第二十一章 加密 SOAP 主体 - 变体：使用可识别证书的信息

<BinarySecurityToken> 包含序列化、base-64 编码格式的证书。可以忽略此令牌，而改用标识证书的信息；接收方使用此信息从相应位置检索证书。为此，请使用上述步骤，并进行以下更改：

• 跳过步骤 3 和 4。也就是说，不要添加 <BinarySecurityToken>。
• 在步骤 5（创建加密密钥）中，使用步骤 1 中设置的凭据（而不是二进制安全令牌）作为 CreateX509() 的第一个参数。例如：

 set enckey=##class(%XML.Security.EncryptedKey).CreateX509(credset,,referenceOption)

对于第三个参数（referenceOption），可以指定<Signature> 元素如何使用证书。

如果指定一个凭据集作为第一个参数（正如我们在此变体中所做的那样），则referenceOption的默认值为$$$SOAPWSReferenceThumbprint。 可以选择指定一个值，如本节所述。 可以使用除$$$SOAPWSReferenceDirect之外的任何值。

X.509 证书的参考选项

WS-Security 标头简介部分介绍了在 SOAP 消息中使用证书的一种方法。在该示例中，数字签名由两个标头元素组成：

• <BinarySecurityToken> 元素，以序列化的base-64 编码形式携带证书。
• <Signature> 元素，带有签名并且包含对二进制安全令牌的直接引用。

还有其他可能的引用形式。例如，<Signature> 可以包含证书的指纹，在这种情况下，消息中不需要 <BinarySecurityToken>。

创建加密密钥、数字签名或 SAML 断言时，可以指定 referenceOption 参数，该参数控制新创建的元素如何使用凭证中包含的证书（或更具体地说，密钥材料）。

作为参考，此参数可以具有以下任意值。这些值是 %soap.inc 包含文件中定义的宏：

$$$SOAPWSReferenceDirect

该元素包含对二进制安全令牌的直接引用。具体来说，<KeyInfo> 元素由 <SecurityTokenReference>子元素和<Reference> 子元素组成，其中 <SecurityTokenReference> 子元素的 URI 属性是对 <BinarySecurityToken> 的本地引用。要使用此选项，还必须确保将安全令牌添加到 WS-Security 标头；详细信息在相关部分中给出。

$$$SOAPWSReferenceThumbprint

该元素包括 X.509 证书的 SHA-1 指纹。

$$$SOAPWSReferenceKeyIdentifier

该元素包括 X.509 证书的 SubjectKeyIdentifier。

$$$SOAPWSReferenceIssuerSerial

该元素包括一个 <KeyInfo> 元素，该元素带有一个 <SecurityTokenReference> 子元素，该子元素还有一个<X509Data> 子元素，该子元素包含一个 <X509IssuerSerial> 元素。

$$$KeyInfoX509Certificate

该元素包含一个 <KeyInfo> 元素，该元素带有一个 &<X509Data> 子元素，而该子元素又包含一个<X509Certificate> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用途，但可以将其用于<Assertion> 元素。

$$$KeyInfoX509IssuerSerial

该元素包含一个 <KeyInfo> 元素，该元素带有一个<X509Data> 子元素，该子元素包含一个 <X509IssuerSerial>元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用法，但可以将其用于 <Assertion> 元素。

$$$KeyInfoX509SKI

该元素包含一个 <KeyInfo> 元素，该元素带有一个 <X509Data> 子元素，而该子元素又包含一个 <X509SKI> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用于此用途，但可以将其用于 <Assertion> 元素。

$$$KeyInfoX509SubjectName

该元素包含一个 <KeyInfo> 元素，该元素带有一个 <X509Data> 子元素，而该子元素又包含一个 <X509SubjectName> 元素。WS-Security 规范不建议将<Signature> and <EncryptedKey> 元素用作此用途，但可以将其用于<Assertion>元素。

$$$KeyInfoRSAKey

该元素包含一个 <KeyInfo> 元素，该元素带有一个 <KeyValue> 子元素，而该子元素又包含一个 <RSAKeyValue> 元素。WS-Security 规范不建议将 <Signature> and <EncryptedKey> 元素用作此用途，但可以将其用于 <Assertion> 元素。