메시지 보호를 위한 EndorsingToken 및 서버 X509Token 대칭으로서의 클라이언트 X509Token
클라이언트와 서버 X509 인증서는 상호 인증과 메시지 보호를 위해 사용됩니다. X509Token 대칭 보호로, 메시지에 서명하고 암호화하기 위해 일시적 키가 작성됩니다. 일시적 키는 수신자의 공용 인증서를 사용하여 암호화됩니다. 클라이언트 공용 인증서의 지문 표시가 있는 X509Token이 메시지에 포함됩니다. 메시지 서명은 클라이언트의 개인 키를 사용하여 이루어집니다.
이 정책 템플리트는 클라이언트가 X509 클라이언트 인증서와 UsernameToken 둘 다를 사용하여 서비스에 대해 자체를 인증해야 하는 경우에 최상으로 사용됩니다.
다음 정책은 메시지 보호에 대해 EndorsingToken 및 서버 X509Token 대칭으로서의 UsernameToken을
보여줍니다.
<wsp:Policy wsu:Id="X509SymmetricAndEndorsing">
<wsp:ExactlyOne>
<wsp:All>
<sp:SymmetricBinding>
<wsp:Policy>
<sp:ProtectionToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Never">
<wsp:Policy>
<sp:RequireDerivedKeys />
<sp:RequireThumbprintReference />
<sp:WssX509V3Token11 />
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:ProtectionToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<sp:Basic128 />
</wsp:Policy>
</sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Strict />
</wsp:Policy>
</sp:Layout>
<sp:IncludeTimestamp />
<sp:OnlySignEntireHeadersAndBody />
</wsp:Policy>
</sp:SymmetricBinding>
<sp:EncryptedParts>
<sp:Body />
</sp:EncryptedParts>
<sp:SignedParts>
<sp:Body />
</sp:SignedParts>
<sp:EndorsingSupportingTokens xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:RequireThumbprintReference />
<sp:WssX509V3Token11 />
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:EndorsingSupportingTokens>
<sp:Wss11>
<wsp:Policy>
<sp:MustSupportRefKeyIdentifier />
<sp:MustSupportRefIssuerSerial />
<sp:MustSupportRefThumbprint />
<sp:MustSupportRefEncryptedKey />
<sp:RequireSignatureConfirmation />
</wsp:Policy>
</sp:Wss11>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
이 예제에서 사용된 네임스페이스는 다음과 같습니다.
- xmlns:wsp="http://www.w3.org/ns/ws-policy"
- xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
- xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"