第四章 设置和其他常见活动

作为参考，本主题介绍了用于保护 Web 服务的常见活动。

执行设置任务

对于大多数与 SOAP 安全相关的任务，必须首先执行以下任务：

• 提供可信证书供 IRIS 使用
• 创建 IRIS 凭证集

这些任务也是使用 XML 工具中描述的某些任务的先决条件。

可能还需要创建 SSL/TLS 配置。有关信息，请参阅 TLS 指南。

为 IRIS 提供可信证书

IRIS 使用其自己的可信证书集合来验证入站 SOAP 消息（或 XML 文档）中的用户证书和签名。在加密出站 SOAP 消息中的内容或加密 XML 文档时，它也会使用这些证书和签名。此集合可供此 IRIS 安装的所有命名空间使用。要创建此集合，请创建以下两个文件并将它们放在系统管理器的目录中：

• iris.cer — 包含根证书，即 PEM 编码格式的受信任 CA X.509 证书。如果想在 IRIS 中使用任何 WS-Policy 或 WS-Security 功能，则需要此文件。
• iris.crl — 包含 PEM 编码格式的 X.509 证书撤销列表。此文件是可选的。

请注意，可以使用特定的 IRIS 凭证集作为备用根证书；请参阅下一节。

有关创建这些文件的信息超出了本文档的范围。有关 X.509（指定证书和证书撤销列表的内容）的信息，请参阅 RFC5280 (https://www.ietf.org/rfc/rfc5280.txt)。有关 PEM 编码（一种文件格式）的信息，请参阅 RFC1421 (https://www.ietf.org/rfc/rfc1421.txt)。

注意：对于任何生产用途，请务必从可信来源获取证书，因为这些证书是信任所有其他证书的基础。

此集合不用于 SSL。

创建和编辑 IRIS 凭证集

本节介绍如何创建和编辑 IRIS 凭证集，它们是 X.509 证书的容器。有两种一般情况：

• 拥有该证书。在这种情况下，还拥有私钥。可以在以下时间使用此证书：
  • 当签署出站消息时（如果还加载了私钥文件）。
  • 当解密使用公钥加密的消息时。
• 不拥有该证书。在这种情况下，是从其所有者处获取的，并且没有私钥文件。在以下情况下使用此证书：
  • 当加密发送给证书所有者的消息时。
  • 当验证证书所有者创建的数字签名时。