第二十一章 加密 SOAP 主体 - 变体:使用可识别证书的信息
文章目录
- 第二十一章 加密 SOAP 主体 - 变体:使用可识别证书的信息
- `X.509` 证书的参考选项
- `$$$SOAPWSReferenceDirect`
- `$$$SOAPWSReferenceThumbprint`
- `$$$SOAPWSReferenceKeyIdentifier`
- `$$$SOAPWSReferenceIssuerSerial`
- `$$$KeyInfoX509Certificate`
- `$$$KeyInfoX509IssuerSerial`
- `$$$KeyInfoX509SKI`
- `$$$KeyInfoX509SubjectName`
- `$$$KeyInfoRSAKey`
第二十一章 加密 SOAP 主体 - 变体:使用可识别证书的信息
<BinarySecurityToken> 包含序列化、base-64 编码格式的证书。可以忽略此令牌,而改用标识证书的信息;接收方使用此信息从相应位置检索证书。为此,请使用上述步骤,并进行以下更改:
- 跳过步骤
3和4。也就是说,不要添加<BinarySecurityToken>。 - 在步骤
5(创建加密密钥)中,使用步骤1中设置的凭据(而不是二进制安全令牌)作为CreateX509()的第一个参数。例如:
set enckey=##class(%XML.Security.EncryptedKey).CreateX509(credset,,referenceOption)
对于第三个参数(referenceOption),可以指定<Signature> 元素如何使用证书。
如果指定一个凭据集作为第一个参数(正如我们在此变体中所做的那样),则referenceOption的默认值为$$$SOAPWSReferenceThumbprint。 可以选择指定一个值,如本节所述。 可以使用除$$$SOAPWSReferenceDirect之外的任何值。
X.509 证书的参考选项
WS-Security 标头简介部分介绍了在 SOAP 消息中使用证书的一种方法。在该示例中,数字签名由两个标头元素组成:
<BinarySecurityToken>元素,以序列化的base-64编码形式携带证书。<Signature>元素,带有签名并且包含对二进制安全令牌的直接引用。
还有其他可能的引用形式。例如,<Signature> 可以包含证书的指纹,在这种情况下,消息中不需要 <BinarySecurityToken>。
创建加密密钥、数字签名或 SAML 断言时,可以指定 referenceOption 参数,该参数控制新创建的元素如何使用凭证中包含的证书(或更具体地说,密钥材料)。
作为参考,此参数可以具有以下任意值。这些值是 %soap.inc 包含文件中定义的宏:
$$$SOAPWSReferenceDirect
该元素包含对二进制安全令牌的直接引用。具体来说,<KeyInfo> 元素由 <SecurityTokenReference>子元素和<Reference> 子元素组成,其中 <SecurityTokenReference> 子元素的 URI 属性是对 <BinarySecurityToken> 的本地引用。要使用此选项,还必须确保将安全令牌添加到 WS-Security 标头;详细信息在相关部分中给出。
$$$SOAPWSReferenceThumbprint
该元素包括 X.509 证书的 SHA-1 指纹。
$$$SOAPWSReferenceKeyIdentifier
该元素包括 X.509 证书的 SubjectKeyIdentifier。
$$$SOAPWSReferenceIssuerSerial
该元素包括一个 <KeyInfo> 元素,该元素带有一个 <SecurityTokenReference> 子元素,该子元素还有一个<X509Data> 子元素,该子元素包含一个 <X509IssuerSerial> 元素。
$$$KeyInfoX509Certificate
该元素包含一个 <KeyInfo> 元素,该元素带有一个 &<X509Data> 子元素,而该子元素又包含一个<X509Certificate> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用途,但可以将其用于<Assertion> 元素。
$$$KeyInfoX509IssuerSerial
该元素包含一个 <KeyInfo> 元素,该元素带有一个<X509Data> 子元素,该子元素包含一个 <X509IssuerSerial>元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用法,但可以将其用于 <Assertion> 元素。
$$$KeyInfoX509SKI
该元素包含一个 <KeyInfo> 元素,该元素带有一个 <X509Data> 子元素,而该子元素又包含一个 <X509SKI> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用途,但可以将其用于 <Assertion> 元素。
$$$KeyInfoX509SubjectName
该元素包含一个 <KeyInfo> 元素,该元素带有一个 <X509Data> 子元素,而该子元素又包含一个 <X509SubjectName> 元素。WS-Security 规范不建议将<Signature> and <EncryptedKey> 元素用作此用途,但可以将其用于<Assertion>元素。
$$$KeyInfoRSAKey
该元素包含一个 <KeyInfo> 元素,该元素带有一个 <KeyValue> 子元素,而该子元素又包含一个 <RSAKeyValue> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用作此用途,但可以将其用于 <Assertion> 元素。