이 태스크 정보
콜렉션 인증서 저장소는 루트가 아닌 인증 기관 인증서와
인증서 폐기 목록(CRL)의 콜렉션입니다. 이 CA 인증서 및 CRL의 콜렉션은
디지털 서명된 SOAP(Simple Object Access Protocol) 메시지에서
유효한 서명을 검사하는 데 사용됩니다. 애플리케이션 레벨에서
이용자 바인딩에 대한 콜렉션 인증서 저장소를 구성하려면
다음 단계를 완료하십시오.
프로시저
- WebSphere® Application Server
관리 콘솔에서 콜렉션 인증서 저장소 구성 패널을
찾으십시오.
- 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을
클릭하십시오.
- 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을
클릭하십시오.
- 추가 특성에서 콜렉션 인증서 저장소를 클릭하십시오.
- 새로 작성을 클릭하여 콜렉션 인증서 저장소 구성을 작성한 후
삭제를 클릭하여 기존 구성을 삭제하거나, 기존 콜렉션 인증서 저장소 구성의
이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 인증서 저장소 이름 필드에
이름을 입력하십시오.
콜렉션 인증서 저장소의 이름은
애플리케이션 서버의 해당 레벨에서 고유해야 합니다. 예를 들어
애플리케이션 레벨의 콜렉션 인증서 저장소를 작성할 경우
저장소 이름은 애플리케이션 레벨에서 고유해야 합니다. 인증서 저장소 이름 필드에 지정한 이름은
다른 구성에서 사전 정의된 콜렉션 인증서 저장소를
참조할 때 사용됩니다.
WebSphere Application Server는 근접성에 기초하여 콜렉션 인증서 저장소를 검색합니다.
예를 들어
애플리케이션 바인딩에서 cert1이라는 콜렉션 인증서 저장소를 참조할 경우,
Application Server는 서버 레벨을 검색하기 전에 먼저 애플리케이션 레벨에서
cert1을 검색합니다.
- 인증서 저장소 제공자 필드에 인증서 저장소 제공자를
지정하십시오. WebSphere Application Server는
IBMCertPath 인증서 저장소 제공자를
지원합니다. 다른 인증서 저장소 제공자를 사용하려면 install_dir/java/jre/lib/security/java.security 파일의
제공자 목록에 제공자 구현을 정의해야 합니다.
단, 사용할 제공자가
WebSphere Application Server와 동일한 인증서 경로 알고리즘의 요구사항을 지원해야 합니다.
- 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
- 인증서 저장소 구성의 이름을 클릭하십시오. 인증서 저장소 제공자를 지정한 후에는
인증서 폐기 목록의 위치나 X.509 인증의 위치 중 하나를
지정해야 합니다. 그러나 인증서 저장소 구성에는
인증서 폐기 목록과 X.509 인증을 둘 다 지정해도
됩니다.
- 추가 특성에서 인증서 폐기 목록을 클릭하십시오.
- 새로 작성을 클릭하여 인증서 폐기 목록 경로를 지정하고
삭제를 클릭하여 기존의 목록 참조를 삭제하거나, 기존 참조의 이름을 클릭하여
경로를 편집하십시오. WebSphere Application Server에서 유효하지 않은 인증서 목록을 찾을 위치는
완전한 경로로 지정해야 합니다. 이식성의 문제로,
WebSphere Application Server 변수를 사용하여
인증서 폐기 목록(CRL)에 대한 상대 경로를 지정하는 것이
좋습니다. 이 권장사항은 특히 WebSphere
Application Server 네트워크 배치 환경에서 작업 중인 경우
중요합니다. 예를 들어 USER_INSTALL_ROOT 변수를
사용하여 경로를 $USER_INSTALL_ROOT/mycertstore/mycrl1로 정의할 수 있습니다. 지원되는
변수 목록을 보려면
WebSphere Application Server 관리
콘솔에서 환경 > WebSphere 변수를
클릭하십시오. 다음 목록은 인증서 폐기 목록 사용 시 참고해야 할
권장사항입니다.
- 콜렉션 인증서 저장소에 CRL을 추가할 경우, 해당되는 루트 인증 기관과
각 잠정 인증에 대한 CRL을 추가하십시오. CRL이 인증서 콜렉션 저장소에 있는 경우 발행자의
CRL에 대해 체인에 있는 모든 인증서의 인증서 폐기 상태를
검사합니다.
- CRL 파일이 업데이트된 경우, 새 CRL을 적용하려면 웹 서비스 애플리케이션을 다시 시작해야 합니다.
- CRL 만기 이전에 새 CRL을 인증서 콜렉션 저장소에 로드하여
이전 CRL을 바꿔야 합니다. 콜렉션 인증서 저장소에 있는 만기된
CRL은 인증서 경로(CertPath) 빌드 실패의 원인이 됩니다.
- 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
- 콜렉션 인증서 저장소 구성 패널로 돌아가십시오. 콜렉션 인증서 저장소 패널을 찾으려면 이 문서의 첫 부분에 있는
일부 단계를 참조하십시오.
- 추가 특성에서 X.509 인증서를 클릭하십시오.
- 새로 작성을 클릭하여 X.509 인증을 새로 구성한 후
삭제를 클릭하여 기존 구성을 삭제하거나, 기존 X.509 인증 구성의
이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 인증서 저장소 이름 필드에
이름을 입력하십시오.
- X.509 인증서 경로 필드에 경로를 지정하십시오. 이 항목은
X.509 인증의 위치를 절대 경로로 지정합니다. 콜렉션 인증서 저장소는
X.509 형식으로 수신되는 보안 토큰의 인증서 경로가 유효한지 검증하는 데
사용됩니다.
USER_INSTALL_ROOT 변수를 사용하여 경로를
입력해도 됩니다. 예를 들어 USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer을
입력할 수 있습니다. 이 인증서 경로를 프로덕션용으로 사용하지 마십시오.
WebSphere Application
Server 환경을 프로덕션 환경에 배치하기 전에 고유한 X.509 인증을 인증 기관에서
획득해야 합니다.
WebSphere Application
Server 관리 콘솔에서 환경 > WebSphere 변수를 클릭하여
USER_INSTALL_ROOT 변수를 구성하십시오.
- 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
결과
이용자 바인딩에 대한 콜렉션 인증서 저장소를
구성했습니다.
다음에 수행할 작업
이 인증서 저장소 구성을 참조하는 토큰 이용자 구성을
구성해야 합니다.