆっくりと進歩しています。まず、私の設定を簡単に説明します。Webサービスエンドポイントを提供するTomcatでJavaアプリケーションを実行しています（Springを使用）。受信メッセージに署名を付けたい。SoapUI でテストしています。そのため、長い闘争の後、受信メッセージの署名をチェックする限りサーバーを取得し、送信メッセージに署名するために SoapUI も取得しました。しかし、サーバーは証明書を拒否し続け、どこで何か間違っているのかわかりません。つまり、テスト要求で間違った証明書情報を送信したり、トラストストアで証明書を正しく維持していなかったりします。リクエストの例を次に示します。

<soapenv:Envelope xmlns="http://movilitas.com/movilizer/v7" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
   <soapenv:Header>
      <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
         <wsu:Timestamp wsu:Id="Timestamp-7" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
            <wsu:Created>2011-06-30T12:51:33.407Z</wsu:Created>
            <wsu:Expires>2011-06-30T12:53:13.407Z</wsu:Expires>
         </wsu:Timestamp>
         <ds:Signature Id="Signature-6" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:SignedInfo>
               <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
               <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
               <ds:Reference URI="#id-2">
                  <ds:Transforms>
                     <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                  </ds:Transforms>
                  <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                  <ds:DigestValue>OiRQ2oXbajnnrSGsbOALT2i6brs=</ds:DigestValue>
               </ds:Reference>
            </ds:SignedInfo>
            <ds:SignatureValue>
                fmtFMSccFcwEfL1M8qgQ...
            </ds:SignatureValue>
            <ds:KeyInfo Id="KeyId-C3B38A939F7D63D51F13094382933988">
               <wsse:SecurityTokenReference wsu:Id="STRId-C3B38A939F7D63D51F13094382933989" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
                  <wsse:KeyIdentifier EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" 
                                      ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">
                        MIICbzCCAdgCAQEwDQ... 
                    </wsse:KeyIdentifier>
               </wsse:SecurityTokenReference>
            </ds:KeyInfo>
         </ds:Signature>
      </wsse:Security>
   </soapenv:Header>
   <soapenv:Body wsu:Id="id-2" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
      [...]
   </soapenv:Body>
</soapenv:Envelope>

これで、トラストストア (base64 でエンコードされたバージョンの証明書) から証明書をエクスポートしたときに取得した内容と同じ内容になりました。リクエストを送信したときに表示されるエラーは次のとおりです。

Jul 5, 2011 4:42:23 PM com.sun.xml.wss.impl.dsig.KeySelectorImpl resolve
SEVERE: WSS1353: Error occurred while resolving key information
com.sun.xml.wss.XWSSecurityException: No Matching public key for MIICbzCCAdgCAQEwDQ... subject key identifier found
    at com.sun.xml.wss.impl.misc.DefaultSecurityEnvironmentImpl.getCertificate(DefaultSecurityEnvironmentImpl.java:617)
    at com.sun.xml.wss.impl.dsig.KeySelectorImpl.resolve(KeySelectorImpl.java:385)
    at com.sun.xml.wss.impl.dsig.KeySelectorImpl.select(KeySelectorImpl.java:232)
    ...

何か不足していますか？何か大きい？それとも小さい？これは、実際に KeyIdentifier として送信することになっているものですか? どんな助けでも大歓迎です！

Answer 1

証明書自体は送信せず、証明書への参照 (サブジェクト キー識別子) のみを送信します。パートナーの公開証明書をトラストストア (キーストア) に保存するか、メッセージ内にバイナリ セキュリティ トークンを含める必要があります。詳細については、 http://www.oasis-open.org/committees/download.php/16785/wss-v1.1-spec-os-x509TokenProfile.pdfセクション 3.3.2 を参照してください。