Content Platform Engine, 버전 5.2.1              

Content Platform Engine에 대해 SSL 사용

SSL을 사용하면 디렉토리 서비스 서버(인증용)에 서버 인증서가 추가됩니다. 또한 CA 인증서도 Content Platform Engine 서버의 서로 다른 위치에 추가됩니다(JDK 경로 위치는 권한 부여용). 올바른 인증서가 세 위치에 각각 추가되었는지 확인하십시오.

프로시저

Content Platform Engine에 대해 SSL을 사용하려면 다음을 수행하십시오.

  1. 서버 인증서 및 CA 인증서를 구해 디렉토리 서비스에 설치하십시오. 이러한 인증서는 VeriSign과 같은 개별 인증 기관에서 제공하거나, 필요한 인증서 관리 소프트웨어가 설치되어 있는 경우 고유한 인증서를 생성할 수 있습니다.
  2. 디렉토리 서비스에서 SSL을 사용 가능하게 설정하고 SSL 포트 번호를 설정하십시오. 기본 SSL 포트 번호는 636입니다. 그러나 서버에서 SSL을 사용 중인 디렉토리 서비스가 둘 이상인 경우 기본값이 아닌 다른 포트 번호를 사용해야 합니다. 지시사항은 디렉토리 서버 문서를 참조하십시오.
  3. Content Platform Engine 서버에서 CA 인증서를 애플리케이션 서버 키 저장소에 추가하십시오(아직 포함되지 않은 경우).
  4. Content Platform Engine 서버에서 CA 인증서를 JDK(Java™) 키 저장소에 추가하십시오(아직 포함되지 않은 경우). 기본 키 저장소를 사용하거나 사용자 정의 위치에 고유 키 저장소를 작성하십시오.
    • JDK 기본 Java 키 저장소를 사용하려면 다음을 수행하십시오.
      1. 애플리케이션 서버에서 사용하는 Java 버전 및 JAVA_HOME 위치를 판별하십시오.
      2. keytool을 사용하여 CA 인증서를 %JAVA_HOME%\jre\lib\security\cacerts에 있는 Java 키 저장소로 가져오십시오.
      3. 보안을 강화하려면 기본 비밀번호를 변경하십시오.
    • (JDK 기본 키 저장소 대신) 고유 키 저장소를 사용하려면 다음을 수행하십시오.
      1. 다음 시스템 매개변수를 애플리케이션 서버 시작 스크립트의 Java 명령행에 추가하십시오.
        -Djavax.net.ssl.trustStore= path_to_your_keystore_file
        -Djavax.net.ssl.trustStorePassword= password_of_your_keystore
      2. Java keytool을 사용하여 CA 인증서를 고유 키 저장소로 가져오십시오.
  5. 해당 작업을 아직 수행하지 않은 경우 Administration Console for Content Platform Engine을 시작하십시오.
    1. 컴퓨터에서 브라우저를 열고 Administration Console for Content Platform Engine 로그온 페이지로 이동하십시오.
      • 표준 가용성 환경에서, 로그온 페이지는 http://CPE_Server:port/acce에 있습니다. CPE_ServerContent Platform Engine을 배치한 시스템의 이름입니다. portContent Platform Engine이 배치된 애플리케이션 서버가 사용하는 HTTP 포트입니다.
      • 고가용성 환경에서, 로그온 페이지는 http://virtual_server:port/acce에 있습니다. virtual_serverContent Platform Engine의 클러스터가 배치된 로드 밸런서 또는 프록시 서버의 이름입니다. port는 로드 밸런서 또는 프록시 서버의 포트 번호입니다.
    2. gcd_admin 사용자로 로그온하십시오.
  6. IBM® Administration Console for Content Platform Engine을 사용하여 디렉토리 서버의 SSL 포트 번호와 일치하도록 포트 번호를 설정하십시오.
    1. 탐색 분할창에서 도메인 노드를 선택하십시오.
    2. 세부사항 분할창에서 특성을 선택하고 디렉토리 구성의 드롭 다운 목록을 열어서 디렉토리 서버 유형을 선택하십시오.
    3. 디렉토리 서버의 SSL 포트와 일치하도록 디렉토리 서버 포트 번호를 설정하십시오.
    4. 닫기를 클릭하십시오.
  7. Content Platform Engine에 대해 다른 서버 및 CA 인증서를 구하십시오.
  8. Content Platform Engine 서버에 사용자 정의 ID 키 저장소를 작성한 다음 서버 인증서를 사용자 정의 키 저장소에 추가하십시오.
  9. 애플리케이션 서버 관리 도구를 사용하여 SSL을 사용 가능하게 설정하고 사용자 정의 ID 키 저장소를 지정하십시오. 애플리케이션 서버 유형에 따라 지시 사항이 다릅니다. 자세한 프로시저는 애플리케이션 서버 문서를 참조하십시오.
    옵션 설명
    WebSphere® Application Server SSL 레퍼토리를 구성하십시오. WebSphere 관리 콘솔의 왼쪽 분할창에서 보안 > SSL로 이동하십시오. 오른쪽 분할창에서 JSSE(Java Secure Socket Extension) 레퍼토리를 선택한 다음 키 및 신뢰 파일 이름 및 비밀번호를 지정하십시오.
    Oracle WebLogic Server 사용자 정의 ID 키 저장소를 설정하십시오. WebLogic 관리 콘솔의 왼쪽 분할창에서 DomainName > 서버 > ServerName으로 이동하십시오. 오른쪽 분할창에서 키 저장소 및 SSL을 선택한 다음 키 저장소 정보를 지정하십시오.
    JBoss Application Server 애플리케이션 서버 문서를 참조하십시오.
    중요사항: (WebLogic만 해당) 인증서의 이름이 WebLogic 애플리케이션 서버에 지정된 호스트 이름과 일치해야 합니다. 인증서의 전체 이름의 경우(예: Host1.filenet.com), 같은 전체 호스트 이름이 호스트 필드(WebLogic > 인증 제공자 > Active Directory 탭 > 호스트 필드)에 나타나야 합니다.
  10. 애플리케이션 서버 유형 및 클라이언트 전송(프로토콜) 유형을 기반으로 Content Platform Engine에 연결하는 데 특정 URL을 사용하도록 클라이언트를 구성하십시오. 다음 표는 기본 포트 및 샘플 URL을 보여줍니다.
    표 1. 기본 포트 및 샘플 URL
    프로토콜 SSL 기본 포트 애플리케이션 서버 샘플 URL
    HTTP 아니오 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP 아니오 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine(기본값)

    SSL을 사용하는 IIOP에 대한 기본 포트는 9403이지만, 2809 포트를 사용하십시오. 웹 애플리케이션 서버가 SSL 포트 번호를 올바르게 해석합니다.

    HTTP 아니오 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3(IIOP) 아니오 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine
    T3S(IIOP) 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine
    HTTP 아니오 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP 아니오 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine

    이 표에 표시된 포트 값은 기본값입니다. 애플리케이션 서버의 청취 포트를 변경한 경우 Content Platform Engine 클라이언트에서 사용하는 포트 번호도 변경해야 합니다.

  11. (AIX®, HPUX, HPUXi, Linux, Linux on System z®, Solaris의 Oracle WebLogic Server 10.3.2 이하) 키 저장소(cacerts)에 SHA 256 RSA 암호화가 있는 인증서를 모두 제거하십시오. 예를 들어, IBM JRE 버전 1.6 SR7을 사용 중인 경우 secomscrootca2, keynectisrootcaglobalsignr3ca 인증서를 제거하십시오.


마지막 업데이트 날짜: 2015년 10월
p8pin261.htm

© Copyright IBM Corp. 2013, 2015.