애플리케이션 레벨에서 이용자 바인딩의 키 정보 구성

시작하기 전에

키 정보 패널의 키 위치 지정자 참조 및 토큰 참조 필드에서 참조되는 키 위치 지정자와 토큰 이용자를 구성하십시오.

이 태스크 정보

이 태스크에서는 애플리케이션 레벨에서 요청 이용자(서버측) 및 응답 이용자(클라이언트측) 바인딩의 키 정보를 구성하기 위한 단계를 제공합니다. 이용자측 키 정보는 수신된 메시지의 디지털 서명이 유효한지 검증하거나, 암호화된 메시지 파트를 복호화할 때 사용되는 키 정보를 지정하는 데 사용됩니다. 애플리케이션 레벨에서 이용자 바인딩의 키 정보를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. 관리 콘솔에서 키 정보 구성 패널을 찾으십시오.
    1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
    2. 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
    3. 추가 특성 절에서 요청 이용자 및 응답 이용자 바인딩에 대한 키 정보에 액세스할 수 있습니다.
      • 요청 이용자(수신기) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
      • 응답 이용자(수신기) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
    4. 필수 특성에서 키 정보를 클릭하십시오.
    5. 새로 작성을 클릭하여 키 정보 구성을 작성한 후 삭제를 클릭하고 기존 구성 옆의 상자를 선택하여 기존 구성을 삭제하거나, 기존 키 정보 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 키 정보 이름 필드에 이름을 입력하십시오. 예를 들어 con_signkeyinfo를 지정할 수 있습니다.
  2. 키 정보 유형 필드에서 키 정보 유형을 선택하십시오. 키 정보 유형은 <ds:KeyInfo> 요소에 포함된 <wsse:SecurityTokenReference> 요소를 사용하여 보안 토큰을 참조하는 다양한 메커니즘을 지정합니다. WebSphere® Application Server에서는 다음과 같은 키 정보 유형이 지원됩니다.
    키 ID
    토큰을 식별하는 오파크 값을 사용하여 보안 토큰을 참조합니다. <KeyIdentifier> 요소 값을 생성하는 데 사용되는 알고리즘은 토큰 유형에 따라 다릅니다. 예를 들어 다음에 정의된 공개 키 ID를 사용할 수 있습니다: IETF(Internet Engineering Task Force) RFC(Request for Comment) 3280 . 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한 SOAP(Simple Object Access Protocol) 메시지에 생성됩니다.
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
       <wsse:SecurityTokenReference>
          <wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/2004/01
          /oasis-200401-wss-x509-token-profile-1.0#X509v3SubjectKeyIdentifier">/62wXO...
          </wsse:KeyIdentifier>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    키 이름
    보안 토큰은 토큰의 ID 어설션과 일치하는 이름을 사용하여 참조됩니다. 이 키 유형을 사용할 경우 지정된 이름과 일치하는 보안 토큰이 여러 개일 수 있으므로 이 키 유형은 사용하지 않는 것이 좋습니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한 SOAP 메시지에 생성됩니다.
    <ds:KeyInfo>
       <ds:KeyName>CN=Group1</ds:KeyName>
    </ds:KeyInfo>

    일반적으로 http://www.w3.org/2000/09/xmldsig#hmac-sha1과 같은 HMAC(Key-Hashing Message Authentication Code) 디지털 서명 알고리즘을 사용할 때는 키 이름을 사용하십시오.

    보안 토큰 참조
    보안 토큰은 URI(Universal Resource Identifier)를 사용하여 직접 참조됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한 SOAP 메시지에 생성됩니다.
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Reference URI='#SomeCert'
           ValueType="http://docs.oasis-open.org/wss/2004/01/
              oasis-200401-wss-x509-token-profile-1.0#X509v3" />
       </wsse:SecurityTokenReference>
    </ds:KeyInfo> 
    주의: Web services Interoperability Organization (WS-I) Basic Security Profile Version 1 draft 와 앞의 예제에 설명된 것과 같이 SECURE_ENVELOPE의 wsse:Reference 요소는 ValueType 속성을 가져야 합니다.
    임베디드 토큰
    보안 토큰은 <SecurityTokenReference> 요소에 직접 임베드됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한 SOAP 메시지에 생성됩니다.
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
          <wsse:Embedded wsu:Id=”tok1” />
             …
          </wsse:Embedded>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    X509 발행자 이름 및 발행자 일련 번호
    보안 토큰은 X.509 인증의 발행자 이름과 발행자 일련 번호로 참조됩니다. 아래의 <KeyInfo> 요소는 이 키 정보 유형에 대한 SOAP 메시지에 생성됩니다.
    <ds:KeyInfo>
       <wsse:SecurityTokenReference>
         <ds:X509Data>
            <ds:X509IssuerSerial>
               <ds:X509IssuerName>CN=Jones, O=IBM, C=US</ds:X509IssuerName>
               <ds:X509SerialNumber>1040152879</ds:X509SerialNumber>
            </ds:X509IssuerSerial>
         </ds:X509Data>
       </wsse:SecurityTokenReference>
    </ds:KeyInfo>
    각 키 정보 유형에 대한 설명은 웹 서비스 보안 아래의 웹 서비스 보안: SOAP 메시지 보안 1.0(WS-Security 2004) OASIS 표준(http://www.oasis-open.org/home/index.php)에서 찾을 수 있습니다.
  3. 키 위치 지정자 참조 필드에서 키 위치 지정자 참조를 선택하십시오. 이 필드의 값은 WebSphere Application Server에서 디지털 서명 및 암호화에 필요한 키를 찾을 때 사용하는 키 위치 지정자에 대한 참조입니다. 키 위치 지정자를 선택하려면 먼저 키 위치 지정자를 구성해야 합니다. 키 위치 지정자 구성에 대한 자세한 정보는 애플리케이션 레벨에서 이용자 바인딩의 키 위치 지정자 구성을 참조하십시오.
  4. 토큰 참조 필드에서 토큰 참조를 선택하십시오. 토큰 참조는 메시지에 포함된 보안 토큰을 처리하는 데 사용되는 토큰 이용자에 대한 참조를 지정합니다. 그러나 키 정보 유형 필드에서 보안 토큰 참조 또는 임베디드 토큰을 선택할 때에만 WebSphere Application Server에서 이 필드에 값을 입력하도록 요구합니다. 토큰 참조를 지정하기 전에 토큰 이용자를 구성해야 합니다. 토큰 이용자 구성에 대한 자세한 정보는 애플리케이션 레벨에서 토큰 이용자 구성을 참조하십시오.

    이 키 정보 구성에 토큰 이용자가 필요 없을 경우 (없음)을 선택하십시오.

  5. 확인, 저장을 차례로 클릭하여 이 구성을 저장하십시오.

결과

애플리케이션 레벨에서 생성기 바인딩의 키 정보를 구성했습니다.

다음에 수행할 작업

생성기 바인딩의 키 정보를 구성하지 않은 경우, 이와 유사한 키 정보 구성을 생성기에 지정해야 합니다. 이용자와 생성기에 키 정보를 모두 구성한 후, 이 키 정보 태스크에서 지정한 키 정보를 참조하는 서명 정보 또는 암호화 정보를 구성하십시오.

피드백