이용자 바인딩에 필요한 콜렉션 인증서 저장소 구성

이 태스크 정보

이 태스크에서는 어셈블리 도구를 사용하여 애플리케이션 레벨에서 이용자 바인딩에 필요한 콜렉션 인증서 저장소를 지정하기 위한 단계에 대해 설명합니다. 콜렉션 인증서 저장소는 수신된 SOAP 메시지에 임베드된 X.509 인증서의 유효성을 검증하는 데 사용되는 루트가 아닌 인증 기관(CA) 인증서 및 인증서 폐기 목록(CRL)의 콜렉션입니다. 응답 이용자가 클라이언트에 적합하게 구성되고 요청 이용자가 서버에 적합하게 구성됩니다. 다음 단계 중 2단계에서 클라이언트 측 바인딩을 구성하거나 3단계에서 서버 측 바인딩을 구성해야 합니다.

프로시저

  1. 창 > 퍼스펙티브 열기 > J2EE를 클릭하십시오.
  2. 옵션: 프로젝트 탐색기 창을 사용하여 클라이언트 측 바인딩을 찾으십시오. 클라이언트 배치 디스크립터 창이 표시됩니다. 이 웹 서비스에는 구성해야 하는 바인딩이 포함되어 있습니다. 클라이언트 측 바인딩을 찾으려면 다음 단계를 완료하십시오.
    1. 웹 서비스 > 클라이언트 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
    2. WS 바인딩 탭을 클릭하고 보안 응답 이용자 바인딩 구성 절을 펼치십시오.
  3. 옵션: 프로젝트 탐색기 창을 사용하여 서버 측 바인딩을 찾으십시오. 웹 서비스 편집기 창이 표시됩니다. 이 웹 서비스에는 구성해야 하는 바인딩이 포함되어 있습니다. 서버 측 바인딩을 찾으려면 다음 단계를 완료하십시오.
    1. 웹 서비스 > 서비스 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
    2. 바인딩 구성 탭을 클릭하고 요청 이용자 바인딩 구성 세부사항 절을 펼치십시오.
  4. 인증서 저장소 목록 > 콜렉션 인증서 저장소 절을 펼치고 추가를 클릭하십시오.
  5. 이름 필드에 고유 인증서 저장소 이름을 지정하십시오. 예를 들어, cert1을 지정하십시오. 콜렉션 인증서 저장소의 이름은 콜렉션 인증서 저장소가 정의된 레벨에서 고유해야 합니다. 예를 들면, 애플리케이션에서 이름이 고유해야 합니다. 인증서 저장소 이름 필드에 지정된 이름은 사전 정의된 콜렉션 인증서 저장소를 다른 구성에서 참조하는 데 사용됩니다. WebSphere® Application Server에서는 근접성을 기반으로 콜렉션 인증서 저장소를 검색합니다. 예를 들어, 애플리케이션 바인딩에서 인증서 저장소 cert1을 참조하는 경우 WebSphere Application Server는 제일 먼저 애플리케이션 레벨에서 cert1을 검색합니다. cert1을 찾을 수 없는 경우 서버 레벨에서 검색하고 마지막으로 셀 레벨에서 검색합니다.
  6. 제공자 필드에 인증서 저장소 제공자를 지정하십시오. IBMCertPath 인증서 경로 제공자가 지원됩니다. 다른 인증서 경로 제공자를 사용하려면 SDK(Software Development Kit)의 java.security 파일에서 제공자 목록에 제공자 구현을 정의해야 합니다.
  7. X509 인증서에서 추가를 클릭하여 완전한 경로를 X.509 인증서에 지정하거나, 기존 인증서 경로 항목의 이름을 클릭하여 편집하거나, 제거를 클릭하여 삭제하십시오. 이 콜렉션 인증서 저장소는 수신되는 X.509 형식 보안 토큰의 인증서 경로 유효성을 검증하는 데 사용됩니다.

    USER_INSTALL_ROOT 변수를 경로 이름의 일부로 사용할 수 있습니다. 예를 들어, ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer을 지정할 수 있습니다. 그러나 이 X.509 인증서 경로를 프로덕션용으로 사용하지 마십시오. WebSphere Application Server 환경을 프로덕션에 배치하기 전에 먼저 인증 기관에서 사용자 고유 X.509 인증서를 얻으십시오.

    WebSphere Application Server 관리 콘솔에서 환경 > WebSphere 변수를 클릭하여 USER_INSTALL_ROOT 변수를 구성할 수 있습니다.

  8. CRL에서 추가를 클릭하여 완전한 경로를 인증서 폐기 목록(CRL)에 지정하거나, 기존 CRL 항목을 클릭하여 편집하거나, 제거를 클릭하여 삭제하십시오.

    이식성 때문에 WebSphere Application Server 변수를 사용하여 인증서 폐기 목록에 상대 경로를 지정하는 것이 좋습니다. 예를 들어, USER_INSTALL_ROOT 변수를 사용하여 ${USER_INSTALL_ROOT}/mycertstore/mycrl과 같은 경로를 정의할 수 있습니다. WebSphere Application Server 관리 콘솔에서 지원되는 변수의 목록은 환경 > WebSphere 변수를 클릭하십시오.

    다음 목록은 CRL 사용과 관련된 권장사항을 제공합니다.
    • 콜렉션 인증서 저장소에 CRL을 추가할 경우, 해당되는 루트 인증 기관과 각 잠정 인증에 대한 CRL을 추가하십시오. CRL이 인증서 콜렉션 저장소에 있는 경우 발행자의 CRL에 대해 체인에 있는 모든 인증서의 인증서 폐기 상태를 검사합니다.
    • CRL 파일이 업데이트된 경우, 새 CRL을 적용하려면 웹 서비스 애플리케이션을 다시 시작해야 합니다.
    • CRL 만기 이전에 새 CRL을 인증서 콜렉션 저장소에 로드하여 이전 CRL을 바꿔야 합니다. 콜렉션 인증서 저장소에 있는 만기된 CRL은 인증서 경로(CertPath) 빌드 실패의 원인이 됩니다.
  9. 확인을 클릭하여 구성을 저장하십시오.

피드백