메시지 보안 설정

메시지 보안을 사용하기 위해 Application Server를 설정하는 대부분의 단계는 관리 콘솔이나 asadmin 명령줄 도구를 사용하여 수행하거나 시스템 파일을 수동으로 편집하여 수행할 수 있습니다. 일반적으로 시스템 파일을 편집하는 것은 의도하지 않은 변경으로 인해 Application Server가 제대로 실행되지 못하게 할 수 있기 때문에 권장하지 않습니다. 따라서 가능한 한 관리 콘솔을 사용하여 Application Server를 구성하는 단계가 먼저 표시되고 asadmin 도구 명령을 사용한 단계는 나중에 표시됩니다. 관리 콘솔이나 해당 asadmin 명령이 없을 경우에만 시스템 파일을 수동으로 편집하는 단계가 표시됩니다.

메시지 계층 보안 지원이 플러그 가능한 인증 모듈 양식으로 클라이언트 컨테이너와 Application Server에 통합됩니다. 기본적으로 메시지 계층 보안은 Application Server에서 비활성화됩니다. 다음 절에서는 메시지 보안 구성 및 공급자를 활성화 작성 편집 및 삭제하는 것과 관련한 세부 사항을 제공합니다.

• 메시지 보안을 위한 공급자 활성화

• 메시지 보안 공급자 구성

• 메시지 보안 공급자 만들기

• 응용 프로그램 클라이언트를 위한 메시지 보안 활성화

• 응용 프로그램 클라이언트 구성에 대한 요청 및 응답 정책 설정

• 추가 정보

대부분의 경우 위에 나열된 관리 작업을 수행한 후 Application Server를 다시 시작해야 합니다. 특히 작업이 수행된 시점에 Application Server에 이미 배포된 응용 프로그램에 관리 변경 사항을 적용하려는 경우 이 작업을 수행합니다.

메시지 보안을 위한 공급자 활성화

Application Server에 배포된 웹 서비스 종점에 대한 메시지 보안을 활성화하려면 서버측에서 기본적으로 사용되는 공급자를 지정해야 합니다. 메시지 보안을 위한 기본 공급자를 활성화한 경우 Application Server에 배포된 웹 서비스의 클라이언트에서 사용할 공급자도 활성화해야 합니다. 클라이언트가 사용하는 공급자를 활성화하는 방법에 대한 자세한 내용은 응용 프로그램 클라이언트를 위한 메시지 보안 활성화를 참조하십시오.

배포된 종점에서 발생한 웹 서비스 호출에 대해 메시지 보안을 활성화하려면 기본 클라이언트 공급자를 지정해야 합니다. Application Server에 대한 기본 클라이언트 공급자를 활성화한 경우 Application Server에 배포된 종점에서 호출한 모든 서비스가 메시지 계층 보안과 호환 가능하게 구성되도록 해야 합니다.

다음과 같이 명령줄 유틸리티를 사용합니다.

• 기본 서버 공급자를 지정하려면 다음 작업을 수행합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. default_provider=ServerProvider

• 기본 클라이언트 공급자를 지정하려면 다음 작업을 수행합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. default_client_provider=ClientProvider

메시지 보안 공급자 구성

일반적으로 공급자 유형 구현 클래스 및 공급자별 구성 등록 정보를 수정할 수 있더라도 메시지 보호 정책을 수정하기 위해 공급자가 다시 구성됩니다.

명령줄 유틸리티를 사용하여 응답 정책을 설정하려면 다음 명령에서 단어 request를 response로 바꿉니다.

• 요청 정책을 클라이언트에 추가하고 인증 소스를 설정합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ClientProvider.request-policy.auth_source= sender | content

• 요청 정책을 서버에 추가하고 인증 소스를 설정합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ServerProvider.request-policy.auth_source= sender | content

• 요청 정책을 클라이언트에 추가하고 인증 수신자를 설정합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ClientProvider.request-policy.auth_recipient= before-content | after-content

• 요청 정책을 서버에 추가하고 인증 수신자를 설정합니다.

  asadmin set --user admin-user --port admin-port server-config.security-service.message-security-config.SOAP. provider-config.ServerProvider.request-policy.auth_recipient= before-content | after-content

메시지 보안 공급자 만들기

관리 콘솔을 사용하여 기존 공급자를 구성하려면 구성 노드 > 구성할 인스턴스 > 보안 노드 > 메시지 보안 노드 > SOAP 노드 > 공급자 탭을 선택합니다.

메시지 보안 공급자 만들기에 대한 자세한 내용은 관리 콘솔 온라인 도움말을 참조하십시오.

응용 프로그램 클라이언트를 위한 메시지 보안 활성화

클라이언트 공급자의 메시지 보호 정책이 클라이언트 공급자가 상호 작용하는 서버측 공급자의 메시지 보호 정책과 동등하도록 구성해야 합니다. Application Server가 설치될 때 구성되었지만 활성화되지 않은 공급자의 경우 이미 이 상태로 되어 있습니다.

클라이언트 응용 프로그램에 대한 메시지 보안을 활성화하려면 응용 프로그램 클라이언트 컨테이너의 Application Server 관련 구성을 수정합니다.

응용 프로그램 클라이언트 구성에 대한 요청 및 응답 정책 설정

요청 및 응답 정책에서는 인증 공급자가 수행한 요청 및 응답 처리와 연관된 인증 정책 요구 사항을 정의합니다. 정책은 메시지 수신자가 해당 서명을 확인하기 전에 메시지를 해독해야 함을 의미하는 내용이 표시된 이후에 암호화가 발생하는 요구 사항과 같은 메시지 보낸 사람 순서에 표시됩니다.

메시지 보안을 달성하려면 서버와 클라이언트 모두에서 요청 및 응답 정책을 활성화해야 합니다. 클라이언트와 서버에 정책을 구성할 경우 응용 프로그램 수준 메시지 바인딩에서 요청 응답 보호를 위해 서버 정책과 클라이언트 정책이 일치해야 합니다.

응용 프로그램 클라이언트 구성에 대한 요청 정책을 설정하려면 응용 프로그램 클라이언트를 위한 메시지 보안 활성화에 설명된 대로 응용 프로그램 클라이언트 컨테이너에 대한 Application Server 관련 구성을 수정합니다. 응용 프로그램 클라이언트 구성 파일에 다음과 같이 request-policy 및 response-policy를 추가하여 요청 정책을 설정합니다.

참조를 위해 다른 코드가 제공됩니다. 다른 코드는 설치에 따라 약간씩 달라집니다. 이것을 변경하지 마십시오.

<client-container>
  <target-server name="your-host" address="your-host"
      port="your-port"/>
  <log-service file="" level="WARNING"/>
  <message-security-config auth-layer="SOAP"
      default-client-provider="ClientProvider">
    <provider-config
        class-name="com.sun.enterprise.security.jauth.ClientAuthModule"
        provider-id="ClientProvider" provider-type="client">
      <request-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
      <response-policy auth-source="sender | content"
        auth-recipient="after-content | before-content"/>
       <property name="security.config"
           value="as-install/lib/appclient/wss-client-config.xml"/>
    </provider-config>
  </message-security-config>
</client-container>

auth-source의 유효한 값에 sender와 content가 포함됩니다. auth-recipient의 유효한 값에 before-content 및 after-content가 포함됩니다. 이 값이 다양하게 결합된 결과를 설명하는 표는 요청 및 응답 정책 구성 작업에 있습니다.

요청이나 응답 정책을 지정하지 않으려면 예를 들어 다음 요소를 비워둡니다.

<response-policy/>

추가 정보

• Java 2 Standard Edition 보안 설명은 http://java.sun.com/j2se/1.4.2/docs/guide/security/index.html에서 볼 수 있습니다.

• Java EE 5.0 Tutorial의 Security 장은 http://java.sun.com/javaee/5/docs/tutorial/doc/index.html에서 볼 수 있습니다.

• 관리 설명서의 10장

• Developer’s Guide의 Securing Applications 장

• Oasis 웹 서비스 보안: SOAP 메시지 보안(WS-Security) 사양은 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf에서 볼 수 있습니다.

• OASIS Web Services Security Username Token Profile 1.0은 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0.pdf에서 볼 수 있습니다.

• OASIS Web Services Security X.509 Certificate Token Profile 1.0은 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf에서 볼 수 있습니다.

• XML-Signature Syntax and Processing 설명서는 http://www.w3.org/TR/xmldsig-core/에서 볼 수 있습니다.

• XML Encryption Syntax and Processing 설명서는 http://www.w3.org/TR/xmlenc-core/에서 볼 수 있습니다.