서버 또는 셀 레벨에서 콜렉션 인증 구성

콜렉션 인증 저장소에는 유효성 검증에 대기 중인 신뢰되지 않은 매개체 인증 파일이 들어 있습니다. 서버 레벨에서 콜렉션 인증 저장을 구성할 수 있습니다.

이 태스크 정보

유효성 검증은 인증이 CRL(Certificate Revocation List)에 있는지 확인하기 위해 디지털 서명된 SOAP 메시지의 유효한 서명 검사, 인증이 만기되지 않았는지 검사 및 인증이 신뢰 서명자에 의해 발행되었는지 검사로 이루어집니다.

다음 단계에서는 첫 번째 단계를 사용하여 서버 레벨의 콜렉션 인증 저장을 구성하고 두 번째 단계를 사용하여 셀 레벨의 콜렉션 인증 저장을 구성하십시오.

프로시저

  1. 서버 레벨의 기본 바인딩에 액세스하십시오.
    1. 서버 > 서버 유형 > WebSphere Application Sever > server_name을 클릭하십시오.
    2. 보안 아래에서 JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오.
      혼합 버전 환경 혼합 버전 환경: WebSphere® Application Server 버전 6.1 또는 그 이전 버전을 사용하는 서버가 있는 혼합 노드 셀에서 웹 서비스: 웹 서비스 보안의 기본 바인딩을 클릭하십시오.mixv
  2. 보안 > 웹 서비스를 클릭하여 셀 레벨에서 기본 바인딩에 액세스하십시오.
  3. 추가 특성 아래에서 콜렉션 인증 저장을 클릭하십시오.
  4. 새로 작성을 클릭하여 콜렉션 인증 저장 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 콜렉션 인증 저장 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 인증 저장 이름 필드에 이름을 입력하십시오. 예를 들어 sig_certstore 인증 저장의 이름을 지정할 수도 있습니다.

    콜렉션 인증 저장소의 이름은 애플리케이션 서버의 레벨에 고유해야 합니다. 예를 들어 서버 레벨에 대해 콜렉션 인증 저장을 작성한 경우, 상점 이름이 서버 레벨에 고유해야 합니다. 인증 저장 이름 필드에 지정된 이름은 기타 구성이 사전 정의된 콜렉션 인증 저장을 참조하는 데 사용합니다. WebSphere Application Server가 근접성을 기반으로 콜렉션 인증 저장소를 검색합니다.

    예를 들어 애플리케이션 바인딩이 cert1이라는 콜렉션 인증 저장소를 참조하는 경우, 애플리케이션 서버가 서버 레벨 다음 셀 레벨에서 검색하기 전에 애플리케이션 레벨에서 cert1을 검색합니다.

  5. 인증 저장 제공자 필드에 인증 저장 제공자를 지정하십시오. WebSphere Application Server는 IBMCertPath 인증 저장소 제공자를 지원합니다. 다른 인증 저장소 제공자를 사용하려면, [z/OS][AIX Solaris HP-UX Linux Windows]install_dir/properties[IBM i]profile_root/properties/java.security 파일 내의 제공자 목록에 제공자 구현을 정의해야 합니다. 그러나 제공자가 WebSphere Application Server와 동일한 인증 경로 알고리즘의 요구사항을 지원하는지 확인하십시오.
  6. 확인저장을 클릭하여 구성을 저장하십시오.
  7. 인증 저장 구성의 이름을 클릭하십시오. 인증 저장 제공자를 지정한 다음 인증 취소 목록 또는 X.509 인증의 위치를 지정해야 합니다. 그러나 인증 저장 구성에 인증 취소 목록 및 X.509 인증 모두를 지정할 수 있습니다.
  8. 추가 특성 아래에서 인증 취소 목록을 클릭하십시오. 생성기 바인딩의 경우, CRL(Certificate Revocation List)가 생성 보안 토큰에 포함된 경우 사용됩니다. 예를 들어 보안 토큰이 CRL을 포함하는 PKCS#7 포맷으로 랩핑될 수도 있습니다. 인증 취소 목록에 대한 자세한 정보는 인증 취소 목록의 내용을 참조하십시오.
  9. 새로 작성을 클릭하여 인증 취소 목록 경로를 지정하거나, 삭제를 클릭하여 기존 목록 참조를 삭제하거나, 기존 참조의 이름을 클릭하여 경로를 편집하십시오. WebSphere Application Server가 유효하지 않은 인증 목록을 찾을 수 있는 위치의 완전한 경로를 지정해야 합니다. WebSphere Application Server가 인증 취소 목록을 사용하여 전송자 인증의 유효성 검증을 확인합니다.

    이식성의 이유로 인해 WebSphere Application Server 변수를 사용하여 인증 취소 목록의 관련 경로를 지정하도록 권장합니다. 이 권장사항은 WebSphere Application Server, Network Deployment 환경에서 작업 중인 경우 특히 중요합니다.

    예를 들어 USER_INSTALL_ROOT 변수를 사용하여 경로(예: $USER_INSTALL_ROOT/mycertstore/mycrl1)를 정의할 수도 있습니다. 여기서 mycertstore는 인증 저장소의 이름을 나타내고 mycrl1은 인증 취소 목록을 나타냅니다. 지원되는 변수 목록의 경우, 관리 콘솔에서 환경 > WebSphere 변수를 클릭하십시오. 다음 목록에서 인증 취소 목록 사용을 위한 권장사항을 제공합니다.
    • CRL이 콜렉션 인증 저장에 추가되면, 적용 가능한 경우 각 매개체 인증과 루트 인증 권한의 CRL을 추가하십시오. CRL이 인증 콜렉션 저장에 있는 경우, 체인에 있는 모든 인증의 인증 취소 상태가 발행자의 CRL에 대해 검사됩니다.
    • CRL 파일이 업데이트된 경우, 새 CRL은 웹 서비스 애플리케이션을 다시 시작해야 적용됩니다.
    • CRL이 만기되기 전에 새 CRL을 인증 콜렉션 저장에 로드하여 이전 CRL을 바꿉니다. 콜렉션 인증 저장소의 만기된 CRL은 인증 경로(CertPath) 빌드 실패를 야기합니다.
  10. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.
  11. 콜렉션 인증 저장 구성 분할창로 돌아가십시오.
  12. 추가 특성 아래에서 X.509 인증을 클릭하십시오. X.509 인증 구성은 수신 X.509 형식의 보안 토큰에 대한 인증 경로 유효성 검증에 사용되는 중간 인증 파일을 지정합니다.
  13. 새로 작성을 클릭하여 X.509 인증 구성을 작성하거나, 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 X.509 인증 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하는 경우, 인증 저장 이름 필드에 이름을 입력하십시오.
  14. X.509 인증 경로 필드에 경로를 지정하십시오. 이 항목은 X.509 인증의 위치에 대한 절대 경로입니다. 콜렉션 인증 저장소는 X.509 형식의 수신 보안 토큰에 대한 인증 경로 유효성 검증에 사용됩니다.

    경로 이름의 일부로 USER_INSTALL_ROOT 변수를 사용할 수 있습니다. 예를 들어 $USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer을 입력할 수도 있습니다. 프로덕션 용도로는 이 인증 경로를 사용하지 마십시오. WebSphere Application Server 환경을 프로덕션에 넣기 전에 CA(Certificate Authority)에서 고유 X.509 인증을 확보해야 합니다.

    관리 콘솔에서 환경 > WebSphere 변수를 클릭하여 USER_INSTALL_ROOT 변수를 구성하십시오.

  15. 확인을 클릭한 다음 저장을 클릭하여 구성을 저장하십시오.
  16. ws-security.xml 파일에 있는 기본 바인딩 정보를 사용하여 웹 서비스 보안 런타임을 업데이트하려면 콜렉션 인증 저장소 콜렉션 분할창로 되돌아가 런타임 업데이트을 클릭하십시오. 런타임 업데이트을 클릭하면, 다른 웹 서비스에 작성한 구성 변경사항이 웹 서비스 보안을 위한 런타임에도 업데이트됩니다. 정책 세트는 JAX-WS 애플리케이션에만 사용할 수 있습니다. 정책 세트는 JAX-RPC 애플리케이션에는 사용할 수 없습니다.

결과

서버 또는 셀 레벨의 콜렉션 인증 저장을 구성했습니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
파일 이름:twbs_configcolcertstsvrcell.html