

동적 라우팅 SSL 인증서
멤버 인증서, 제어기 인증서 및 동적 라우팅 인증서라는 세 가지 유형의 SSL 인증서가 Liberty의 동적 라우팅과 관련되어 있습니다. 세 가지 유형의 인증서 각각에는 연관된 SSL 서명자 인증서가 있습니다. SSL 서명자 인증서는 서명한 인증서의 유효성을 보증합니다.
다음 세 가지 유형의 인증서 각각에는 연관된 서명자 인증서가 있습니다.
- 멤버 인증서
- 웹 서버가 SSL을 통해 클라이언트 요청을 멤버에게 프록시하려고 시도할 때 집합체 멤버가 제공하는 인증서입니다.
- 제어기 인증서
- 플러그인이 집합체 제어기에서 동적 라우팅 서비스에 연결하려고 시도할 때 집합체 제어기가 플러그인에 제공하는 인증서입니다.
- 동적 라우팅 인증서
- 플러그인이 집합체 제어기에서 동적 라우팅 서비스에 연결하려고 시도할 때 플러그인이 제어기에 제공하는 인증서입니다.
집합체 멤버에게 프록시되는 요청의 SSL 통신을 위해서는 웹 서버가 멤버 인증서의 유효성을 신뢰해야 합니다. 멤버 인증서의 유효성을 신뢰하는 웹 서버의 경우 멤버 서명자 인증서가 웹 서버의 키 저장소에 있어야 합니다.
키 저장소는 plugin-cfg.xml 파일에서 <Property Name="Keyfile" value=…/> xml 요소로 참조되는 .kdb 파일입니다.
플러그인과 동적 라우팅 서비스 간의 SSL 통신을 위해서는 다음과 같은
조건을 충족해야 합니다.
- 플러그인이 제어기 인증서의 유효성을 신뢰해야 합니다.
- 제어기가 동적 라우팅 인증서의 유효성을 신뢰해야 합니다.
- 동적 라우팅 서비스에 액세스할 수 있는 권한을 동적 라우팅 인증서에 부여해야 합니다.
- 인증서 주제가 동적 라우팅에 사용되는 기본 인증서 주제와 일치합니다.
기본 인증서 주제는 dynamicRouting 명령의 setup 또는
genKeystore 옵션을 사용할 경우에 기본적으로 작성됩니다. 기본
인증서 주제는 다음과 같습니다.
DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
인증서 주제가 집합체 제어기의 server.xml에서 <dynamicRouting> XML 요소의 certificateSubject 속성 값과 일치합니다. 지정된 경우 dynamicRouting 명령 setup 또는 genKeystore 옵션을 사용할 때 기본값 대신 이 인증서 주제가 사용됩니다. 다음 예를 참조하십시오.
<dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
- 인증서 주제가 보안 레지스트리에서 관리자 역할이 지정된 사용자와 일치합니다. 관리자 역할의 주제가 포함된 동적 라우팅 인증서를 사용하는 경우 DMZ의 집합체에서 관리 기능에 액세스할 수 있습니다. 이 유형의 인증서가 동적 라우팅 서비스에 액세스하는 데 사용되는 경우 로그에 오류 메시지가 나타나지만 통신은 성공합니다.
dynamicRouting 명령의 setup 및 genKeystore 옵션은 웹 서버와 집합체 서버 간의 보안 네트워크 통신을 보장하는 데 필요한 모든 인증서가 포함된 키 저장소를 생성합니다. 기본 보안 구성을 사용하려는 경우에는 수정할 사항이 없습니다.
dynamicRouting 명령의 setup 또는
genKeystore 옵션으로 작성되지 않은 인증서를 사용하려면
다음 조건을 충족해야 합니다.
- 모든 집합체에 대한 멤버 서명자 인증서가 plugin-cfg.xml
파일에서 <Property Name="Keyfile" value=…/> XML 요소로
참조되는 .kdb 파일에 있습니다. 참고: 이 조건은 플러그인이 SSL을 사용하여 클라이언트 요청을 프록시하는 경우에만 필요합니다.
<Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
- 제어기 서명자 인증서가 plugin-cfg.xml 파일에서 제어기에 대한
<Connector> 요소의 <Property name="keyring" value=…/>
XML 요소로 참조되는 .kdb 파일에 있어야 합니다.
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- 동적 라우팅 서명자 인증서가 모든 제어기의 다음 디렉토리에 있어야 합니다.
${server.output.dir}/resources/ collective/collectiveTrust.jks)
- 집합체에 대한 동적 라우팅 인증서가 plugin-cfg.xml 파일에서
제어기에 대한 <Connector> 요소의 <Property name="keyring" value=…/>
XML 요소로 참조되는 .kdb 파일에 있어야 합니다. 다음 예를 참조하십시오.
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- 동적 라우팅 인증서의 인증서 주제가 다음 옵션 중 하나입니다.
“DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
집합체에서 제어기의 server.xml 파일에 있는 <dynamicRouting> XML 요소의 certificateSubject 속성 값
- 집합체에서 관리자 역할이 지정된 사용자(권장되지 않음)