問題タブ [ws-security]

Glassfish コンテナー (Metro) で Web サービスを使用するスタンドアロンのクライアント アプリを開発しようとしています。私が作業しなければならないのは、使用しようとしているサービスの wsdl だけです。wsdl には、あらゆる種類の「wsp:Policy」タグがあふれています。IssuedToken、Trust13、暗号化がすべて利用されているようです。そこで、netbeans と JAX-WS からいくつかのコードを生成しました。すべてうまくいきましたが、クライアントを実行しようとすると、「サービスhttp://localhost:8080/にアクセスするための WST0029:STS の場所を IssuedToken またはクライアント構成から取得できませんでした....」

そのとき、私は WSS について何も知らないことに気がつきました。セキュリティに対処するためのコードが生成されたようには見えません。だから、私は最初から行く必要があります。では、どこから始めますか？本？チュートリアル？

ティア

WS-Security プロトコルは、メッセージを暗号化し、証明書を使用してクライアントを認証するために SSL を必要としますか? それとも、WS-Security プロトコルは SSL から独立しているため、暗号化と証明書認証を実行するために SSL を使用しませんか?

ありがとうございました

サード パーティの Web サービス (SOAP ベース) を呼び出すには、Web サービス クライアントを作成する必要があります。サード パーティは、wsdl および関連する xsd ファイルを公開しました。

サードパーティは、.p12 証明書を使用して Web サイトとサービスを保護します

スタブの生成には wsdl2java を使用しました。エンドポイントを変更し、サービスを呼び出しました。次のエラーを受け取りました。

んーよしっ。私が文書に署名しなければならないことは理にかなっています。

(私にとって)奇妙な点は、WSDL ファイルのどこにもセキュリティ定義がないことです。これは正常ですか？サードパーティに連絡したところ、SOAP メッセージがどのように表示される必要があるかについての PDF が送られてきました。次のタグがヘッダーに表示されます:

と

私が集めたものから、それには私の証明書といくつかのデジタル署名が必要です。

誰かがJavaでこれらを生成する方法を推奨できますか? 私は Axis2/Rampart パスをたどり始めましたが、正直なところ、それらは WSDL ファイルで定義されたセキュリティ要件を持つことを前提としているようです (間違っていたら訂正してください)。

AXIS Webサービスに接続するために.NETクライアントに取り組んでおり、その一環として、必要なすべてのセキュリティヘッダーを実装しようとしています。私の開発環境はVS2005で、C＃を使用しています。

私は最初にsoapUIをダウンロードし、必要なすべてのセキュリティヘッダーを生成し、メッセージの送信を開始しました。これは機能します。だから私は何をする必要があるかを知っています（メッセージに署名し、wsse:Securityヘッダーに入れ、本文を暗号化して送信します）

簡単だと思って、MicrosoftからWSE3.0をダウンロードし、プロジェクトに含めました。今、それは何かを生成していますが、私が望むセキュリティヘッダーでは生成していません。具体的には、Webサービスのアドレス指定ヘッダー（wsa：From、wsa：ReplyTo、wsa：Action）、およびタイムスタンプ（wsu：Timestamp）を削除する必要がありますが、wse3policycache.configファイルで特定の構成設定を見つけることができません。それらを削除します。

私の axis2+rampart クライアントは、いくつかの WS-Secured サーバーで動作しました。サーバーがアップグレードされた後、動作を停止しました (JBoss のアップグレード、WSDL のいくつかの変更、ただしテスト機能ではありません)。サーバーの所有者は、WS-Security 構成は変更されていないと主張していますが、私のクライアントは次のように報告しています。

「アイテム」の順序がaxis2.xml良くない場合、以前にこの例外が発生しました。私がしなければならなかったのは、それらのアイテムを組み合わせるだけでした。それらは次のようになります。

今、この問題が再発しました。返信に「タイムスタンプ」がないことがわかります。アイテムから削除しましたが、何も変わりませんでした。

返信は次のようになります。

私の質問:

1. セキュリティのどの部分が実際に失敗したかを知るにはどうすればよいですか? 順序が間違っているか、要素が不足しているか、要素が余分にあるか、または同様のエラーですか?
2. 署名付きで暗号化された返信しかない場合、インフローセキュリティ構成の城壁にどの項目を追加すればよいか、どうすれば推測できますか? 使用するアイテムの順序を知る方法はありますか?

WCF クライアントを使用して https 経由で Java ベースの WS-Security 対応 Web サービスを呼び出そうとしていますが、セキュリティ構成を正しく取得できないようです。SvcTraceViewer を使用して、私が試したどのセキュリティ構成でも、期待されるセキュリティ ヘッダーが表示されません。

私の最新のセキュリティ構成は次のとおりです。

次のようなコードでユーザー名/パスワードを設定します。

Java Web サービスは、次のようなセキュリティ ヘッダーを想定しています。

セキュリティ ヘッダーがまったく表示されません。

トランスポートとメッセージレベルのセキュリティおよびセキュリティモードについてオンラインでかなり読んだことがありますが、適切なオプションのセットが見つからないようです。バインディングをどのように設定すればよいですか

• https通信
• プレーン テキストの SOAP ヘッダーのユーザー名/パスワード (WS-Security)
• タイムスタンプが必要です
• ノンスが必要

x509証明書を使用したSOAPメッセージを使用してiPhoneクライアントで作業しています。また、x509 証明書 (client.cert) を使用してメッセージに署名する方法がわかりません。

openssl の使用に関するスレッド トークがありますが、openssl の使用方法がわからないため、Apple のドキュメントを見ています: http://developer.apple.com/library/mac/#documentation/Security/Conceptual/CertKeyTrustProgGuide/iPhone_Tasks /iPhone_Tasks.html 上記のドキュメントには、ポリシー参照オブジェクトを取得して信頼を評価するためのサンプル コードがあります。

ただし、ポリシー オブジェクトを使用してメッセージに署名するサンプルはありません。手がかりはありますか？これについてのアイデアや経験があれば、私を助けてください。本当にありがとうございました。

前もって感謝します。

イントラネット Web サービスをどのように保護していますか? 私たちの会社では、Web サービスを保護するためにどのレベルのセキュリティが必要かという議論に行き詰まっています。

• メッセージの暗号化
• HTTPS (TLS)
• 両方？

実装が非常に難しいために誰も使用しない、安全性の高い Web サービスを作成することは有用ですか?

経験やリソース (リンク / ホワイト ペーパー) はありますか?

ご協力いただきありがとうございます！

次のことを理解できません。WS-Securityとhttpsが代替として提示されています。
ただし、httpsの問題は（説明したように）、クライアントとサーバーの間にプロキシがある場合です。
次に、プロキシとサーバー間など、ポイントツーポイントのセキュリティを回避および保証できますが、エンドツーエンドではありません。
だから私たちは持つことができます：

クライアント<-（セキュア）->プロキシ<-（セキュア）->サーバー

しかし、これは等しくありません

では、なぜエンドツーエンドが保証されないのでしょうか。誰か具体的な例を教えてもらえますか？
また、私のネットワークにプロキシがない場合、これはhttpsが問題ないことを意味しますか？
プロキシがある場合は、その逆に、代わりにWS-Securityを使用する必要がありますか？
ありがとうございました

.net c# クライアントから CXF Web サービスを利用したいと考えています。現在、Java から Java へのリクエストに取り組んでおり、ws-security (WSS4J ライブラリ) を通じて SOAP エンベロープを保護しています。

私の質問は、次のクライアント側 Java コードと同じ SOAP 要求を生成する C# WS クライアントをどのように実装できますか?

Microsoft のハウツーや .net の動作例をどこで見つけられるか知っている人はいますか?

================================ 編集 ================ ===================

ラディスラフありがとう！私はあなたの提案を適用し、次のようなものを思いつきました：

その結果、(サーバー側で) 次の CXF 例外が発生します。

したがって、それは主要な jks->pem 変換の問題のようです...または、上記のクライアントコードに何か不足していますか?