“*未找到证书*(来自客户端)”在调用需要签名的Web服务时

时间:2011-02-07 07:39:52

标签: web-services cxf ws-security soapui signing

在调用期望使用WS-Security签名消息的Web服务时,我遇到了一个特殊问题。如果我使用我的客户端应用程序(使用Apache CXF)调用,则会收到HTTP 500错误消息:

  

*未找到证书*(来自客户)

如果我使用SoapUI调用相同的服务,配置为使用相同的密钥和密钥存储进行签名,则可以按预期工作。

我注意到呼叫的<KeyInfo>部分在CXF和SoapUI之间有所不同。使用CXF(如下所示),KeyInfo对<X509Data>部分等更加详细,而SoapUI调用只包含一个简单的<SecurityTokenReference>。我怀疑这种差异可能是服务器无法识别用于签名的证书的原因。

不幸的是,我无法控制服务器端,因此我无法在那里进行太多调查。很高兴知道这是一个已知的问题,是否有任何解决方法?

问候,奥拉

CXF:

<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="KeyId-1007572087">
<wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="STRId-1355509614"><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509IssuerSerial xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509IssuerName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">C=SE,O=Company,CN=Company Test Corporate CA 01,SERIALNUMBER=516406-0120</ds:X509IssuerName>
    <ds:X509SerialNumber xmlns:ds="http://www.w3.org/2000/09/xmldsig#">29382</ds:X509SerialNumber>
</ds:X509IssuerSerial></ds:X509Data></wsse:SecurityTokenReference></ds:KeyInfo>

了SoapUI:

<ds:KeyInfo Id="KeyId-850CCDA383426C4A1E129683271974138"><wsse:SecurityTokenReference wsu:Id="STRId-850CCDA383426C4A1E129683271974139" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"><wsse:Reference URI="#CertId-850CCDA383426C4A1E129683271974137" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1"/></wsse:SecurityTokenReference></ds:KeyInfo>

2 个答案:

答案 0 :(得分:0)

显然诀窍是将WSS4JOutInterceptor的signatureKeyIdentifier属性配置为“DirectReference”,它创建一个类似于SoapUI的KeyInfo,即它被服务器接受。

            <spring:bean class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
            <spring:constructor-arg>
                <spring:map>
                    <spring:entry key="signatureKeyIdentifier" value="DirectReference"/>
                </spring:map>

答案 1 :(得分:0)

服务器期望客户端公共证书嵌入到请求中,这是DirectReference的signatureKeyIdentifier值所做的。另一个选项是服务器存储所有客户端公共证书,并且请求具有服务器标识符以标识正确的公共证书并验证签名(您的第一个案例)。