애플리케이션 레벨에서 이용자 바인딩을 위한 신뢰 앵커 구성

애플리케이션 레벨에서 이용자 바인딩을 위한 신뢰 앵커를 구성할 수 있습니다.

이 태스크 정보

애플리케이션 레벨에서 정의된 신뢰 앵커는 서버 또는 셀 레벨에서 정의된 신뢰 앵커보다 우선순위가 높습니다. 서버 또는 셀 레벨에서 신뢰 앵커 작성 및 구성에 대한 자세한 정보는 서버 또는 셀 레벨에서 신뢰 앵커 구성의 내용을 참조하십시오.

어셈블리 도구 또는 관리 콘솔을 사용하여 애플리케이션 레벨에서 신뢰 앵커를 구성할 수 있습니다. 이 프로시저는 관리 콘솔을 사용하여 애플리케이션 레벨 신뢰 앵커를 구성하는 방법에 대해 설명합니다.

신뢰 앵커는 서명자 인증의 유효성을 검증하는 신뢰 있는 루트 CA(Certificate Authority) 인증을 포함하는 키 저장소를 지정합니다. 요청 이용자(ibm-webservices-bnd.xmi 파일에 정의된 대로) 및 응답 이용자(웹 서비스가 클라이언트 역할을 할 때 ibm-webservicesclient-bnd.xmi 파일에 정의된 대로)는 이들 키 저장소를 사용하여 SOAP 메시지의 X.509 인증에 대한 유효성을 검증합니다. 키 저장소는 디지털 서명 유효성 검증의 무결성에 중요한 요소입니다. 키 저장소가 변경되면, 디지털 서명 확인의 결과를 믿을 수 없게 됩니다. 따라서 이들 키 저장소를 보호하는 것이 좋습니다. ibm-webservices-bnd.xmi 파일의 요청 이용자에 지정된 바인딩 구성은 ibm-webservicesclient-bnd.xmi 파일의 응답 이용자에 대한 바인딩 구성과 일치해야 합니다. 서버 측의 요청 이용자에 대한 신뢰 앵커 구성은 클라이언트 측의 요청 생성기 구성과 일치해야 합니다. 또한 신뢰 앵커는 클라이언트 측의 응답 이용자에 대한 신뢰 앵커 구성은 서버 측의 응답 생성기 구성과 일치해야 합니다.

다음 단계를 완료하여 애플리케이션 레벨에서 이용자 바인딩을 위한 신뢰 앵커를 구성하십시오.

프로시저

  1. 관리 콘솔의 신뢰 앵커 분할창을 찾으십시오.
    1. 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
    2. 모듈 관리 아래에서 URI_name을 클릭하십시오.
    3. 웹 서비스 보안 특성 아래에서 다음 바인딩에 대한 신뢰 앵커 구성에 액세스할 수 있습니다.
      • 요청 이용자(수신자) 바인딩의 경우, 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
      • 응답 이용자(수신자) 바인딩의 경우, 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신자) 바인딩 아래에서 사용자 정의 편집을 클릭하십시오.
    4. 추가 특성 아래에서 신뢰 앵커를 클릭하십시오.
    5. 신뢰 앵커 구성에 대해 작업하려면 다음 중 하나를 클릭하십시오.
      새로 작성
      신뢰 앵커 구성을 작성합니다. 신뢰 앵커 이름 필드에 고유 이름을 입력하십시오.
      삭제
      구성 옆에 있는 상자에서 선택된 기존 구성을 삭제합니다.
      기존 신뢰 앵커 구성
      기존 신뢰 앵커 구성의 설정을 편집합니다.
  2. 키 저장소 비밀번호, 키 저장소 위치 및 키 저장소 유형을 지정하십시오. 신뢰 앵커 키 저장소 파일에는 디지털 서명 또는 XML 암호화에 사용한 X.509 인증의 유효성을 검증하는 데 사용하는 신뢰 루트 CA(Certificate Authority) 인증이 들어 있습니다.
    1. 키 저장소 비밀번호 필드에 비밀번호를 지정하십시오. 이 비밀번호는 키 저장소 파일에 액세스하는 데 사용됩니다.
    2. 키 저장소 경로 필드에 키 저장소 파일의 위치를 지정하십시오.
    3. 키 저장소 유형 필드에서 키 저장소 유형을 선택하십시오. IBM®에서 사용하는 JCE(Java™ Cryptography Extension)는 다음 키 저장소 유형을 지원합니다.
      JKS
      JCE(Java Cryptography Extension)를 사용하고 있지 않고 키 저장소 파일이 JKS(Java Keystore) 형식을 사용하는 경우에 이 옵션을 사용하십시오.
      JCEKS
      JCE(Java Cryptography Extension)를 사용하고 있는 경우 이 옵션을 사용하십시오.
      [z/OS]JCERACFKS
      [z/OS]인증이 SAF 키 링(z/OS®에만 해당)에 저장되는 경우 JCERACFKS를 사용하십시오.
      PKCS11KS(PKCS11)
      키 저장소 파일이 PKCS#11 파일 형식을 사용하는 경우에 이 형식을 사용하십시오. 이 형식을 사용하는 키 저장소는 암호화 하드웨어에 RSA 키를 포함하거나 암호화 하드웨어를 사용하는 키를 암호화하여 키를 보호할 수 있습니다.
      PKCS12KS(PKCS12)
      키 저장소 파일이 PKCS#12 파일 형식을 사용하는 경우에 이 옵션을 사용하십시오.

      WebSphere® 애플리케이션 서버가 USER_INSTALL_ROOT 변수: [Windows]c:\{USER_INSTALL_ROOT}\etc\ws-security\samples[AIX HP-UX Solaris][Linux]${USER_INSTALL_ROOT}/etc/ws-security/samples를 사용하여 다음 디렉토리에 일부 샘플 키 저장소 파일을 제공합니다.

      예를 들어 암호화 키에 enc-receiver.jceks 키 저장소 파일을 사용할 수도 있습니다. 이 파일의 비밀번호는 storepass이고 유형은 JCEKS입니다.

      제한사항: 프로덕션 환경에서는 이러한 키 저장소 파일을 사용하지 마십시오. 이러한 샘플은 테스트 목적으로만 제공됩니다.

결과

애플리케이션 레벨에서 이용자 바인딩을 위한 신뢰 앵커를 구성했습니다.

다음에 수행할 작업

생성기에 대한 유사한 신뢰 앵커 정보를 지정해야 합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_conftrancconsapp
파일 이름:twbs_conftrancconsapp.html