시작하기 전에
이 태스크를 시작하기 전에, 키 정보 패널의 키 위치 지정자
참조 및 토큰 참조 필드에서 참조되는 키 위치 지정자와 토큰 이용자를
구성하십시오.
이 태스크 정보
이 태스크에서는 애플리케이션 레벨에서 요청 생성기(클라이언트측) 및
응답 생성기(서버측) 바인딩의 키 정보를 구성하기 위한 단계를
제공합니다. 키 정보는 디지털 서명 및 암호화에 필요한 키를 생성하기 위한
구성을 지정하는 데 사용됩니다. 서명 정보 및 암호화 정보 구성은
키 정보를 공유할 수 있습니다. 두 가지 구성을 동일한 레벨에서 정의하는 것은
이 때문입니다.
애플리케이션 레벨에서 생성기 바인딩의 키 정보를 구성하려면
다음 단계를 완료하십시오.
프로시저
- 관리 콘솔에서 키 정보 구성 패널을
찾으십시오.
- 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
- 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을
클릭하십시오.
- 추가 특성 절에서 요청 생성기 및 응답 생성기 바인딩에 대한
키 정보에 액세스할 수 있습니다.
- 요청 생성기(송신기) 바인딩의 경우 웹 서비스: 클라이언트
보안 바인딩을 클릭하십시오. 요청 생성기(송신기) 바인딩에서 사용자
정의 편집을 클릭하십시오.
- 응답 생성기(송신기) 바인딩의 경우 웹 서비스: 서버
보안 바인딩을 클릭하십시오. 응답 생성기(송신기) 바인딩에서 사용자
정의 편집을 클릭하십시오.
- 필수 특성에서 키 정보를 클릭하십시오.
- 새로 작성을 클릭하여 키 정보 구성을 작성한 후
기존 구성 옆에 있는 상자를 선택하고 삭제를 클릭하여
해당 구성을 삭제하십시오. 또는 기존 서명 정보 구성의 이름을 클릭하여
해당 설정을 편집하십시오. 새 구성을 작성하려는 경우, 키 정보 이름 필드에
이름을 입력하십시오. 예를 들어 gen_signkeyinfo를 지정할 수 있습니다.
- 키 정보 유형 필드에서 키 정보 유형을 선택하십시오. 키 정보 유형은 보안 토큰을 참조할 방법을 지정합니다. WebSphere® Application
Server에서는 다음과 같은 키 정보 유형이 지원됩니다.
- 키 ID
- 토큰을 식별하는 오파크 값을 사용하여
보안 토큰을 참조합니다. <KeyIdentifier> 요소 값을 생성하는 데 사용되는 알고리즘은
토큰 유형에 따라 다릅니다. 예를 들어, 중요한 보안 토큰 요소의 해시를 사용하여
<KeyIdentifier> 요소 값을 생성합니다. 아래의 <KeyInfo> 요소는
이 키 정보 유형에 대한 SOAP(Simple Object Access Protocol) 메시지에 생성됩니다.
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<wsse:SecurityTokenReference>
<wsse:KeyIdentifier ValueType="wsse:X509v3">/62wXO...</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 키 이름
- 보안 토큰은 토큰의 ID 어설션과 일치하는 이름을 사용하여
참조됩니다. 이 키 유형을 사용할 경우 지정된 이름과 일치하는
보안 토큰이 여러 개일 수 있으므로 이 키 유형은 사용하지 않는 것이
좋습니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한
SOAP 메시지에 생성됩니다.
<ds:KeyInfo>
<ds:KeyName>CN=Group1</ds:KeyName>
</ds:KeyInfo>
- 보안 토큰 참조
- 보안 토큰은 URI(Universal Resource Identifier)를 사용하여
직접 참조됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한
SOAP 메시지에 생성됩니다.
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="#mytoken" />
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- 임베디드 토큰
- 보안 토큰은 <SecurityTokenReference> 요소에
직접 임베드됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한
SOAP 메시지에 생성됩니다.
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Embedded wsu:Id=”tok1” />
…
</wsse:Embedded>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
- X509 발행자 이름 및 발행자 일련 번호
- 보안 토큰은 X.509 인증의 발행자 이름과 발행자 일련 번호로
참조됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한
SOAP 메시지에 생성됩니다.
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
<ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
각 키 정보 유형에 대한 설명은
웹 서비스 보안 아래의 웹 서비스 보안: SOAP 메시지 보안 1.0(WS-Security 2004) OASIS
표준(http://www.oasis-open.org/home/index.php)에서
찾을 수 있습니다.
- 키 위치 지정자 참조 필드에서 키 위치 지정자 참조를
선택하십시오. 이 참조는 WebSphere Application
Server에서 디지털 서명 및 암호화에 필요한 키를 찾을 때 사용하는 키 위치 지정자를 지정합니다.
키 위치 지정자를 선택하려면 먼저 키 위치 지정자를 구성해야 합니다.
키 위치 지정자 구성에 대한 자세한 정보는 다음 문서를 참조하십시오.
- 키 가져오기를 클릭하여 키 이름 참조의 목록을 표시하십시오. 키 가져오기를 클릭하면 sig_klocator 요소에 정의된 키 이름이
키 이름 참조 메뉴에 표시됩니다. 키 위치 지정자 참조를 변경할 경우
키 가져오기를 다시 클릭하여 새 키 위치 지정자와 연관된 키 이름 목록을
표시해야 합니다.
- 키 이름 참조 필드에서 키 이름 참조를 선택하십시오. 이 참조는 디지털 서명을 생성하고 암호화를 수행할 때 사용되는
키 이름을 지정합니다. 제공되는 키 이름 목록은 키 위치 지정자 참조로 지정된
키 위치 지정자에서 제공됩니다.
- 토큰 참조 필드에서 토큰 참조를 선택하십시오. 이 토큰 참조는 보안 토큰을 처리하는 데 사용되는
토큰 생성기의 이름을 지정합니다. 그러나 키 정보 유형 필드에서
보안 토큰 참조 또는 임베디드 토큰을 선택할 때에만
WebSphere Application Server에서
이 필드에 값을 입력하도록 요구합니다. 토큰 참조를 지정하기 전에
토큰 생성기를 구성해야 합니다. 토큰 생성기 구성에 대한 자세한 정보는
애플리케이션 레벨에서 토큰 생성기 구성을 참조하십시오.
- 옵션: 이 패널에서 키 정보 유형을 키 ID로 선택할 경우, 인코딩 메소드,
계산 메소드, 값 유형 네임스페이스 URI 및 값 유형 로컬 이름을
지정해야 합니다.
- 인코딩 메소드 필드에서 인코딩 메소드를 선택하십시오. 인코딩 메소드는 키 ID의 인코딩 형식을 지정합니다. WebSphere Application
Server에서는 다음 인코딩 방법을 지원합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#HexBinary
- 계산 메소드 필드에서 계산 메소드를 선택하십시오. WebSphere Application
Server에서는 다음 계산 방법을 지원합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#ITSHA1
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#IT60SHA1
- 네임스페이스 URI 필드에 값 유형 네임스페이스
URI(Uniform Resource Identifier)를 지정하십시오. 이 필드에 키 ID에서 참조되는 보안 토큰에 대한 값 유형의
네임스페이스 URI를 지정하십시오. X.509 인증 토큰을 지정하는 경우 이 옵션을
지정할 필요가 없습니다. 다른 토큰을 지정하려는 경우, 값 유형의
규정된 이름(Qname) URI를 지정해야 합니다.
- 값 유형 로컬 이름을 지정하십시오. 이 이름은 키 ID에서 참조되는 보안 토큰에 대한 값 유형의
로컬 이름입니다. 이 로컬 이름을 해당 네임스페이스 URI와 함께
사용하면 값 유형의 규정된 이름 또는 QName이
됩니다.
X.509 인증 토큰을 지정할 경우 사전 정의된
로컬 이름을 사용하는 것이 좋습니다. 사전 정의된 로컬 이름을 지정하면
값 유형의 네임스페이스 URI를 지정할 필요가 없습니다. 그러나
사전 정의된 로컬 이름을 사용하지 않을 경우에는 URI(Uniform Resource Identifier)와
로컬 이름을 둘 다 지정해야 합니다. WebSphere Application
Server에서는 다음과 같은 사전 정의된 로컬 이름을 제공합니다.
- X.509 인증 토큰
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
- PKIPath의 X.509 인증서
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
- PKCS#7의 CRL 및 X509 인증서 목록
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
- LTPA
- http://www.ibm.com/websphere/appserver/tokentype/5.0.2
- 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
결과
애플리케이션 레벨에서 생성기 바인딩의 키 정보를
구성했습니다.
다음에 수행할 작업
이와 유사한 키 정보 구성을 이용자에
지정해야 합니다.