*********Esto encontrarás en este Tutorial*********
1.Creación del certificado digital
2.Creación de servicio web asegurado con X509
3.Seguridad al Oracle App server
4.Creación de cliente que consume WS con X509
5.Cifrado en un solo campo del mensaje
LO REQUERIDO:
El otro día me pidieron que asegurara la comunicación a través de X509 de mensajes WS
Y además que cifrara solamente una porción o campo del mensaje XML
Entonces para que no le busquen más, aquí esta
************CERTIFICADOS DIGITALES************
Primero debemos crear el almacén de claves, y el certificado del server y del cliente, además dar de alta sus llaves privadas y públicas
Para hacerlo dentro del Java Home, en mi caso es: D:\oracle\soasuite\jdk\bin> esta el Java KeyTool.
Primero generamos la FIRMA del Servidor / SERVER SIGN KEY
En este se especifica el DN, el algoritmo con el que se cifrará, el archivo donde se almacenarán las claves, y el alias del server sign key
keytool.exe -genkey -dname "CN=Server,C=MX" -keyalg RSA -sigalg Sha1WithRSA -keystore D:\testers\servidor.jks -alias serversign
Después necesitamos la llave de encripción del server / SERVER ENCRYPT KEY
keytool.exe -genkey -dname "CN=Server,C=MX" -keyalg RSA -sigalg Sha1WithRSA -keystore D:\testers\servidor.jks -alias serverenc
Ahora necesitamos generar la firma del Cliente en un nuevo almacén
keytool.exe -genkey -dname "CN=Cliente,C=MX" -keyalg RSA -sigalg Sha1WithRSA -keystore D:\testers\cliente.jks -alias cliente
Copiamos las llaves publicas del servidor al cliente y del cliente al servidor
Para exportar la llave de encripcion del servidor:
keytool.exe -export -keystore D:\testers\servidor.jks -storepass [PASSWORD] -alias serverenc -keypass [PASSWORD] -file D:\testers\serverencPublico.cer
Importar la llave de encripción del servidor en el almacén de claves del cliente
keytool.exe -import -keystore D:\testers\cliente.jks -storepass [PASSWORD] -alias serverenc -file D:\testers\serverencPublico.cer
Exportar el certificado del cliente e importarlo en el almacén del servidor
keytool.exe -export -keystore D:\testers\cliente.jks -storepass [PASSWORD] -alias cliente -keypass [PASSWORD] -file D:\testers\clientePublico.cer
keytool.exe -import -keystore D:\testers\servidor.jks -storepass [PASSWORD] -alias cliente -file D:\testers\clientePublico.cer
Para revisar el contenido de las llaves importadas y generadas se puede ejecutar lo que sigue:
keytool.exe -list -v -keystore D:\testers\servidor.jks
keytool.exe -list -v -keystore D:\testers\cliente.jks
*********JDEVELOPER WS CON X509************
Vamos al Jdeveloper y generaremos una aplicación Java que después convertimos en web service.
Genera una aplicación java que reciba al menos dos campos, para cifrar primero todo el mensaje, y finalmente cifrar solo uno de los campos.
Ya que tenemos la clase que deseamos convertir en WS, hacemos lo siguiente:
Botón derecho sobre el proyecto y seleccionamos New
![clip_image002[1]](http://lh4.ggpht.com/wanzjin/SChbuWMCBsI/AAAAAAAAAGs/JIEvGmTcrP4/clip_image002%5B1%5D%5B3%5D.jpg)
Y seleccionamos Web service / Java web service
![clip_image004[1]](http://lh4.ggpht.com/wanzjin/SChbvWMCBuI/AAAAAAAAAG8/r3xjWkYHsMY/clip_image004%5B1%5D%5B3%5D.jpg)
![clip_image006[1]](http://lh3.ggpht.com/wanzjin/SChbwGMCBwI/AAAAAAAAAHM/t8lAwDFO_mc/clip_image006%5B1%5D%5B3%5D.jpg)
El Nombre del servicio, y la clase a publicar:
![clip_image008[1]](http://lh5.ggpht.com/wanzjin/SChcLmMCByI/AAAAAAAAAHc/vQfagaoTGhQ/clip_image008%5B1%5D%5B3%5D.jpg)
Document Wrapped ya que recibe más de un elemento:
![clip_image010[1]](http://lh5.ggpht.com/wanzjin/SChcMmMCB0I/AAAAAAAAAHs/yAsDEnnb4mc/clip_image010%5B1%5D%5B3%5D.jpg)
Next hasta llegar a los métodos. Seleccionamos los métodos a convertir en WS.
![clip_image012[1]](http://lh4.ggpht.com/wanzjin/SChcNWMCB2I/AAAAAAAAAH8/5k57XN0BiJI/clip_image012%5B1%5D%5B3%5D.jpg)
Dar clic en Next hasta llegar al final, y Finish.
Ya tenemos el WS. Agregaremos la seguridad con X509.
Botón derecho sobre el WS>Secure Web Service
![clip_image014[1]](http://lh6.ggpht.com/wanzjin/SChcm2MCB4I/AAAAAAAAAIM/vRycfu0wdWI/clip_image014%5B1%5D%5B3%5D.jpg)
Especificamos lo que sigue:
![clip_image016[1]](http://lh6.ggpht.com/wanzjin/SDiz-QHIImI/AAAAAAAAAak/tXOF3jh2CTU/clip_image01613.jpg)
En autenticación:
Ojo: asegurarse de que si seleccionan tanto el "paquete" (ServerBlogX509... en mi caso), como el método (Prueba509... en mi caso), tengan las mismas opciones seleccionadas.
![clip_image018[1]](http://lh5.ggpht.com/wanzjin/SDi0AAHIIoI/AAAAAAAAAa0/31LK7rztuLY/clip_image01813.jpg)
Inbound, seleccionar también Creation Time Required...
![clip_image020[1]](http://lh5.ggpht.com/wanzjin/SDi0CAHIIqI/AAAAAAAAAbE/yt17gLQoWN0/clip_image02013.jpg)
En OutBound el mismo caso:
![clip_image022[1]](http://lh3.ggpht.com/wanzjin/SDi0DgHIIsI/AAAAAAAAAbU/L5FNnSngxcQ/clip_image02213.jpg)
En KeyStore Options:
![clip_image024[1]](http://lh5.ggpht.com/wanzjin/SDi0FAHIIuI/AAAAAAAAAbk/i8ZZ7NgC9hQ/clip_image02413.jpg)
En Inbound confidentiality:
![clip_image026[1]](http://lh6.ggpht.com/wanzjin/SDi0HQHIIwI/AAAAAAAAAb0/dBCQuTUzpwE/clip_image02613.jpg)
En Outbound confidentiality:
![clip_image028[1]](http://lh5.ggpht.com/wanzjin/SDi0JAHIIyI/AAAAAAAAAcE/c1WdSkhRljc/clip_image02813.jpg)
¡Listo!, dar clic en Aceptar.
Ya lo podemos publicar, nos genera dos deployments, utilizamos el de KeyStore, el cual publica también el certificado.
Pueden mirar el archivo: oracle-webservices.xml Ahí se pueden dar de alta los passwords del keystore o almacén. Pero eso lo daremos de alta en el servidor de aplicaciones.
![clip_image030[1]](http://lh5.ggpht.com/wanzjin/SDi0LAHII0I/AAAAAAAAAcU/2-QCcTiRDM8/clip_image03013.jpg)
Publicamos con Botón derecho en KeyStore.deploy y seleccionar el oc4j en donde se publicará:
![clip_image032[1]](http://lh5.ggpht.com/wanzjin/SDi0NAHII2I/AAAAAAAAAck/0gHH5VYi_8k/clip_image03213.jpg)
*********CONFIGURACION DE SEGURIDAD EN ORACLE APPLICATION SERVER - WS***********************
Ya que esta publicado debemos configurar la seguridad en el servidor de aplicaciones
Entramos a la consola de Oracle App Server>el contenedor del WS > y seleccionamos la aplicación que contiene el WS
![clip_image034[1]](http://lh4.ggpht.com/wanzjin/SDi0OwHII4I/AAAAAAAAAc0/5f0FQ3lqXn4/clip_image03412.jpg)
Damos clic en el tab de web services y seleccionamos el WS.
![clip_image036[1]](http://lh6.ggpht.com/wanzjin/SDi0QQHII6I/AAAAAAAAAdE/p_pqPYoBmFk/clip_image03612.jpg)
Vamos al tab de administración:
Y damos click en seguridad:
![clip_image038[1]](http://lh4.ggpht.com/wanzjin/SDi0RwHII8I/AAAAAAAAAdU/SoAj52iUPuc/clip_image03812.jpg)
Damos clic en keystore and identity certificates, y agregamos en la siguiente pantalla los datos.
![clip_image040[1]](http://lh5.ggpht.com/wanzjin/SDi0TAHII-I/AAAAAAAAAdk/mq8wotx_o7E/clip_image04013.jpg)
Nos dice que los cambios se guardaron.
Por ultimo agregamos al usuario en el Jazn o en el LDAP. ¿Qué usuario? Pues el que dimos de alta con la instrucción:
keytool.exe -genkey -dname "CN=Cliente,C=MX" ...
Debemos crear al usuario Cliente
Vamos al enterprise manager, y damos clic a la aplicación que contiene el WS.
![clip_image042[1]](http://lh4.ggpht.com/wanzjin/SDi0UwHIJAI/AAAAAAAAAd0/VCI5IFt82No/clip_image04212.jpg)
En mi caso es el de BlogSeguridad... etc
Y en vez de ir a la liga del web service, damos click en administración,
![clip_image044[1]](http://lh3.ggpht.com/wanzjin/SDi0WgHIJCI/AAAAAAAAAeE/oG0IcILkSaU/clip_image04412.jpg)
Security Provider
![clip_image046[1]](http://lh4.ggpht.com/wanzjin/SDi0YwHIJEI/AAAAAAAAAeU/Z_558hL_20s/clip_image04612.jpg)
El tab de Realms> y en la liga de users
![clip_image048[1]](http://lh3.ggpht.com/wanzjin/SDi0agHIJGI/AAAAAAAAAek/uIrjJNsv0Bo/clip_image04812.jpg)
Damos clic en el botón de create
Y definimos el usuario Cliente con el password que se agrego desde el principio.
![clip_image050[1]](http://lh6.ggpht.com/wanzjin/SDi0cQHIJII/AAAAAAAAAe0/tH0-WU38IL8/clip_image05012.jpg)
Listo, eso es todo en esta parte.
******JDEVELOPER CREAR PROXY WS (CLIENTE)******
Ahora vamos a generar el cliente que consume el web service asegurado:
En Jdeveloper botón derecho sobre el workspace, y dar clic en new project > proyecto vacío > nombre del proyecto (en mi caso: X509)
Botón derecho sobre el proyecto > new. Y seleccionar en web services > web service proxy
![clip_image052[1]](http://lh5.ggpht.com/wanzjin/SDi0eAHIJKI/AAAAAAAAAfE/cTcyho3Rsvc/clip_image05212.jpg)
Agregamos en la pantalla el WSDL del servicio
![clip_image054[1]](http://lh3.ggpht.com/wanzjin/SDi0fgHIJMI/AAAAAAAAAfU/4YZxzveorPU/clip_image05412.jpg)
Le mencionamos que lo ejecute contra el server:
![clip_image056[1]](http://lh4.ggpht.com/wanzjin/SDi0gwHIJOI/AAAAAAAAAfk/SUWT-m_HCPc/clip_image05612.jpg)
Dar clic en terminar después de especificar esto, se genera el proxy del web service o cliente.
Damos clic en el proxy, y damos botón derecho, y seleccionamos secure proxy
![clip_image058[1]](http://lh6.ggpht.com/wanzjin/SDi0iQHIJQI/AAAAAAAAAf0/FSFP-XqrGB0/clip_image05812.jpg)
Seleccionamos lo siguiente en las pantallas:
![clip_image060[1]](http://lh4.ggpht.com/wanzjin/SDi0jwHIJSI/AAAAAAAAAgE/kjW4rBAoKLc/clip_image06012.jpg)
![clip_image062[1]](http://lh6.ggpht.com/wanzjin/SDi0mQHIJUI/AAAAAAAAAgU/I7fcW2XcICs/clip_image06212.jpg)
![clip_image064[1]](http://lh4.ggpht.com/wanzjin/SDi0nwHIJWI/AAAAAAAAAgk/iOzN83TqDN8/clip_image06412.jpg)
![clip_image066[1]](http://lh6.ggpht.com/wanzjin/SDi0pQHIJYI/AAAAAAAAAg0/mIioBtOQry4/clip_image06612.jpg)
![clip_image068[1]](http://lh3.ggpht.com/wanzjin/SDi0qgHIJaI/AAAAAAAAAhE/W-XKss9NXpY/clip_image06812.jpg)
![clip_image070[1]](http://lh6.ggpht.com/wanzjin/SDi0sQHIJcI/AAAAAAAAAhU/Lc4SIFGe3K8/clip_image07012.jpg)
Listo, queda asegurado el cliente. Solo faltan algunos pasos.
Seleccionan el proxy, y en la parte de estructura dar doble clic en el archivo [NombreDelWS]SoapHTTP_Stub.xml
![clip_image072[1]](http://lh5.ggpht.com/wanzjin/SDi0uAHIJeI/AAAAAAAAAhk/58kKc-Mt7Qo/clip_image07212.jpg)
Poner el cursor sobre el texto del archivo que se abrió.
Y en el panel de estructura doble clic en key-Store
Agregar los datos:
![clip_image074[1]](http://lh4.ggpht.com/wanzjin/SDi0vwHIJgI/AAAAAAAAAh0/L21_Are1dto/clip_image07412.jpg)
![clip_image076[1]](http://lh6.ggpht.com/wanzjin/SDi0xQHIJiI/AAAAAAAAAiE/hjJ_WznpfIM/clip_image07612.jpg)
Lo mismo en signature y encryption key:
Una vez que ya este, dar click derecho en el proyecto y seleccionar rebuild
![clip_image078[1]](http://lh6.ggpht.com/wanzjin/SDi0zQHIJkI/AAAAAAAAAiU/eYaefwmtxgI/clip_image07812.jpg)
Agregar en el archivo que invoca al servicio, el código para mandar llamar el método del servicio, aquí esta el mío seleccionado.
![clip_image080[1]](http://lh6.ggpht.com/wanzjin/SDi01QHIJmI/AAAAAAAAAik/pOfjIEm2Fpo/clip_image08012.jpg)
Y Ejecutarlo, pueden ir al menú>View> http analyzer para ver lo que manda el proxy y lo que le contesta el web service.
![clip_image082[1]](http://lh3.ggpht.com/wanzjin/SDi03gHIJoI/AAAAAAAAAi0/oQMQWy5Ph_I/clip_image08212.jpg)
Ya una vez que se ejecuta podemos ver lo que manda y lo que recibe en el HTTPAnalyzer
![clip_image084[1]](http://lh5.ggpht.com/wanzjin/SDi06AHIJqI/AAAAAAAAAjE/dWqzQDbjksc/clip_image08412.jpg)
***ENCRIPTAR PORCION O PARTE DEL MENSAJE AL WS***
Ahora vamos a encriptar solo una parte del mensaje
Queremos encriptar solo el segundo campo del mensaje
Vamos a ver como funciona esto.
Primero vamos con el cliente (el proxy)
En el archivo de (NombreDelServicio)HTTPSOAP_Stub.xml que modificamos hace un rato, ahí viene la especificación de lo que deberá cifrar o encriptar.
Lo que queremos cifrar es la pregunta al web service, pero solo el segundo campo
Aquí lo seleccione para que se vea. (la pregunta al WS es la parte de outbound, en la parte de encrypt)
![clip_image086[1]](http://lh4.ggpht.com/wanzjin/SDi07wHIJsI/AAAAAAAAAjU/XEo1bUxuWCE/clip_image08612.jpg)
Aquí menciona que va a cifrar TODO el Body. Pero eso no es lo que queremos.
Así que agregamos esto.
Para saber cual es el nombre de la variable que se cifrará y el namespace, lo podemos ver en el WSDL del servicio
![clip_image088[1]](http://lh5.ggpht.com/wanzjin/SDi09AHIJuI/AAAAAAAAAjk/RcFBRCSbSgg/clip_image08812.jpg)
Así que nuestro cambio en el archivo de Stub quedará así:
![clip_image090[1]](http://lh4.ggpht.com/wanzjin/SDi0-wHIJwI/AAAAAAAAAj0/PwXD7A12kiM/clip_image09012.jpg)
Lo guardamos y le damos rebuild.
Y ahora vamos con el server, que también debe identificar que campo va a descifrar
En donde este instalado el contenedor: en mi caso D:\oracle\soasuite\j2ee\home, hay una carpeta de configuración y un archivo llamado wsmgmt.xml en mi caso: D:\oracle\soasuite\j2ee\home\config\wsmgmt.xml
Abrirlo y dar de alta los cambios también, pero en la parte de inbound, decrypt.
![clip_image092[1]](http://lh3.ggpht.com/wanzjin/SDi1AgHIJyI/AAAAAAAAAkE/RS5Ix3CtXbI/clip_image09212.jpg)
Listo, después de hacer esto, hay que reiniciar la aplicación en el servidor de aplicaciones.
Y podemos ejecutar el cliente.
Aquí el resultado. El primero no cifrado, y el segundo cifrado en la pregunta. La respuesta Cifrada.
![clip_image094[1]](http://lh4.ggpht.com/wanzjin/SDi1CwHIJ0I/AAAAAAAAAkU/v-d_pVnO1vo/clip_image09412.jpg)
Espero que les sirva esto.
Saludos!
Wanzjin - Mau
Entradas
4 comentarios:
Gracias maurerrrrrrrrrrrrrrr
te he comentado aqui http://wanzjin.blogspot.com/2008/04/mi-experiencia-al-cruzar-el-charco.html
oju windows... pasate a linux, sé libre
Hola amigo, estuve revisando tu publicación y me ayudo mucho, mi pregunta es si conoces como consumirlos desde vb .net estos servicios seguros.
agradeceré tu ayuda.
http://www.zaga-code.blogspot.com/
Saludos amigo.
He visto esta entrada y todo me ha corrido perfecto. La gran pregunta que tengo es: ¿Cómo visualizo la información "desencriptada" en el cliente? Espero me puedas ayudar. Saludos.
Publicar un comentario