기본 웹 서비스 보안 구성

WebSphere® Application Server 버전 6에는 WebSphere Application Server 관리 콘솔을 통해 구성할 수 있는 다양한 샘플 구성이 포함되어 있습니다. 지정한 구성은 셀 또는 서버 레벨에 반영됩니다. 이러한 구성은 테스트 전용 샘플이므로 프로덕션 환경에서는 사용하지 마십시오. 이러한 샘플 구성을 수정할 때는 WebSphere Application Server에 포함된 관리 콘솔을 사용하는 것이 좋습니다.

웹 서비스 보안 사용 애플리케이션의 경우, 배치 디스크립터와 바인딩을 올바르게 구성해야 합니다. WebSphere Application Server 버전 6에서는 애플리케이션 배치를 용이하게 하기 위해 여러 애플리케이션이 하나에 대한 기본 바인딩 세트를 공유합니다. 서버 레벨에 대한 기본 바인딩 정보는 애플리케이션 레벨의 바인딩 정보로 대체될 수 있습니다. Application Server는 서버 레벨에서 애플리케이션의 바인딩 정보를 검색하기 전에 애플리케이션 레벨을 먼저 검색합니다.

이 문서에서는 샘플 기본 바인딩, 키 저장소, 키 위치 지정자, 콜렉션 인증서 저장소, 신뢰 앵커 및 신뢰할 수 있는 ID 평가자에 대한 정보를 제공합니다.

기본 생성기 바인딩

WebSphere Application Server 버전 6에는 기본 생성기 바인딩 세트의 샘플이 포함되어 있습니다. 기본 생성기 바인딩은 서명 정보와 암호화 정보를 모두 포함합니다.

샘플 서명 정보 구성을 gen_signinfo라고 하며, 다음과 같은 구성을 포함합니다.
  • gen_signinfo 구성에 다음 알고리즘을 사용합니다.
    • 서명 메소드: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 표준화 메소드: http://www.w3.org/2001/10/xml-exc-c14n#
  • gen_signkeyinfo 서명 키 정보를 참조합니다. 다음은 gen_signkeyinfo 구성에 대한 설명입니다.
    • 파트 참조 구성(gen_signpart라고 함)을 포함합니다. 파트 참조는 기본 바인딩에서 사용되지 않습니다. 서명 정보는 배치 디스크립터에 포함된 모든 무결성 또는 필수 무결성 요소에 적용되며, 이름 지정 용도로만 사용됩니다. 다음은 gen_signpart 구성에 대한 설명입니다.
      • transform1이라는 변환 구성을 사용합니다. 기본 서명 정보에는 다음과 같은 변환이 구성됩니다.
        • http://www.w3.org/2001/10/xml-exc-c14n# 알고리즘을 사용합니다.
        • http://www.w3.org/2000/09/xmldsig#sha1 요약 메소드를 사용합니다.
    • 보안 토큰 참조를 사용합니다. 보안 토큰 참조는 구성된 기본 키 정보입니다.
    • SampleGeneratorSignatureKeyStoreKeyLocator 키 위치 지정자를 사용합니다. 이 키 위치 지정자에 대한 자세한 정보는 샘플 키 위치 지정자를 참조하십시오.
    • gen_signtgen 토큰 생성기를 사용합니다. 이 토큰 생성기는 다음과 같은 구성을 포함합니다.
      • 서명자의 X.509 토큰을 생성하는 X.509 토큰 생성기를 포함합니다.
      • gen_signtgen_vtype 값 유형 URI를 포함합니다.
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 값 유형 로컬 이름 값을 포함합니다.
    • X.509 콜백 핸들러를 사용합니다. 이 콜백 핸들러는 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 키 저장소를 호출합니다.
      • 키 저장소 비밀번호는 client입니다.
      • 신뢰 인증의 별명은 soapca입니다.
      • 개인 인증의 별명은 soaprequester입니다.
      • 키 비밀번호 클라이언트는 중간 인증 기관인 Int CA2에서 발행되며 soapca를 통해 차례로 발행됩니다.
샘플 암호화 정보 구성을 gen_encinfo라고 하며, 다음과 같은 구성을 포함합니다.
  • gen_encinfo 구성에 다음 알고리즘을 사용합니다.
    • 데이터 암호화 메소드: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 키 암호화 메소드: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • gen_enckeyinfo 암호화 키 정보를 참조합니다. 다음은 gen_enckeyinfo 구성에 대한 설명입니다.
    • 키 ID를 기본 키 정보로 사용합니다.
    • SampleGeneratorEncryptionKeyStoreKeyLocator 키 위치 지정자에 대한 참조를 포함합니다. 이 키 위치 지정자에 대한 자세한 정보는 샘플 키 위치 지정자를 참조하십시오.
    • gen_signtgen 토큰 생성기를 사용합니다. 이 토큰 생성기는 다음 구성을 포함합니다.
      • 서명자의 X.509 토큰을 생성하는 X.509 토큰 생성기를 포함합니다.
      • gen_enctgen_vtype 값 유형 URI를 포함합니다.
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 값 유형 로컬 이름 값을 포함합니다.
    • X.509 콜백 핸들러를 사용합니다. 이 콜백 핸들러는 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 키 저장소를 호출합니다.
      • 키 저장소 비밀번호는 storepass입니다.
      • 비밀 키 CN=Group1의 별명은 Group1이며 키 비밀번호는 keypass입니다.
      • 공개 키 CN=Bob, O=IBM, C=US의 별명은 bob이며 키 비밀번호는 keypass입니다.
      • 개인 키 CN=Alice, O=IBM, C=US의 별명은 alice이며 키 비밀번호는 keypass입니다.

기본 이용자 바인딩

WebSphere Application Server 버전 6에는 기본 이용자 바인딩 세트의 샘플이 포함되어 있습니다. 기본 이용자 바인딩은 서명 정보와 암호화 정보를 모두 포함합니다.

샘플 서명 정보 구성을 con_signinfo라고 하며, 다음과 같은 구성을 포함합니다.
  • gen_signinfo 구성에 다음 알고리즘을 사용합니다.
    • 서명 메소드: http://www.w3.org/2000/09/xmldsig#rsa-sha1
    • 표준화 메소드: http://www.w3.org/2001/10/xml-exc-c14n#
  • con_signkeyinfo 서명 키 정보 참조를 사용합니다. 다음은 con_signkeyinfo 구성에 대한 설명입니다.
    • 파트 참조 구성(con_signpart라고 함)을 포함합니다. 파트 참조는 기본 바인딩에서 사용되지 않습니다. 서명 정보는 배치 디스크립터에 포함된 모든 무결성 또는 필수 무결성 요소에 적용되며, 이름 지정 용도로만 사용됩니다. 다음은 con_signpart 구성에 대한 설명입니다.
      • reqint_body_transform1이라는 변환 구성을 사용합니다. 기본 서명 정보에는 다음과 같은 변환이 구성됩니다.
        • http://www.w3.org/2001/10/xml-exc-c14n# 알고리즘을 사용합니다.
        • http://www.w3.org/2000/09/xmldsig#sha1 요약 메소드를 사용합니다.
    • 보안 토큰 참조를 사용합니다. 보안 토큰 참조는 구성된 기본 키 정보입니다.
    • SampleX509TokenKeyLocator 키 위치 지정자를 사용합니다. 이 키 위치 지정자에 대한 자세한 정보는 샘플 키 위치 지정자를 참조하십시오.
    • con_signtcon 토큰 이용자 구성을 참조합니다. 다음은 con_signtcon 구성에 대한 설명입니다.
      • 기본 서명 정보의 이용자로 구성된 X.509 토큰 이용자를 사용합니다.
      • signtconsumer_vtype 값 유형 URI를 포함합니다.
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 값 유형 로컬 이름 값을 포함합니다.
    • 다음 정보를 참조하는 system.wssecurity.X509BST라는 JAAS 구성을 포함합니다.
      • 신뢰 앵커: SampleClientTrustAnchor
      • 콜렉션 인증서 저장소: SampleCollectionCertStore
암호화 정보 구성을 con_encinfo라고 하며, 다음과 같은 구성을 포함합니다.
  • con_encinfo 구성에 다음 알고리즘을 사용합니다.
    • 데이터 암호화 메소드: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • 키 암호화 메소드: http://www.w3.org/2001/04/xmlenc#rsa-1_5
  • con_enckeyinfo 암호화 키 정보를 참조합니다. 이 키는 실제로 메시지를 복호화합니다. 다음은 con_enckeyinfo 구성에 대한 설명입니다.
    • 기본 암호화 정보의 키 정보로 구성된 키 ID를 사용합니다.
    • SampleConsumerEncryptionKeyStoreKeyLocator 키 위치 지정자에 대한 참조를 포함합니다. 이 키 위치 지정자에 대한 자세한 정보는 샘플 키 위치 지정자를 참조하십시오.
    • con_enctcon 토큰 이용자 구성을 참조합니다. 다음은 con_enctcon 구성에 대한 설명입니다.
      • 기본 암호화 정보에 구성된 X.509 토큰 이용자를 사용합니다.
      • enctconsumer_vtype 값 유형 URI를 포함합니다.
      • http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 값 유형 로컬 이름 값을 포함합니다.
    • system.wssecurity.X509BST라는 JAAS 구성을 포함합니다.

샘플 키 저장소 구성

WebSphere Application Server에는 다음과 같은 키 저장소가 포함되어 있습니다. iKeyman 유틸리티 또는 키 도구를 사용하면 Application Server 외부에서 이러한 키 저장소를 사용할 수 있습니다.

iKeyman 유틸리티는 다음 디렉토리에 있습니다.
  • Windows: install_dir\bin\ikeyman
  • Unix: install_dir/bin/ikeyman.sh
키 도구는 다음 디렉토리에 있습니다.
  • Windows: install_dir\java\jre\bin\keytool
  • Unix: install_dir/java/jre/bin/keytool.sh
다음 샘플 키 저장소는 테스트 전용이므로 프로덕션 환경에서 사용하지 마십시오.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
    • 키 저장소 형식은 JKS입니다.
    • 키 저장소 비밀번호는 client입니다.
    • 신뢰 인증의 별명은 soapca입니다.
    • 개인 인증의 별명은 soaprequester이고 키 비밀번호는 client입니다. 키 비밀번호는 Int CA2 중간 인증 기관에서 발행되며 soapca를 통해 차례로 발행됩니다.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
    • 키 저장소 형식은 JKS입니다.
    • 키 저장소 비밀번호는 server입니다.
    • 신뢰 인증의 별명은 soapca입니다.
    • 개인 인증의 별명은 soapprovider이고 키 비밀번호는 server입니다. 키 비밀번호는 Int CA2 중간 인증 기관에서 발행되며 soapca를 통해 차례로 발행됩니다.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
    • 키 저장소 형식은 JCEKS입니다.
    • 키 저장소 비밀번호는 storepass입니다.
    • CN=Group1 DES 비밀 키의 별명은 Group1이며 키 비밀번호는 keypass입니다.
    • CN=Bob, O=IBM, C=US 공개 키의 별명은 bob이며 키 비밀번호는 keypass입니다.
    • CN=Alice, O=IBM, C=US 개인 키의 별명은 alice이며 키 비밀번호는 keypass입니다.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
    • 키 저장소 형식은 JCEKS입니다.
    • 키 저장소 비밀번호는 storepass입니다.
    • CN=Group1 DES 비밀 키의 별명은 Group1이며 키 비밀번호는 keypass입니다.
    • CN=Bob, O=IBM, C=US 개인 키의 별명은 bob이며 키 비밀번호는 keypass입니다.
    • CN=Alice, O=IBM, C=US 공개 키의 별명은 alice이며 키 비밀번호는 keypass입니다.
  • ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
    • 잠정 인증은 soapca에 의해 서명되며, 이는 soaprequestersoapprovider를 모두 서명합니다.

샘플 키 위치 지정자

키 위치 지정자

키 위치 지정자는 디지털 서명, 암호화 및 복호화를 위한 키를 찾을 때 사용됩니다. 이러한 샘플 키 위치 지정자 구성을 수정하는 방법은 다음 문서를 참조하십시오.
SampleGeneratorSignatureKeyStoreKeyLocator
이 키 위치 지정자는 생성기에서 SOAP 메시지에 서명하는 데 사용됩니다. 서명 키 이름은 SOAPRequester로, 서명 정보에서 서명 키 이름으로 참조됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 키 저장소와 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 키 위치 지정자를 사용하도록 구성됩니다.
SampleConsumerSignatureKeyStoreKeyLocator
이 키 위치 지정자는 이용자가 SOAP 메시지에 입력된 디지털 서명을 확인하는 데 사용됩니다. 서명 키는 SOAPProvider로, 서명 정보에서 서명 키 이름으로 참조됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 키 저장소와 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 키 위치 지정자를 사용하도록 구성됩니다.
SampleGeneratorEncryptionKeyStoreKeyLocator
이 키 위치 지정자는 생성기에서 SOAP 메시지를 암호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 키 저장소와 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 키 위치 지정자를 사용하도록 구성됩니다.
SampleConsumerEncryptionKeyStoreKeyLocator
이 키 위치 지정자는 이용자가 암호화된 SOAP 메시지를 복호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소와 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 키 위치 지정자를 사용하도록 구성됩니다.
SampleX509TokenKeyLocator
이 키 위치 지정자는 이용자가 X.509 인증의 디지털 인증을 확인하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소와 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 키 위치 지정자를 사용하도록 구성됩니다.

샘플 콜렉션 인증서 저장소

콜렉션 인증서 저장소는 인증서 경로를 검증하는 데 사용됩니다. 이러한 샘플 콜렉션 인증서 저장소를 수정하는 방법은 다음 문서를 참조하십시오.
SampleCollectionCertStore
이 콜렉션 인증서 저장소는 응답 이용자 및 요청 생성기에서 서명자 인증서 경로의 유효성을 검증하는 데 사용됩니다.

샘플 신뢰 앵커

신뢰 앵커는 서명자 인증의 신뢰를 검증하는 데 사용됩니다. 샘플 신뢰 앵커 구성을 수정하는 방법은 다음 문서를 참조하십시오.

샘플 신뢰할 수 있는 ID 평가자

신뢰할 수 있는 ID 평가자는 ID 어설션에서 ID를 어설션하기 전에 신뢰를 설정하는 데 사용됩니다. 샘플 신뢰할 수 있는 ID 평가자 구성을 수정하는 방법은 서버 또는 셀 레벨에서 신뢰할 수 있는 ID 평가자 구성을 참조하십시오.
SampleTrustedIDEvaluator
이 신뢰할 수 있는 ID 평가자는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 구현을 사용합니다. com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator의 기본 구현은 신뢰 ID 목록을 포함합니다. 이 목록은 trustedId_* 키와 신뢰 ID의 값을 포함하는 특성으로 정의됩니다.
이 정보를 서버 레벨에 정의하려면 WebSphere Application Server 관리 콘솔에서 다음 단계를 완료하십시오.
  1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
  2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  3. 추가 특성 절에서 신뢰할 수 있는 ID 평가자 > SampleTrustedIDEvaluator를 클릭하십시오.

피드백