시작하기 전에
이 문서에서는 애플리케이션 레벨에서 생성기 바인딩에 필요한
신뢰 앵커를 구성하는 방법에 대해 설명합니다. 서버 또는 셀 레벨에서 신뢰
앵커를 구성하는 방법을 설명하지 않습니다. 애플리케이션 레벨에서 정의된
신뢰 앵커는 서버 또는 셀 레벨에서 정의된 신뢰 앵커보다 우선순위가
높습니다. 서버 또는 셀 레벨에서 신뢰 앵커를 작성하고 구성하는 작업에 대한
자세한 정보는 서버 또는 셀 레벨에서 신뢰 앵커 구성을 참조하십시오.
Application Server Toolkit 또는
WebSphere® Application Server 관리 콘솔을 사용하여 애플리케이션 레벨
신뢰 앵커의 신뢰 앵커를 구성할 수 있습니다. 이 문서에서는 관리 콘솔을 사용하여
애플리케이션 레벨 신뢰 앵커를 구성하는 방법에 대해 설명합니다.
이 태스크 정보
신뢰 앵커는 서명자 인증서의 유효성을 검증하는 신뢰할 수 있는
루트 인증서가 포함된 키 저장소를 지정합니다. 요청 생성기 및 응답 생성기(웹 서비스가 클라이언트 역할을 하는 경우)에서
이러한 키 저장소를 사용하여 디지털 서명에 필요한 서명자 인증서를 생성합니다. 키 저장소는 디지털 서명 유효성 검증의 무결성에 매우 중요합니다.
키 저장소가 변경되는 경우 디지털 서명 검증의 결과를 신뢰할 수
없으며 훼손됩니다. 따라서 이러한 키 저장소에 보안을 설정하는 것이
좋습니다. 요청 생성기에 지정된 바인딩 구성은
응답 생성기의 바인딩 구성과 일치해야 합니다.
클라이언트의
요청 생성기에 대한 신뢰 앵커 구성은 서버의 요청 이용자에 대한
구성과 일치해야 합니다. 또한 서버의 응답 생성기에 대한
신뢰 앵커 구성은 클라이언트의 응답 이용자에 대한 구성과
일치해야 합니다.
애플리케이션 레벨에서
생성기 바인딩에 필요한 신뢰 앵커를 구성하려면 다음 단계를 완료하십시오.
프로시저
- WebSphere Application Server 관리 콘솔에서 신뢰 앵커 패널을
찾으십시오.
- 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
- 관련 항목에서, EJB 모듈 또는 웹 모듈
> URI_name을 클릭하십시오.
- 추가 특성에서 다음 바인딩에 필요한 신뢰 앵커
구성에 액세스할 수 있습니다.
- 요청 생성기(송신기) 바인딩의 경우 웹 서비스: 클라이언트 보안
바인딩을 클릭하십시오. 요청 생성기(송신기) 바인딩에서 사용자 정의
편집을 클릭하십시오.
- 응답 생성기(송신기) 바인딩의 경우 웹 서비스: 서버 보안
바인딩을 클릭하십시오. 응답 생성기(송신기) 바인딩에서 사용자 정의
편집을 클릭하십시오.
- 추가 특성에서 신뢰 앵커를 클릭하십시오.
- 새로 작성을 클릭하여 신뢰 앵커 구성을 작성하거나, 삭제를 클릭하여
기존 구성을 삭제하거나, 기존 신뢰 앵커 구성의 이름을 클릭하여
구성 설정을 편집하십시오. 새 구성을 작성할 경우
신뢰 앵커 이름 필드에 고유 이름을 입력하십시오.
- 키 저장소 비밀번호, 키 저장소 위치 및 키 저장소 유형을
지정하십시오. 키 저장소 파일에는 공개 키 및 개인 키, 루트 인증 기관(CA)
인증서, 중개 CA 인증서 등이 들어 있습니다. 키 저장소에서
검색한 키는 메시지 또는 메시지 일부를 암호화 및 복호화하거나 서명하고
유효성을 검증하는 데 사용됩니다. 키 위치 지정자 클래스 구현으로
com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 구현을 지정한 경우,
키 저장소의 비밀번호, 위치, 유형을 지정해야 합니다.
- 키 저장소 비밀번호 필드에 비밀번호를 지정하십시오. 이 비밀번호는
키 저장소 파일에 액세스하는 데 사용됩니다.
- 키 저장소 경로 필드에 키 저장소 파일의 위치를
지정하십시오.
- 키 저장소 유형 필드에서 키 저장소 유형을 선택하십시오. IBM®에서 사용하는 JCE(Java™ Cryptography Extension)는
다음 키 저장소 유형을 지원합니다.
- JKS
- JCE(Java Cryptography Extensions)를 사용하지 않고
키 저장소 파일이 JKS(Java Keystore) 형식을 사용하는 경우 이 옵션을 사용하십시오.
- JCEKS
- JCE(Java Cryptography Extensions)를 사용할 경우 이 옵션을 사용하십시오.
- PKCS11KS(PKCS11)
- 키 저장소에서 PKCS#11 파일 형식을 사용하는 경우 이 형식을 사용하십시오. 이 형식을
사용하는 키 저장소는 암호화 하드웨어에 대한 RSA 키를 포함하고 있거나
암호화 하드웨어를 사용하는 키를 암호화하여 확실히 보호할 수 있도록 합니다.
- PKCS12KS(PKCS12)
- 키 저장소에서 PKCS#12 파일 형식을 사용하는 경우 이 옵션을 사용하십시오.
WebSphere Application Server의
${USER_INSTALL_ROOT}/etc/ws-security/samples 디렉토리에는 샘플 키 저장소 파일이 포함되어 있습니다.
예를 들어
enc-receiver.jceks 키 저장소 파일을 암호화 키에
사용할 수 있습니다. 이 파일의 비밀번호는 Storepass이며 유형은 JCEKS입니다.
주의: 프로덕션 환경에서는 이러한 키 저장소 파일을
사용하지 마십시오. 이러한 샘플은 테스트용으로만 제공됩니다.
결과
이 태스크에서는 애플리케이션 레벨에서 생성기 바인딩에 필요한 신뢰
앵커를 구성합니다.
다음에 수행할 작업
이용자에 대해 이와 비슷한 신뢰 앵커 구성을 지정해야 합니다.