Ws- सुरक्षा में SoapUI प्रो

विभिन्न भुगतान गेटवे विकसित करने और अन्य एकीकरण समस्याओं को हल करने के क्षेत्र में (मुझे नहीं लगता कि इस तकनीक का दायरा इसके द्वारा सीमित है, लेकिन मैं इस क्षेत्र में इस पर आया हूं) डब्ल्यूएस-सुरक्षा विनिर्देश के अनुसार सिस्टम में प्रमाणीकरण हो सकता है (विस्तृत विवरण के लिए डॉक्स देखें- ओएसिस- open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf )। इस लेख में, हम उन वेब सेवाओं तक पहुंच के मामले पर विचार करेंगे जिनमें ग्राहक विनिर्देश इस विनिर्देश के अनुसार किया जाता है।

मान लें कि आपने सिस्टम के साथ आदान-प्रदान किया है (सिस्टम का अर्थ है एक भुगतान प्रणाली या एक अन्य संगठन जो वेब सेवाओं तक पहुंच प्रदान करता है) दो प्रमाणपत्रों के साथ (एक दो तरफा एसएसएल के लिए, दूसरा संदेश पर हस्ताक्षर करने के लिए)। इसके लिए, सिस्टम को आपसे दो प्रमाणपत्र अनुरोधों की आवश्यकता होगी। आपको "प्रमाणपत्र-निजी कुंजी के लिए अनुरोध" के दो जोड़े बनाने की आवश्यकता होगी। यह किया जा सकता है, उदाहरण के लिए, खुलता उपयोगिता (डाउनलोड लिंक slproweb.com/products/Win32OpenSSL.html डाउनलोड) का उपयोग करते हुए। इसमें, आपको दो बार कमांड चलाने की आवश्यकता है:

openssl req -new -key privkey1.key -out request1.csr

(दूसरी बार privkey2.key और request2.csr क्रमशः)। आप दो अनुरोध-कुंजी जोड़े (privkey1.key & request1.csr, privkey2.key & request2.csr) के साथ समाप्त करते हैं। सिस्टम के विश्लेषकों को दो प्रमाणपत्र अनुरोध भेजे जाने चाहिए, जो बदले में, इन अनुरोधों पर हस्ताक्षर करके और उनके स्टोर में जोड़कर, अपने सिस्टम को एक्सेस करने के लिए * .crt प्रारूप में प्रमाण पत्र भेजेंगे। बता दें कि ssl.crt सर्टिफिकेट, जिसका इस्तेमाल टू-वे ssl प्रदान करने के लिए किया जाएगा, पहली रिक्वेस्ट-प्राइवेट की पेयर के साथ मेल खाता है, ट्रस्ट.आर्ट दूसरी जोड़ी के लिए है। इस सर्टिफिकेट का इस्तेमाल मैसेज साइन करने के लिए किया जाएगा।
जब हमें ये प्रमाणपत्र मिल गए, तो हम जाँच सकते हैं कि क्या वेब सेवा हमारे लिए उपलब्ध है और क्या ब्राउज़र से भी प्रमाण पत्र के साथ सब कुछ सही है। ऐसा करने के लिए, हमें कीस्टोर के लिए एक "निजी कुंजी-प्रमाणपत्र" जोड़ी जोड़ना होगा। ब्राउज़र में हम pkcs12 प्रारूप संग्रहण का उपयोग करेंगे। यह एक ही ओपनसेल के साथ बनाया जा सकता है। आदेश निम्नानुसार है:

openssl pkcs12 -export -in ssl.crt -inkey privkey1.key -out ssl.p12

स्वाभाविक रूप से, कमांड को उस निर्देशिका में निष्पादित करने की आवश्यकता है जिसमें प्रमाण पत्र और निजी कुंजी फाइलें स्थित हैं (या अपना पूर्ण पथ पंजीकृत करें)। तो, हमें * .p12 प्रारूप की एक फ़ाइल मिली, जिसमें "प्राइवेट की-सर्टिफिकेट" की एक जोड़ी है (पहली जोड़ी ssl.p12 से, दूसरी ट्रस्ट-p12 से)। यह देखने के लिए कि रिपॉजिटरी में कौन से तत्व मौजूद हैं, आप मानक ओपनस् कमांड का उपयोग कर सकते हैं, लेकिन कीस्टोर एक्सप्लोरर प्रोग्राम (http://keystore-explorer.sourceforge.net/) का उपयोग करना बेहतर है। इसमें, आप प्रमाणपत्र-निजी कुंजी जोड़े की पहचान के लिए आवश्यक उपनाम निर्दिष्ट कर सकते हैं, यदि उनमें से कई भंडार में हैं।

एक प्रोग्रामिंग भाषा में एक क्लाइंट का विकास (हमने जावा और सी # में लागू किया) जो वेब सेवाओं के साथ संदेशों का आदान-प्रदान करता है और सिस्टम में ग्राहकों के प्रमाणीकरण को इस लेख में नहीं माना जाता है। इस बिंदु पर, विकास शुरू होने से पहले कुछ उपकरण के साथ जांच करना अच्छा होगा कि प्रमाण पत्र में कोई पकड़ है और क्या हस्ताक्षर ठीक से काम करेंगे।
प्रमाणीकरण और हस्ताक्षर को सत्यापित करने के लिए, हम SoapUI Pro संस्करण 4.5.1 का उपयोग करेंगे। वेब सेवा के साथ सुरक्षित चैनल प्रदान करने के लिए सबसे पहले, हमें SoapUI सेटिंग्स में एक SSL प्रमाणपत्र जोड़ना होगा। कार्यक्रम के इस संस्करण में, यह निम्नानुसार किया जाता है: फ़ाइल -> प्राथमिकताएं -> एसएसएल सेटिंग्स। मेरे पास एक अंग्रेजी संस्करण है, इसलिए सभी शर्तें अंग्रेजी में हैं। KeyStore फ़ील्ड में, ssl.p12 रिपॉजिटरी के लिए पथ निर्दिष्ट करें। KeyStore पासवर्ड फ़ील्ड में, वह पासवर्ड निर्दिष्ट करें जो हमने स्टोर बनाते समय सेट किया था। पासवर्ड के बिना एक रिपॉजिटरी बनाना विफल हो जाएगा और ऐसा नहीं किया जा सकता है, क्योंकि इसमें एक निजी कुंजी है। ठीक क्लिक करें, यह एसएसएल कॉन्फ़िगरेशन पूरा करता है।

उसके बाद, हमें तथाकथित usernametoken, इसके हस्ताक्षर और संदेश निकाय के हस्ताक्षर को कॉन्फ़िगर करने की आवश्यकता है। एक उपयोगकर्तानामेटोकन की हस्ताक्षर और उपलब्धता सुरक्षा आवश्यकताओं और टोकन द्वारा प्रमाणीकरण की उपलब्धता के आधार पर सर्वर पर निर्धारित की जाती है। SoapUI में साइन अप करना SoapUI की वेबसाइट पर पर्याप्त विवरण में वर्णित है: www.soapui.org/SOAP-and-WSDL/applying-ws-security.html । कहीं दोहरा रहा हूं, कहीं अपना जोड़ रहा हूं, कभी अपना लेख जारी रखूंगा।

I) हस्ताक्षर बनाने के लिए हमारी कुंजी-प्रमाणपत्र जोड़ी में संग्रहण जोड़ें:



यदि हम अपने पास आने वाले संदेशों के सही हस्ताक्षर की जांच नहीं करने जा रहे हैं, तो ट्रस्टस्टोर्स में कुछ भी शामिल करने की आवश्यकता नहीं है। यहाँ हमने Trust.p12 रिपॉजिटरी को जोड़ा, क्योंकि यह विशेष रूप से संदेशों पर हस्ताक्षर करने के लिए बनाई गई थी। अन्य प्रारूपों के रिपॉजिटरी का उपयोग करने की भी अनुमति है, उदाहरण के लिए, * .jks (जावा कीस्टोर)।

II) वेब सेवा को भेजते समय SOAP अनुरोधों पर लागू करने के लिए कॉन्फ़िगरेशन बनाएँ। ऐसा करने के लिए, आउटगोइंग WS- सुरक्षा कॉन्फ़िगरेशन टैब में, एक नया WSS कॉन्फ़िगरेशन जोड़ें क्लिक करें। इसे आउटगोइंग कहें।



III) कॉन्फ़िगरेशन में usernametoken जोड़ें।
यदि क्लाइंट के फ़ोन नंबर को क्लाइंट के पहचानकर्ता के रूप में उपयोग किया जाता है, तो हम फ़ोन नंबर को एक शब्द में लिखते हैं, सिस्टम में क्लाइंट का लॉगिन। यदि आपके पास एक पासवर्ड है, तो पासवर्ड प्रकार -> पासवर्डडिजस्ट का चयन करें ताकि यह संदेश में एन्क्रिप्टेड रूप में प्रदर्शित हो।



IV) चूंकि यह मान लिया गया था कि हम अपने SOAP संदेश के दो हिस्से (usernametoken और Body) पर हस्ताक्षर कर रहे हैं, हमें दो हस्ताक्षर बनाने की आवश्यकता है। ऐसा करने के लिए, उपयोगकर्ता नाम के साथ, हम दो हस्ताक्षर तत्व जोड़ते हैं।

V) उपयोगकर्ता नाम पर हस्ताक्षर करने के लिए पहला हस्ताक्षर है:



हम सभी सेटिंग्स लिखते हैं जैसा कि चित्र में दिखाया गया है (आपके मामले में सेटिंग्स भिन्न हो सकती हैं), रिपॉजिटरी से पासवर्ड, भागों में हम अपने एसओएपी संदेश का हिस्सा पंजीकृत करते हैं जिसे हम साइन करने जा रहे हैं। उपयोगकर्ता नाम के लिए नामस्थान:
docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

VI) दूसरे हस्ताक्षर का अंतर (निकाय SOAP संदेश भाग के लिए) पहले भाग से केवल एक भाग भाग में:



शरीर के लिए नाम स्थान:
schemas.xmlsoap.org/soap/envelope
यह प्रमाणीकरण सेटअप और हस्ताक्षर को पूरा करता है। यह SoapUI में एक SOAP संदेश बनाने के लिए बना हुआ है और इसके लिए आवश्यक कॉन्फ़िगरेशन का चयन करें (आउटगोइंग wss के संदर्भ में):



एक संदेश भेजते समय, SoapUI खुद एक यूजरनेमेटोकन और दो हस्ताक्षर जोड़ देगा। यह देखने के लिए कि कौन सा संदेश भेजा जा रहा है, आप अंतिम बिंदु पर posttestserver.com/post.php सेवा का नाम जोड़ सकते हैं, और प्रतिक्रिया में हमारे अनुरोध के साथ पृष्ठ का लिंक होगा। मूल SOAP अनुरोध कुछ इस तरह हो सकता है:

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header/> <soapenv:Body wsu:Id="id-17" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> <findSomething/> </soapenv:Body> </soapenv:Envelope> 

एक हस्ताक्षरित अनुरोध इस तरह दिखेगा:

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> <ds:Signature Id="SIG-21" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <ds:Reference URI="#id-17"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"> <InclusiveNamespaces PrefixList="" xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transform> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <ds:DigestValue>wU/JToBU67+gCBtfb2+gYL1w9zY=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>Ez94qqmkV642l3jIy+8PS8lozO+VtEbMZvYZv3inNV4QCZBsRCmQ9IvGcUhfMXnDlqukXaa+zRwr dW8tVOW9vkc9DVgzeFGMSREvP2BUuqB6HzZKCGeec3Jihlc59EyuHwyiz5+18jObuyD18Mtb7T90 7adQsDVSBmQGLydX/tfptopmykYfUpRYTh0sMCcRH7J4B51RrecBs6rK9GJEslWTeW2tGgxpxQJ4 Y690rzkrR6AT6h7t4HBD6JltQUi9xwsjpnQ0j0ReSiK+jNNf99pBl7iiEPc9Kzrc8vNKRacbTfm4 /EE9xP6qu61hBxFQpmpWTRt+SmvVCkDOkBAGew==</ds:SignatureValue> <ds:KeyInfo Id="KI-7D1A45FAAA5C9F47FD138788868310035"> <wsse:SecurityTokenReference wsu:Id="STR-7D1A45FAAA5C9F47FD138788868310036"> <wsse:KeyIdentifier EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier">lPhvPtZSH+7TfXO2TMEIe0jlDQw=</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </ds:KeyInfo> </ds:Signature> <ds:Signature Id="SIG-20" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <ds:Reference URI="#UsernameToken-19"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"> <InclusiveNamespaces PrefixList="soapenv" xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transform> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <ds:DigestValue>Bbt473ZLc41VKtiEZbMI+q+sFZY=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>F/K6Lgw3P40hFo1ifYY894V5HpVCvns8P4mbeR9pZfTVg4MH/hZf0+KKfKnURTTwS8Rw9MlOM9gG rwkk0hEANxraZHcMIuopWJlvf6sBkykyVSgrAFCHhqjVdAb7bacv7P6U4wHjY1PNRFWMYSUavewq KN08xp80lH30SEMIZznKX6pUuRBllEUTIvRMaR62z1GcNkLWLf5hadUGbv8Qdssj1BL5SY2zin3d hAPFlobMzMUVh019h4Eg0ljWrtFAhHZMOJouZKVYr6ldsPaMiIm9QYTArPoh4fH/rdIIiDT6SVHr e8v0fdywWnapepGyFDJa1ltUXw+JrqBm579PsQ==</ds:SignatureValue> <ds:KeyInfo Id="KI-7D1A45FAAA5C9F47FD138788868306932"> <wsse:SecurityTokenReference wsu:Id="STR-7D1A45FAAA5C9F47FD138788868306933"> <wsse:KeyIdentifier EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier">lPhvPtZSH+7TfXO2TMEIe0jlDQw=</wsse:KeyIdentifier> </wsse:SecurityTokenReference> </ds:KeyInfo> </ds:Signature> <wsse:UsernameToken wsu:Id="UsernameToken-19"> <wsse:Username>9035153503</wsse:Username> <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest">sTK/zTQP+BthB9Ag9uYsPXCn2Q8=</wsse:Password> <wsse:Nonce EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">wuPL8u2jN8p3T4u0oAZTiQ==</wsse:Nonce> <wsu:Created>2013-12-24T12:38:03.065Z</wsu:Created> </wsse:UsernameToken> </wsse:Security> </soapenv:Header> <soapenv:Body wsu:Id="id-17" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> <findAllPersonalAccounts/> </soapenv:Body> </soapenv:Envelope> 

जैसा कि आप देख सकते हैं, हमारे पास दो हस्ताक्षर हैं <हस्ताक्षर ...> ... और एक <wsse: UsernameToken ...> ... </ wsse: UsernameToken>। पहला हस्ताक्षर बॉडी को संदर्भित करता है, जैसा कि <ds: Reference URI = "# id-17"> से देखा जा सकता है, चूंकि <साबुनसेन: बॉडी वासु: Id = "id-17" ..., दूसरा यूजरनेमToken के बाद से दूसरा हस्ताक्षर URI = "# उपयोगकर्ता नाम टोकन -19"।