4.2. 암호화 제품군 필터

일반적인 애플리케이션에서는 일반적으로 사용 가능한 암호화 제품군 목록을 JSSE 공급자가 지원하는 암호의 하위 집합으로 제한하려고 합니다.

일반적으로 sec:cipherSuites 요소 대신 sec:cipherSuitesFilter 요소를 사용하여 사용하려는 암호화 제품군을 선택해야 합니다.

sec:cipherSuites 요소는 의도하지 않은 의미 체계가 있기 때문에 일반적으로 사용하지 않는 것이 좋습니다. 로드된 보안 공급자가 최소한 나열된 암호화 제품군을 지원하도록 요청할 수 있습니다. 그러나 로드된 보안 공급자는 지정된 암호화 제품군보다 더 많은 암호화 제품군을 지원할 수 있습니다. 따라서 sec:cipherSuites 요소를 사용하면 런타임에 어떤 암호화 제품군이 지원되는지 명확하지 않습니다.

표 4.1. “Cipher Suite 필터 구성에 사용되는 네임스페이스” 이 섹션에서 참조되는 XML 네임스페이스를 표시합니다.

sec:cipherSuitesFilter 요소를 사용하여 암호화 제품군 필터를 정의합니다. 이 요소는 http:tlsClientParameters 요소 또는 httpj:tlsServerParameters 요소의 자식일 수 있습니다. 일반적인 sec:cipherSuitesFilter 요소에는 예 4.1. “sec:cipherSuitesFilter Element의 구조” 에 표시된 개요 구조가 있습니다.

<sec:cipherSuitesFilter>
    <sec:include>RegularExpression</sec:include>
    <sec:include>RegularExpression</sec:include>
    ...
    <sec:exclude>RegularExpression</sec:exclude>
    <sec:exclude>RegularExpression</sec:exclude>
    ...
</sec:cipherSuitesFilter>

sec:cipherSuitesFilter 요소에 다음 의미 규칙이 적용됩니다.

sec:include 및 sec:exclude 요소에 표시되는 정규식에 대한 grammar는 Java 정규식 유틸리티인 java.util.regex.Pattern.에 의해 정의됩니다. 문법에 대한 자세한 설명은 Java 참조 가이드 http://download.oracle.com/javase/1.5.0/docs/api/java/util/regex/Pattern.html 를 참조하십시오.

다음 XML 구성은 암호화 제품군 필터를 원격 엔드포인트 {WSDLPortNamespace}PortName 에 적용하는 클라이언트의 예를 보여줍니다. 클라이언트가 이 엔드포인트에 대한 SSL/TLS 연결을 열려고 시도할 때마다 사용 가능한 암호화 제품군은 sec:cipherSuitesFilter 요소에서 선택한 세트로 제한합니다.

<beans ... >
  <http:conduit name="{WSDLPortNamespace}PortName.http-conduit">
    <http:tlsClientParameters>
      ...
      <sec:cipherSuitesFilter>
        <sec:include>.*_WITH_3DES_.*</sec:include>
        <sec:include>.*_WITH_DES_.*</sec:include>
        <sec:exclude>.*_WITH_NULL_.*</sec:exclude>
        <sec:exclude>.*_DH_anon_.*</sec:exclude>
      </sec:cipherSuitesFilter>
    </http:tlsClientParameters>
  </http:conduit>

  <bean id="cxf" class="org.apache.cxf.bus.CXFBusImpl"/>
</beans>