서버 또는 셀 레벨에서 이용자 바인딩의 서명 정보 구성

시작하기 전에

서버측 확장 파일(ibm-webservices-ext.xmi)과 클라이언트측 배치 디스크립터 확장 파일(ibm-webservicesclient-ext.xmi)에 서명할 메시지 파트를 지정해야 합니다. 또한 WebSphere® Application Server 관리 콘솔의 서명 정보 패널에서 키 정보 참조에서 참조되는 키 정보를 구성해야 합니다.

이 태스크 정보

이 태스크에서는 서버 또는 셀 레벨에서 클라이언트측 요청 생성기 및 서버측 응답 생성기 바인딩의 서명 정보를 구성하기 위한 단계를 설명합니다. 이러한 바인딩이 애플리케이션 레벨에 정의되지 않은 경우 WebSphere Application Server는 기본 생성기의 서명 정보를 사용하여 본문, 시간소인, 사용자 이름 토큰을 포함한 메시지 파트에 서명합니다. Application Server는 해당 바인딩의 기본값을 제공합니다. 그러나 프로덕션 환경에서는 이러한 기본값을 수정해야 합니다.

서버 레벨에서 바인딩 파일의 이용자 절에 대한 서명 정보를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. 서버 레벨에 대한 기본 바인딩에 액세스하십시오.
    1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
    2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  2. 기본 이용자 바인딩에서 서명 정보를 클릭하십시오.
  3. 새로 작성을 클릭하여 서명 정보 구성을 작성한 후 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 서명 정보 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 서명 정보 이름 필드에 서명 구성에 지정할 고유 이름을 입력하십시오. 예를 들어 gen_signinfo를 지정할 수 있습니다.
  4. 서명 메소드 필드에서 서명 메소드 알고리즘을 선택하십시오. 기본 이용자에 지정하는 알고리즘은 기본 이용자의 알고리즘과 일치해야 합니다. WebSphere Application Server는 다음과 같은 사전 구성 알고리즘을 지원합니다.
    • http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • http://www.w3.org/2000/09/xmldsig#dsa-sha1
    • http://www.w3.org/2000/09/xmldsig#hmac-sha1
  5. 표준화 메소드 필드에서 표준화 메소드를 선택하십시오. 생성기에 지정하는 표준화 알고리즘은 이용자의 알고리즘과 일치해야 합니다. WebSphere Application Server는 다음과 같은 사전 구성 정규 XML 및 독점 XML 표준화 알고리즘을 지원합니다.
    • http://www.w3.org/2001/10/xml-exc-c14n#
    • http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    • http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
  6. 키 정보 서명 유형 필드에서 키 정보 서명 유형을 선택하십시오. 키 정보 서명 유형은 키의 디지털 서명 방법을 결정합니다. WebSphere Application Server에서는 다음과 같은 서명 유형이 지원됩니다.
    없음
    KeyInfo 요소가 서명되지 않도록 지정합니다.
    Keyinfo
    전체 KeyInfo 요소가 서명되도록 지정합니다.
    Keyinfochildelements
    KeyInfo 요소의 하위 요소가 서명되도록 지정합니다.
    이용자의 키 정보 서명 유형은 생성기의 서명 유형과 일치해야 합니다. 다음과 같은 경우가 발생할 수 있습니다.
    • 위의 서명 유형 중 하나를 지정하지 않으면 WebSphere Application Server가 기본적으로 keyinfo를 사용합니다.
    • Keyinfo 또는 Keyinfochildelements를 선택하고 후속 단계에서 변환 알고리즘으로 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택할 경우 WebSphere Application Server에서 참조된 토큰도 서명합니다.
  7. 확인을 클릭하여 구성을 저장하십시오.
  8. 새 서명 정보 구성의 이름을 클릭하십시오. 이 구성은 이전 단계에서 지정한 구성을 가리킵니다.
  9. 키 정보 참조, 파트 참조, 요약 알고리즘 및 변환 알고리즘을 지정하십시오.
    1. 추가 특성 절에서 키 정보 참조 > 새로 작성을 클릭하여 새 참조를 작성한 후 키 정보 참조 > 삭제를 클릭하여 기존 참조를 삭제하거나, 참조 이름을 클릭하여 기존의 키 정보 참조를 편집하십시오.
    2. 이름 필드에 구성에 지정할 이름을 입력하십시오. 예를 들어 con_skeyinfo를 입력하십시오.
    3. 키 정보 참조 필드에서 키 정보 참조를 선택하십시오. 키 정보 참조는 WebSphere Application Server에서 디지털 서명 시 사용하는 키를 가리킵니다. 이 참조는 바인딩 파일 내의 <signingKeyInfo> 요소에 지정됩니다. 서명에 사용되는 키는 키 정보 요소로 지정되며, 서명 정보와 동일한 레벨에 정의됩니다. 자세한 정보는 애플리케이션 레벨에서 이용자 바인딩의 키 정보 구성을 참조하십시오.
    4. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
    5. 추가 특성 절에서 파트 참조 > 새로 작성을 클릭하여 새 파트 참조를 작성하고 파트 참조 > 삭제를 클릭하여 기존의 파트 참조를 삭제하거나, 파트 이름을 클릭하여 기존의 파트 참조를 편집하십시오. 파트 참조는 디지털 서명할 메시지 파트를 지정합니다. 디지털 서명을 위한 <PartReference>가 지정되면 파트 속성이 배치 디스크립터에서 <RequiredIntegrity> 요소의 이름을 참조합니다. WebSphere Application Server에서는 <SigningInfo> 요소에 <PartReference> 요소를 여러 개 지정할 수 있습니다. <PartReference> 요소는 2개의 하위 요소(<DigestMethod> 및 <Transform>)를 갖습니다.
    6. 이 파트 참조에 지정할 고유한 파트 이름을 지정하십시오. 예를 들어 reqint를 지정할 수 있습니다.
      중요사항: 애플리케이션 레벨의 파트 참조는 서명되는 특정 메시지 파트를 가리키므로, 애플리케이션 레벨의 파트 참조 필드에는 값을 지정하지 않아도 됩니다. 서버 레벨에 대한 기본 바인딩은 특정 서버에서 정의된 모든 서비스에 적용되므로, 이 값을 지정할 수 없습니다.
    7. 요약 메소드 알고리즘 필드에서 요약 메소드 알고리즘을 선택하십시오. 바인딩 파일의 <DigestMethod> 요소에 지정된 요약 메소드 알고리즘은 <SigningInfo> 요소에서 사용됩니다. WebSphere Application Server는 http://www.w3.org/2000/09/xmldsig#sha1 알고리즘을 지원합니다.
    8. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
    9. 새 파트 참조 구성의 이름을 클릭하십시오. 이 구성은 이전 단계에서 지정한 구성을 가리킵니다.
    10. 추가 특성 절에서 변환 > 새로 작성을 클릭하여 새 전송을 작성한 후 변환 > 삭제를 클릭하여 전송을 삭제하거나, 전송 이름을 클릭하여 기존의 전송을 편집하십시오. 새 변환 구성을 작성할 경우 고유한 이름을 지정하십시오. 예를 들어, reqint_body_transform1을 지정할 수 있습니다.
    11. 메뉴에서 변환 알고리즘을 선택하십시오. 변환 알고리즘은 <Transform> 요소에서 지정됩니다. 이 요소는 서명을 위한 변환 알고리즘을 지정합니다. WebSphere Application Server에서는 다음 알고리즘을 지원합니다.
      • http://www.w3.org/2001/10/xml-exc-c14n#
      • http://www.w3.org/TR/1999/REC-xpath-19991116
      • http://www.w3.org/2002/06/xmldsig-filter2
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
      • http://www.w3.org/2002/07/decrypt#XML
      • http://www.w3.org/2000/09/xmldsig#enveloped-signature

      이용자에 사용할 변환 알고리즘은 생성기의 변환 알고리즘과 일치해야 합니다.

      중요사항: 아래의 2가지 조건이 모두 참일 경우 WebSphere Application Server가 참조된 토큰에 서명합니다.
      • 이전 단계에서, 서명 정보 패널의 키 정보 서명 유형 필드에서 Keyinfo 또는 Keyinfochildelements 옵션을 선택했습니다.
      • 변환 알고리즘으로 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택합니다.
  10. 확인을 클릭하십시오.
  11. 패널 상단의 저장을 클릭하여 구성을 저장하십시오.

결과

이 단계를 완료했으면 서버 레벨에서 이용자의 서명 정보를 구성한 것입니다.

다음에 수행할 작업

이와 유사한 서명 정보 구성을 생성기에 지정해야 합니다.

피드백