JAX-WS용 콜백 핸들러 설정
보안 토큰이 메시지 헤더에서 획득되는 방법을 판별하는 JAX-WS용 콜백 핸들러 설정을 구성하려면 이 페이지를 사용하십시오.
일반 셀 레벨 또는 서버 레벨 바인딩 편집 시 콜백 핸들러 설정을 구성할 수 있습니다. 정책 세트에서 필요한 토큰 및 메시지 파트에 대한 애플리케이션 특정 바인딩을 구성할 수도 있습니다.

- 생성기
- 암호화 생성기와 연관되어 사용된 경우, 생성기에 대해 제공된 별명은 공개 키를
검색하여 메시지를 암호화하는데 사용됩니다. 비밀번호가 필요하지 않습니다. 암호화 생성기에 연관된 콜백 핸들러에
입력된 별명은 비밀번호 없이 액세스 가능해야 합니다. 즉, 키 저장소에서 개인 키 정보를 별명에 연관하지 않아도 됩니다.
서명 생성기와 연관되어
사용되면, 생성기에 제공된 별명은 공개 키를 검색하여 메시지에 서명하는 데 사용됩니다.
비밀번호는 필수입니다.
문제점 방지: 메시지에 서명하는데 사용된 별명이 비밀번호를 요구하기 때문에 메시지를 암호화하는데 사용된 별명에는 비밀번호가 없어도 되며, 서명 생성기 및 암호화 생성기 모두에 대해 동일한 별명을 사용할 수 없습니다.gotcha
- 이용자
- 암호화 이용자와 연관되어 사용되면, 이용자에 제공된 별명이 개인 키를 검색하여 메시지를 복호화하는데
사용됩니다. 비밀번호는 필수입니다.
서명 이용자와 연관되어 사용되면, 이용자에 제공된 별명은 BinarySecurityToken으로 SOAP 보안 헤더에 전달되지 않은 X.509 인증서를 분석하는데 사용된 공개 키를 엄격하게 검색하는데 사용됩니다. 비밀번호가 필요하지 않습니다.
서명 이용자와 연관된 콜백 핸들러에 입력된 별명은 비밀번호 없이 액세스 가능해야 합니다. 별명에 키 저장소에서 이와 연관된 개인 키 정보가 없어야 함을 의미합니다.
BinarySecurityToken으로 SOAP 보안 헤더에 전달되지 않은 X.509 인증서의 경우, SecurityTokenReference는 X.509 인증서를 분석하는데 사용될 SOAP 보안 헤더의 Signature 요소 내 KeyInfo 요소에 표시됩니다. 사용될 수 있는 메소드는 키 ID, X.509 발행자 이름 및 발행자 일련번호 및 지문입니다. 키 저장소/별명이 서명 이용자와 연관된 X.509 토큰 이용자에 대해 구성된 경우, 이용자는 메시지 외부 X.509 인증서를 분석하기 위한 세 개의 메소드를 승인합니다. X.509 토큰 이용자는 키 저장소의 항목에 대한 메시지 외부에 표시되는 인증서를 동적으로 분석하지 않습니다. 구성 시 사용될 인증서를 알아야 하며 X.509 토큰 이용자 콜백 핸들러에서 하드코딩됩니다.
X.509 인증서가 메시지 외부에서 분석될 경우 일반 바인딩 사용 시 다중 인증서를 분석할 수 있으며 애플리케이션 특정 바인딩 사용 시 하나의 인증서를 분석할 수 있습니다. 애플리케이션 특정 바인딩에 하나의 X.509 토큰 이용자만이 사용 가능하기 때문에 애플리케이션 특정 바인딩이 사용되면 메시지 외부에서 하나의 인증서만이 분석될 수 있습니다. 하나의 X.509 토큰 이용자만이 사용되기 때문에 하나의 별명만이 사용되므로 하나의 인증서만이 분석될 수 있습니다. 예를 들어, X.509 토큰 이용자가 인증서 A에 대해 구성되는 경우, 클라이언트 A가 인증서 A에 대한 키 ID를 전송한 경우, 인증서를 검색할 수 있습니다. 그러나 클라이언트 B는 인증서 B에 대한 키 ID를 전송한 경우 인증서를 검색할 수 없으며 메시지가 거부됩니다.
일반 바인딩이 사용되면 키 저장소/별명에 대해 구성된 각각 다른 인증서가 있는 다중 X.509 토큰 이용자가 작성될 수 있습니다. 분석하려는 인증서와 연관된 모든 X.509 토큰 이용자는 바인딩에서 서명된 파트 구성의 서명 키 정보에 지정됩니다.
X.509 인증서가 SOAP 보안 헤더를 BinarySecurityToken으로 전송된 경우 서명 이용자와 연관된 X.509 토큰 이용자에서 구성된 키 저장소/별명이 있으면, 이용자에 대해 구성된 인증서가 메시지에 전달된 인증서와 비교됩니다. 일치되지 않으면 메시지가 거부됩니다. 이 동작은 JAX-RPC와 다릅니다. X.509 토큰 이용자에 구성된 별명과 연관된 인증서는 인바운드 인증서에서 신뢰를 평가하는데 사용되지 않습니다. 신뢰 저장소 및 인증서 저장소가 그 용도로 사용됩니다.
서명 이용자와 연관된 X.509 토큰 이용자에 구성된 인증서가 키 정보 분석에 사용 가능하지만 일치되지 않는 메시지에 전달된 X.509 인증서를 거부하려고 하는 경우, 다음 이용자 특성을 X.509 토큰 이용자 콜백 핸들러에 추가할 수 있습니다.com.ibm.wsspi.wssecurity.consumer.callbackHandlerKeystoreLimitsAccess=false
문제점 방지: 메시지를 복호화하는데 사용된 별명이 비밀번호를 요구하고 서명을 확인하는데 사용된 별명에서는 비밀번호가 없어야 하기 때문에, 서명 이용자 및 암호화 이용자 모두에 대해 동일한 별명을 사용할 수 없습니다.gotcha
- 사용자 키 확인
문제점 방지: X.509 토큰 이용자 또는 생성기 콜백 핸들러에 대해 구성하려는 별명이 keytool 애플리케이션을 사용하는 올바른 유형인지 확인할 수 있습니다.
keytool 애플리케이션은 애플리케이션 서버와 함께 (wasHome)/bin 디렉토리에 설치됩니다. 매개변수 없이 'keytool'을 실행하는 경우 구문이 표시됩니다. 다음은 keytool 애플리케이션의 호출 예제입니다.keytool -list -v -keystore myKeystore.p12 -storepass myPassword -storetype PKCS12
keytool 애플리케이션을 사용하여 키 저장소의 컨텐츠를 표시한 후 별명의 항목 유형이 의도된 해당 사용과 일관되는지 확인하십시오. 개인 키가 필요한 항목을 구성하는 경우 항목 유형은 keyEntry여야 합니다. 공개 키가 필요한 항목을 구성하는 경우 항목 유형은 trustedCertEntry여야 합니다.
gotcha
- 을 클릭하십시오. 바인딩 패널은 제공자 샘플 바인딩과 같이 기본 바인딩으로 설정되는 바인딩을 표시합니다.
- 이 기본 바인딩을 편집하려면 을 클릭하십시오.
- 첫 번째 단계에서 판별되는 것으로써 기본 바인딩의 이름을 클릭하십시오. 예를 들어, 제공자 샘플입니다.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 섹션에서 애플리케이션 및 보호 링크를 클릭하십시오.
- 보호 토큰 섹션 또는 인증 토큰 섹션에서 name_of_token 링크를 클릭하십시오.
- 콜백 핸들러 링크를 클릭하십시오.
- 을 클릭하십시오.
- 웹 서비스를 포함하는 애플리케이션을 선택하십시오. 애플리케이션은 서비스 공급자 또는 서비스 클라이언트를 포함해야 합니다.
- 웹 서비스 특성 섹션에서 서비스 제공자 정책 세트 및 바인딩 링크 또는 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
- 바인딩을 선택하십시오. 이전에 정책 세트를 첨부하고 애플리케이션 특정 바인딩을 지정해야 합니다.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 섹션에서 애플리케이션 및 보호 링크를 클릭하십시오.
- 보호 토큰 섹션 또는 인증 토큰 섹션에서 name_of_token 링크를 클릭하십시오.
- 콜백 핸들러 링크를 클릭하십시오.
이 관리 콘솔 페이지는 JAX-WS(Java™ API for XML Web Services) 애플리케이션에만 적용됩니다.
콜백 핸들러는 구성 중인 다른 토큰에 대해 다르게 필드를 표시합니다. 보호할 생성기나 이용자 토큰을 구성하는지 여부 또는 인증할 인바운드나 아웃바운드 토큰을 사용하는지 여부에 따라, 각 필드의 설명에 따라 이 패널의 섹션 및 필드는 이 주제에 설명된 모든 또는 일부 필드를 표시합니다.
클래스 이름
클래스 이름 섹션의 필드는 토큰 구성의 모든 유형에 사용 가능합니다.
콜백 핸들러에 사용할 클래스 이름을 선택합니다. 정상 조작을 위해 내장 기본값 사용 옵션을 선택하십시오. 이용자 토큰 유형을 사용하는 경우에만 사용자 정의 사용 옵션을 사용합니다.
Kerberos 사용자 정의 토큰 유형의 경우, 토큰 생성기 구성에 대해 클래스 이름, com.ibm.websphere.wssecurity.callbackhandler.KRBTokenGenerateCallbackHandler를 사용합니다. 토큰 이용자 구성의 경우 com.ibm.websphere.wssecurity.callbackhandler.KRBTokenConsumeCallbackHandler를 사용합니다.
내장 기본값 사용
클래스 이름에 기본값이 사용되도록 지정합니다. 이 단일 선택 단추를 선택하면 클래스 이름으로 기본값(필드에 표시된)을 사용합니다. 이 이름은 토큰 유형 및 콜백 핸들러가 토큰 생성기나 토큰 이용자에 대한 것인지 여부를 기반으로 합니다. 이 옵션은 사용자 정의 사용 옵션에 상호 독점적입니다.
사용자 정의 사용
사용자 정의 값이 클래스 이름에 사용되도록 지정합니다. 이 단일 선택 단추를 선택하고 사용자 정의 클래스 이름을 사용할 이름을 필드에 입력합니다.
이 항목 필드에 사용 가능한 기본값은 없습니다. 다음 테이블에서 정보를 사용하여 이 값을 판별합니다.
토큰 유형 | 이용자 또는 생성기 | 콜백 핸들러 클래스 이름 |
---|---|---|
UsernameToken | 이용자 | com.ibm.websphere.wssecurity.callbackhandler.UNTConsumeCallbackHandler |
UsernameToken | 생성기 | com.ibm.websphere.wssecurity.callbackhandler.UNTGenerateCallbackHandler |
X509Token | 이용자 | com.ibm.websphere.wssecurity.callbackhandler.X509ConsumeCallbackHandler |
X509Token | 생성기 | com.ibm.websphere.wssecurity.callbackhandler.X509GenerateCallbackHandler |
LTPAToken/LTPAPropagationToken | 이용자 | com.ibm.websphere.wssecurity.callbackhandler.LTPAConsumeCallbackHandler |
LTPAToken/LTPAPropagationToken | 생성기 | com.ibm.websphere.wssecurity.callbackhandler.LTPAGenerateCallbackHandler |
SecureConversationToken | 이용자 | com.ibm.ws.wssecurity.impl.auth.callback.SCTConsumeCallbackHandler |
SecureConversationToken | 생성기 | com.ibm.ws.wssecurity.impl.auth.callback.WSTrustCallbackHandler |
이 단추는 내장 기본값 사용 옵션에 상호 독점적입니다.
인증서(생성기)
보호 토큰을 구성하는 경우 인증서 섹션의 필드가 사용 가능합니다. 생성기 토큰의 경우, 클릭하여 목록에서 인증서 저장소를 선택하거나 또는 새로 작성 단추를 클릭하여 인증서 저장소를 추가할 수 있습니다.
인증서(이용자)
보호 토큰을 구성하는 경우 인증서 섹션의 필드가 사용 가능합니다. 이용자 토큰의 경우, 인증서 신뢰 옵션 또는 인증서 저장소 옵션을 사용하여 인증서 저장소를 구성할 수 있습니다.
인증서 - 인증서(이용자) 신뢰
이 옵션은 토큰 이용자에만 적용 가능합니다. 이 옵션은 시스템이 모든 인증서를 신뢰하고 특정 인증서 저장소를 정의하지 않음을 표시합니다. 이 옵션은 인증서 저장소 옵션에 상호 독점적입니다.
인증서 - 인증서 저장소(이용자)
이 옵션은 토큰 이용자에만 적용 가능합니다. 이 옵션을 사용하여 매개체 인증서를 포함한 인증서 저장소 콜렉션을 지정하며, 이 콜렉션은 인증서 폐기 목록(CRL)을 포함할 수 있습니다. 이 옵션을 선택하여 인증서 저장소나 항목 필드에 지정된 저장소를 신뢰합니다. 이 옵션은 인증서 신뢰 옵션에 상호 독점적입니다. 인증서 저장소 옵션을 선택하면 새로 작성 단추가 사용 가능하므로 새 인증서 저장소 및 신뢰할 수 있는 앵커 저장소를 구성할 수 있습니다.
인증서 저장 필드의 값을 기본값으로 설정할 수 있으며, 기본값은 없음입니다. 그러나 신뢰할 수 있는 앵커 저장소 값은 특정 값으로 설정되어야 합니다. 기본값은 없습니다. 인증서 신뢰 옵션이 선택되지 않은 경우 신뢰할 수 있는 앵커가 필요합니다.
기본 인증
LTPA 전파 토큰이 아닌 인증 토큰을 구성하는 경우 기본 인증 섹션의 필드가 사용 가능합니다.
Kerberos 사용자 정의 토큰 유형의 경우, Kerberos 로그인을 위한 기본 인증 섹션을 완료해야 합니다.
사용자 이름
인증할 사용자 이름을 지정합니다.
Password
인증할 비밀번호를 지정합니다. 이 항목 필드에 인증할 비밀번호를 입력합니다.
비밀번호 확인
확인하려는 비밀번호를 지정합니다.
키 저장소
런타임이 필요하지 않다고 판별하면 키 저장소 필드가 사용 가능하지 않습니다.
Keystore 이름 목록에서 사용자 정의를 클릭하여 사용자 정의 키 저장소를 정의하고, 외부적으로 정의된 키 저장소 이름 중 하나를 클릭하거나 키 저장소가 필요없는 경우 없음을 클릭하십시오.
키 저장소 - 이름
사용할 키 저장소 이름을 지정합니다.
- 없음
- 키 저장소를 사용하지 않도록 지정합니다.
- 사용자 정의
- 사용자 정의된 키 저장소를 사용하도록 지정합니다. 사용자 정의 키 저장소 구성 링크를 클릭하여 사용자 정의 키 저장소 및 키 설정을 구성합니다.
키
구성된 키 저장소에서 검색될 키의 속성을 지정합니다. 런타임이 필요하지 않다고 판별하면 키 섹션의 일부 필드는 사용 불가능합니다.
중앙 관리되는 키 저장소가 키 저장소에 대해 선택되면 키 섹션의 필드가 사용 가능합니다.
Name
사용할 키의 이름을 지정합니다. 목록은 선택된 중앙 관리되는 키 저장소에 사용 가능한 키로 채워집니다. 사용할 키의 이름 또는 사용할 키가 없는 경우 '(없음)'을 선택합니다.
별명
선택된 키 이름의 별명을 표시합니다.
Password
사용하려는 키에 대한 비밀번호를 지정합니다. 런타임이 필요한지 판별되는 경우에만 이 필드가 사용 가능합니다.
비대칭 암호화 생성기 또는 비대칭 서명 이용자에 대한 공개 키의 비밀번호를 설정할 수 없습니다. 기사 앞 부분에서 '문제 방지'를 참조하십시오.
비밀번호 확인
사용하려는 키의 비밀번호 확인을 지정합니다. 런타임이 필요한지 판별되는 경우에만 이 필드가 사용 가능합니다.
비대칭 아웃바운드 암호화 또는 인바운드 서명에 대한 공개 키에 대해 키 확인 비밀번호를 제공하지 마십시오.
키 저장소 - 사용자 정의 키 저장소 구성
사용자 정의 키 저장소를 작성하는 링크를 지정합니다. 이 링크를 클릭하여 사용자 정의 키 저장소를 구성할 수 있는 패널을 여십시오.
키 저장소 암호
키 저장소 파일에 액세스하는데 사용되는 비밀번호를 지정합니다.
키 저장소 경로
키 저장소 파일의 위치를 지정합니다.
이 변수가 사용자의 머신의 제품 경로까지 확장되기 때문에 경로 이름에 ${USER_INSTALL_ROOT}를 사용합니다. 이 변수에서 사용된 경로를 변경하려면, 환경 > WebSphere 변수를 클릭하고 USER_INSTALL_ROOT를 클릭하십시오.
키 저장소 유형
키 저장소 파일 형식의 유형을 지정합니다.
- JKS
- 키 저장소가 JKS(Java Keystore) 형식을 사용하는 경우 이 옵션을 사용합니다.
- JCEKS
- Java Cryptography Extension이 SDK(Software Development Kit)에 구성된 경우 이 옵션을 사용합니다. 기본 IBM® JCE는 애플리케이션 서버에서 구성됩니다. 이 옵션은 Triple DES 암호화를 사용하여 저장된 개인 키에 대해 더 강력한 보호를 제공합니다.
JCERACFKS
인증서가 SAF 키 링에 저장된 경우 JCERACFKS를 사용합니다(z/OS® 전용).
- PKCS12KS (PKCS12)
- 사용자의 키 저장소 파일이 PKCS#12 파일 형식을 사용하면 이 옵션을 사용하십시오.
사용자 정의 특성
사용자 정의 특성 섹션의 필드는 토큰 구성의 모든 유형에 사용 가능합니다.
이름 값 쌍을 사용하여 콜백 핸들러에서 필요한 사용자 정의 특성을 추가할 수 있습니다.
서명자 인증서 암호화를 구현하기 위해 JAX-WS 프로그래밍 모델을 사용하면, 암호화 토큰 생성기의 콜백 핸들러에서 값 true로 사용자 정의 특성 com.ibm.wsspi.wssecurity.token.cert.useRequestorCert를 추가하십시오. 이 구현은 SOAP 응답을 암호화하기 위해 SOAP 요청의 서명자의 인증서를 사용합니다. 이 사용자 정의 특성은 응답 발생기에서 사용됩니다.
Kerberos Token Profile V1.1을 위한 OASIS 웹 서비스 보안 스펙을 기반으로 하는 Kerberos 사용자 정의 토큰의 경우, 토큰 생성을 위해 다음 특성을 지정하십시오. com.ibm.wsspi.wssecurity.krbtoken.clientRealm. 클라이언트와 연관된 Kerberos 영역의 이름을 지정하며 Kerberos 클라이언트 영역에서 Kerberos 로그인을 시작할 수 있습니다. 지정되지 않은 경우 기본 Kerberos 영역 이름이 사용됩니다. 이 특성은 단일 Kerberos 영역 환경에 대해 선택적입니다.
Kerberos 사용자 정의 특성, com.ibm.wsspi.wssecurity.krbtoken.loginPrompt는 값이 true이면 Kerberos 로그인을 사용할 수 있습니다. 기본값은 false입니다. 이 특성은 선택적입니다.
특성 이름(생성기) | 특성 값 |
---|---|
com.ibm.wsspi.wssecurity.token.username.addNonce | true |
com.ibm.wsspi.wssecurity.token.username.addTimestamp | true |
특성 이름(이용자) | 특성 값 |
---|---|
com.ibm.wsspi.wssecurity.token.username.verifyNonce | true |
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp | true |
Name
사용할 사용자 정의 특성의 이름을 지정합니다.
사용자 정의 특성은 처음에 이 열에 표시되지 않습니다. 사용자 정의 특성을 위한 다음 조치 중 하나를 클릭하십시오.
단추 | 결과 조치 |
---|---|
새로 작성 | 새 사용자 정의 특성 항목을 작성합니다. 사용자 정의 특성을 추가하려면 이름과 값을 입력하십시오. |
삭제 | 선택된 사용자 정의 특성을 제거합니다. |
값
사용할 사용자 정의 특성의 값을 지정합니다. 값 입력 필드로, 사용자 정의 특성의 값을 입력하거나 삭제할 수 있습니다.