JAX-RPC의 기본 샘플 구성
테스트용으로 관리 콘솔과 함께 샘플 구성을 사용합니다. 지정한 구성이 셀 또는 서버 레벨에 반영됩니다.
다음 정보는 JAX-RPC(API for XML-based RPC) 프로그래밍 모델을 사용하는 WebSphere® Application Server의 샘플 기본 바인딩, 키 저장소, Key Locator, 콜렉션 인증 저장소, 트러스트 앵커 및 신뢰 ID 평가자에 대해 설명합니다. JAX-RPC(Java™ API for XML-based RPC) 프로그래밍 모델 또는 WebSphere Application Server 버전 7 이상의 경우에는 JAX-WS(Java API for XML-Based Web Services) 프로그래밍 모델을 사용하여 웹 서비스를 개발할 수 있습니다. 샘플 기본 바인딩, 키 저장소, Key Locator, 콜렉션 인증 저장소, 트러스트 앵커 및 신뢰 ID 평가자는 사용하는 프로그래밍 모델에 따라 다를 수도 있습니다.

이러한 구성은 샘플 및 테스트 전용이므로 생산 환경에서는 사용하지 마십시오. 이러한 샘플 구성을 수정하는 데 WebSphere Application Server에서 제공하는 관리 콘솔을 사용하도록 권장합니다.
웹 서비스 보안 사용 애플리케이션의 경우, 배치 디스크립터 및 바인딩을 올바르게 구성해야 합니다. WebSphere Application Server에서는 애플리케이션이 하나의 기본 바인딩 세트를 공유하여 애플리케이션 배치를 보다 용이하게 합니다. 셀 레벨 및 서버 레벨의 기본 바인딩 정보는 애플리케이션 레벨의 바인딩 정보로 겹쳐쓰기될 수 있습니다. Application Server가 서버 레벨 다음 셀 레벨을 검색하기 전에 애플리케이션 레벨에서 애플리케이션의 바인딩 정보를 검색합니다.
다음 샘플 구성은 JAX-RPC(API for XML-based RPC) 프로그래밍 모델을 사용하는 WebSphere Application Server용입니다.
기본 생성기 바인딩
WebSphere Application Server는 기본 생성자 바인딩의 샘플 세트를 제공합니다. 기본 생성자 바인딩에는 서명 정보와 암호화 정보가 모두 포함됩니다.
- gen_signinfo 구성에 대해 다음 알고리즘을 사용하십시오.
- 서명 메소드: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- 정규 메소드: http://www.w3.org/2001/10/xml-exc-c14n#
- gen_signkeyinfo 서명 키 정보를 참조합니다. 다음 정보는
gen_signkeyinfo 구성에 속합니다.
- gen_signpart라는 파트 참조 구성을 포함합니다.
파트 참조가 기본 바인딩에 사용되지 않습니다. 서명 정보가 배치 디스크립터의
모든 무결성 또는 필수 무결성 요소에 적용되며 해당 정보는 네이밍 전용으로
사용됩니다. 다음 정보는 gen_signpart 구성에 속합니다.
- transform1 변환 구성을 사용하십시오. 다음 변환은 기본 서명 정보에 대해 구성됩니다.
- http://www.w3.org/2001/10/xml-exc-c14n# 알고리즘을 사용하십시오.
- http://www.w3.org/2000/09/xmldsig#sha1 요약 메소드를 사용하십시오.
- transform1 변환 구성을 사용하십시오. 다음 변환은 기본 서명 정보에 대해 구성됩니다.
- 구성된 기본 키 정보인 보안 토큰 참조를 사용합니다.
- SampleGeneratorSignatureKeyStoreKeyLocator Key Locator를 사용하십시오. Key Locator에 대한 자세한 정보는 샘플 Key Locator의 내용을 참조하십시오.
- 다음 구성을 포함하는 gen_signtgen 토큰 생성자를 사용하십시오.
- 서명자의 X.509 토큰을 생성하는 X.509 토큰 생성자를 포함합니다.
- gen_signtgen_vtype 값 유형 URI를 포함합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 값 유형 로컬 이름 값을 포함합니다.
- X.509 콜백 핸들러를 사용하십시오. 콜백 핸들러는 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
키 저장소를 호출합니다.
- 키 저장소 비밀번호는 client입니다.
- 신뢰 인증의 별명은 soapca입니다.
- 개인 인증서의 별명은 soaprequester입니다.
- 키 비밀번호 클라이언트는 soapca에 의해 발행된 중개 CA(Certificate Authority) Int CA2에 의해 발행되었습니다.
- gen_signpart라는 파트 참조 구성을 포함합니다.
파트 참조가 기본 바인딩에 사용되지 않습니다. 서명 정보가 배치 디스크립터의
모든 무결성 또는 필수 무결성 요소에 적용되며 해당 정보는 네이밍 전용으로
사용됩니다. 다음 정보는 gen_signpart 구성에 속합니다.
- gen_encinfo 구성에 대해 다음 알고리즘을 사용하십시오.
- 데이터 암호화 메소드: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- 키 암호화 메소드: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- gen_enckeyinfo 암호화 키 정보를 참조합니다. 다음 정보는
gen_enckeyinfo 구성에 속합니다.
- 기본 키 정보로서 키 ID를 사용하십시오.
- SampleGeneratorEncryptionKeyStoreKeyLocator Key Locator에 대한 참조를 포함합니다. Key Locator에 대한 자세한 정보는 샘플 Key Locator의 내용을 참조하십시오.
- 다음 구성을 포함하는 gen_signtgen 토큰 생성자를 사용하십시오.
- 서명자의 X.509 토큰을 생성하는 X.509 토큰 생성자를 포함합니다.
- gen_enctgen_vtype 값 유형 URI를 포함합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 값 유형 로컬 이름 값을 포함합니다.
- X.509 콜백 핸들러를 사용하십시오. 콜백 핸들러는 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
키 저장소를 호출합니다.
- 키 저장소 비밀번호는 storepass입니다.
- 비밀 키 CN=Group1에는 Group1 별명 및 keypass 키 비밀번호가 있습니다.
- 공개 키 CN=Bob, O=IBM, C=US에는 bob 별명 및 keypass 키 비밀번호가 있습니다.
- 개인 키 CN=Alice, O=IBM, C=US에는 alice 별명 및 keypass 키 비밀번호가 있습니다.
기본 이용자 바인딩
WebSphere Application Server는 기본 이용자 바인딩의 샘플 세트를 제공합니다. 기본 이용자 바인딩에는 서명 정보와 암호화 정보 모두가 포함됩니다.
- con_signinfo 구성에 대해 다음 알고리즘을 사용하십시오.
- 서명 메소드: http://www.w3.org/2000/09/xmldsig#rsa-sha1
- 정규 메소드: http://www.w3.org/2001/10/xml-exc-c14n#
- con_signkeyinfo 서명 키 정보 참조를 사용하십시오. 다음 정보는
con_signkeyinfo 구성에 속합니다.
- con_signpart라는 파트 참조 구성을 포함합니다.
파트 참조가 기본 바인딩에 사용되지 않습니다. 서명 정보가 배치 디스크립터의
모든 무결성 또는 RequiredIntegrity 요소에 적용되며 해당 정보는 네이밍 전용으로
사용됩니다. 다음 정보는
con_signpart 구성에 속합니다.
- reqint_body_transform1 변환 구성을 사용하십시오.
다음 변환은 기본 서명 정보에 대해 구성됩니다.
- http://www.w3.org/2001/10/xml-exc-c14n# 알고리즘을 사용하십시오.
- http://www.w3.org/2000/09/xmldsig#sha1 요약 메소드를 사용하십시오.
- reqint_body_transform1 변환 구성을 사용하십시오.
다음 변환은 기본 서명 정보에 대해 구성됩니다.
- 구성된 기본 키 정보인 보안 토큰 참조를 사용합니다.
- SampleX509TokenKeyLocator Key Locator를 사용하십시오. Key Locator에 대한 자세한 정보는 샘플 Key Locator의 내용을 참조하십시오.
- con_signtcon 토큰 이용자 구성을 참조합니다. 다음 정보는
con_signtcon 구성에 속합니다.
- 기본 서명 정보의 이용자로 구성되는 X.509 토큰 이용자를 사용합니다.
- signtconsumer_vtype 값 유형 URI를 포함합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 값 유형 로컬 이름 값을 포함합니다.
- 다음 정보를 참조하는 system.wssecurity.X509BST라는 JAAS 구성을
포함합니다.
- 트러스트 앵커: SampleClientTrustAnchor
- 콜렉션 인증 저장: SampleCollectionCertStore
- con_signpart라는 파트 참조 구성을 포함합니다.
파트 참조가 기본 바인딩에 사용되지 않습니다. 서명 정보가 배치 디스크립터의
모든 무결성 또는 RequiredIntegrity 요소에 적용되며 해당 정보는 네이밍 전용으로
사용됩니다. 다음 정보는
con_signpart 구성에 속합니다.
- con_encinfo 구성에 대해 다음 알고리즘을 사용하십시오.
- 데이터 암호화 메소드: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- 키 암호화 메소드: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- con_enckeyinfo 암호화 키 정보를 참조합니다. 사실상 이 키가
메시지를 복호화합니다. 다음 정보는 con_enckeyinfo 구성에 속합니다.
- 기본 암호화 정보의 키 정보로 구성되는 키 ID를 사용합니다.
- SampleConsumerEncryptionKeyStoreKeyLocator Key Locator에 대한 참조를 포함합니다. Key Locator에 대한 자세한 정보는 샘플 Key Locator의 내용을 참조하십시오.
- con_enctcon 토큰 이용자 구성을 참조합니다. 다음 정보는
con_enctcon 구성에 속합니다.
- 기본 암호화 정보를 구성하는 X.509 토큰 이용자를 사용합니다.
- enctconsumer_vtype 값 유형 URI를 포함합니다.
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 값 유형 로컬 이름 값을 포함합니다.
- system.wssecurity.X509BST라는 JAAS 구성을 포함합니다.
샘플 키 저장소 구성
![[Windows]](../images/windows.gif)
- iKeyman 유틸리티는 다음 디렉토리에 있습니다. app_server_root/bin/ikeyman
- 키 도구는 다음 디렉토리에 있습니다. app_server_root/java/jre/bin/keytool
![[AIX HP-UX Solaris]](../images/unix.gif)
![[Linux]](../images/linux.gif)
- iKeyman 유틸리티는 다음 디렉토리에 있습니다. app_server_root\bin\ikeyman.sh
- 키 도구는 다음 디렉토리에 있습니다. app_server_root\java\jre\bin\keytool.sh
다음 샘플 키 저장소는 테스트 전용입니다. 해당 키 저장소는 프로덕션 환경에서 사용하지 마십시오.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- 키 저장소 형식은 JKS입니다.
- 키 저장소 비밀번호는 client입니다.
- 신뢰 인증에는 soapca 별명 이름이 있습니다.
- 개인용 인증서에는 soapca에 의해 발행된 Int CA2 중개 인증서 권한에 의해 발행된 client 키 비밀번호 및 soaprequester 별명이 있습니다.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- 키 저장소 형식은 JKS입니다.
- 키 저장소 비밀번호는 server입니다.
- 신뢰 인증에는 soapca 별명 이름이 있습니다.
- 개인용 인증서에는 soapca에 의해 발행된 Int CA2 중개 인증서 권한에 의해 발행된 server 키 비밀번호 및 soapprovider 별명이 있습니다.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks
- 키 저장소 형식은 JCEKS입니다.
- 키 저장소 비밀번호는 storepass입니다.
- CN=Group1 DES 비밀 키에는 Group1 별명 및 keypass 키 비밀번호가 있습니다.
- CN=Bob, O=IBM, C=US 공개 키에는 bob 별명 및 keypass 키 비밀번호가 있습니다.
- CN=Alice, O=IBM, C=US 개인 키에는 alice 별명 및 keypass 키 비밀번호가 있습니다.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks
- 키 저장소 형식은 JCEKS입니다.
- 키 저장소 비밀번호는 storepass입니다.
- CN=Group1 DES 비밀 키에는 Group1 별명 및 keypass 키 비밀번호가 있습니다.
- CN=Bob, O=IBM, C=US 개인 키에는 bob 별명 및 keypass 키 비밀번호가 있습니다.
- CN=Alice, O=IBM, C=US 공개 키에는 alice 별명 및 keypass 키 비밀번호가 있습니다.
- ${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- 매개체 인증은 soapca로 서명되며 soaprequester와 soapprovider 모두를 서명합니다.
샘플 Key Locator
- JAX-RPC를 사용하여 애플리케이션 레벨에서 생성기 바인딩을 위한 Key Locator 구성
- JAX-RPC를 사용하여 애플리케이션 레벨에서 이용자 바인딩을 위한 Key Locator 구성
- JAX-RPC를 사용하여 서버 또는 셀 레벨에서 Key Locator 구성
- SampleClientSignerKey
- 이 Key Locator는 버전 5.x 애플리케이션을 위한 요청 송신자가 SOAP 메시지를 서명하는 데 사용됩니다. 서명 키 이름은 clientsignerkey이며 이것은 서명 정보에서 서명 키 이름으로 참조됩니다.
- SampleServerSignerKey
- 이 Key Locator는 버전 5.x 애플리케이션을 위한 응답 송신자가 SOAP 메시지를 서명하는 데 사용됩니다. 서명 키 이름은 serversignerkey이며 이것은 서명 정보에서 서명 키 이름으로 참조될 수 있습니다.
- SampleSenderEncryptionKeyLocator
- 이 Key Locator는 버전 5.x 애플리케이션을 위한 송신자가 SOAP 메시지를 암호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다. 구현은 DES 비밀 키를 위해 구성되어 있습니다. 비대칭 암호화(RSA)를 사용하려면 적절한 RSA 키를 추가해야 합니다.
- SampleReceiverEncryptionKeyLocator
- 이 Key Locator는 버전 5.x 애플리케이션을 위한 수신자가 암호화된 SOAP 메시지를 복호화하는 데 사용됩니다. 구현은 ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.config.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다. 구현은 대칭 암호화(DES 또는 TRIPLEDES)를 위해 구성되어 있습니다. RSA를 사용하려면, 개인 키 CN=Bob, O=IBM, C=US, 별명 bob 및 키 비밀번호 keypass를 추가해야 합니다.
- SampleResponseSenderEncryptionKeyLocator
- 이 Key Locator는 버전 5.x 애플리케이션을 위한 응답 송신자가 SOAP 응답 메시지를 암호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.config.WSIdKeyStoreMapKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다. 이러한 Key Locator는 인증 ID(현재 스레드의)를 암호화를 위해 공개 키로 맵핑합니다. 기본적으로, WebSphere Application Server는 alice 공개 키로 맵핑하도록 구성되어 있으며 WebSphere Application Server를 적절한 사용자로 변경해야 합니다. 또한 SampleResponseSenderEncryptionKeyLocator Key Locator는 암호화를 위해 기본 키를 설정할 수도 있습니다. 기본적으로 이 Key Locator는 alice 공개 키를 사용하도록 구성되어 있습니다.
- SampleGeneratorSignatureKeyStoreKeyLocator
- 이 Key Locator는 생성자가 SOAP 메시지를 서명하는 데 사용됩니다. 서명 키 이름은 SOAPRequester이며 이것은 서명 정보에서 서명 키 이름으로 참조됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 키 저장소 및 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다.
- SampleConsumerSignatureKeyStoreKeyLocator
- 이 Key Locator는 이용자가 SOAP 메시지에서 디지털 서명을 확인하는 데 사용됩니다. 서명 키는 서명 정보에서 참조되는 SOAPProvider입니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks 키 저장소 및 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다.
- SampleGeneratorEncryptionKeyStoreKeyLocator
- 이 Key Locator는 생성자가 SOAP 메시지를 암호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-sender.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다.
- SampleConsumerEncryptionKeyStoreKeyLocator
- 이 Key Locator는 이용자가 암호화된 SOAP 메시지를 복호화하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다.
- SampleX509TokenKeyLocator
- 이 Key Locator는 이용자가 X.509 인증에서 디지털 인증을 확인하는 데 사용됩니다. ${USER_INSTALL_ROOT}/etc/ws-security/samples/enc-receiver.jceks 키 저장소 및 com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator 키 저장소 Key Locator를 사용하도록 구성되어 있습니다.
샘플 콜렉션 인증 저장소
- SampleCollectionCertStore
- 이 콜렉션 인증 저장은 응답 이용자 및 요청 생성자가 서명자 인증을 유효성 검증하는 데 사용됩니다.
샘플 트러스트 앵커
- SampleClientTrustAnchor
- 이 트러스트 앵커는 응답 이용자가 서명자 인증을 유효성 검증하는 데 사용됩니다. 이 트러스트 앵커를 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 키 저장소에 액세스하도록 구성합니다.
- SampleServerTrustAnchor
- 이 트러스트 앵커는 요청 이용자가 서명자 인증을 유효성 검증하는 데 사용됩니다. 이 트러스트 앵커를 ${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks 키 저장소에 액세스하도록 구성합니다.
샘플 신뢰 ID 평가자
- SampleTrustedIDEvaluator
- 이 신뢰 ID 평가자는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 구현을 사용합니다. com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator의 기본 구현에는 신뢰 ID 목록이
들어 있습니다. ID 어설션에 사용되는 이 목록은
신뢰할 수 있는 ID에 대한 키 이름 및 값 쌍을 정의합니다. 이 키
이름은 trustedId_* 양식이고 해당 값은 신뢰할 수 있는 ID입니다.
자세한 정보는 서버 또는 셀 레벨에서 신뢰 ID 평가자 구성의 예를 참조하십시오.다음 단계를 완료하여 관리 콘솔에서 셀 레벨에 대해 이 정보를 정의하십시오.
- 보안 > 웹 서비스를 클릭하십시오.
- 추가 특성 아래에서, 신뢰 ID 평가자 > SampleTrustedIDEvaluator를 클릭하십시오.