동적 라우팅 SSL 인증서

멤버 인증서, 제어기 인증서 및 동적 라우팅 인증서라는 세 가지 유형의 SSL 인증서가 Liberty의 동적 라우팅과 관련되어 있습니다. 세 가지 유형의 인증서 각각에는 연관된 SSL 서명자 인증서가 있습니다. SSL 서명자 인증서는 서명한 인증서의 유효성을 보증합니다.

다음 세 가지 유형의 인증서 각각에는 연관된 서명자 인증서가 있습니다.
멤버 인증서
웹 서버가 SSL을 통해 클라이언트 요청을 멤버에게 프록시하려고 시도할 때 집합체 멤버가 제공하는 인증서입니다.
제어기 인증서
플러그인이 집합체 제어기에서 동적 라우팅 서비스에 연결하려고 시도할 때 집합체 제어기가 플러그인에 제공하는 인증서입니다.
동적 라우팅 인증서
플러그인이 집합체 제어기에서 동적 라우팅 서비스에 연결하려고 시도할 때 플러그인이 제어기에 제공하는 인증서입니다.

집합체 멤버에게 프록시되는 요청의 SSL 통신을 위해서는 웹 서버가 멤버 인증서의 유효성을 신뢰해야 합니다. 멤버 인증서의 유효성을 신뢰하는 웹 서버의 경우 멤버 서명자 인증서가 웹 서버의 키 저장소에 있어야 합니다.

키 저장소는 plugin-cfg.xml 파일에서 <Property Name="Keyfile" value=…/> xml 요소로 참조되는 .kdb 파일입니다.

플러그인과 동적 라우팅 서비스 간의 SSL 통신을 위해서는 다음과 같은 조건을 충족해야 합니다.
  • 플러그인이 제어기 인증서의 유효성을 신뢰해야 합니다.
  • 제어기가 동적 라우팅 인증서의 유효성을 신뢰해야 합니다.
  • 동적 라우팅 서비스에 액세스할 수 있는 권한을 동적 라우팅 인증서에 부여해야 합니다.
동적 라우팅 인증서에 권한을 부여하려면 다음 조건 중 하나를 충족해야 합니다.
  • 인증서 주제가 동적 라우팅에 사용되는 기본 인증서 주제와 일치합니다. 기본 인증서 주제는 dynamicRouting 명령의 setup 또는 genKeystore 옵션을 사용할 경우에 기본적으로 작성됩니다. 기본 인증서 주제는 다음과 같습니다.
    DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
  • [17.0.0.1 and later]인증서 주제가 집합체 제어기의 server.xml에서 <dynamicRouting> XML 요소의 certificateSubject 속성 값과 일치합니다. 지정된 경우 dynamicRouting 명령 setup 또는 genKeystore 옵션을 사용할 때 기본값 대신 이 인증서 주제가 사용됩니다. 다음 예를 참조하십시오.
    <dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
  • 인증서 주제가 보안 레지스트리에서 관리자 역할이 지정된 사용자와 일치합니다. 관리자 역할의 주제가 포함된 동적 라우팅 인증서를 사용하는 경우 DMZ의 집합체에서 관리 기능에 액세스할 수 있습니다. 이 유형의 인증서가 동적 라우팅 서비스에 액세스하는 데 사용되는 경우 로그에 오류 메시지가 나타나지만 통신은 성공합니다.

dynamicRouting 명령의 setupgenKeystore 옵션은 웹 서버와 집합체 서버 간의 보안 네트워크 통신을 보장하는 데 필요한 모든 인증서가 포함된 키 저장소를 생성합니다. 기본 보안 구성을 사용하려는 경우에는 수정할 사항이 없습니다.

dynamicRouting 명령의 setup 또는 genKeystore 옵션으로 작성되지 않은 인증서를 사용하려면 다음 조건을 충족해야 합니다.
  1. 모든 집합체에 대한 멤버 서명자 인증서가 plugin-cfg.xml 파일에서 <Property Name="Keyfile" value=…/> XML 요소로 참조되는 .kdb 파일에 있습니다.
    참고: 이 조건은 플러그인이 SSL을 사용하여 클라이언트 요청을 프록시하는 경우에만 필요합니다.
    <Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
  2. 제어기 서명자 인증서가 plugin-cfg.xml 파일에서 제어기에 대한 <Connector> 요소의 <Property name="keyring" value=…/> XML 요소로 참조되는 .kdb 파일에 있어야 합니다.
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  3. 동적 라우팅 서명자 인증서가 모든 제어기의 다음 디렉토리에 있어야 합니다.

    ${server.output.dir}/resources/ collective/collectiveTrust.jks)

  4. 집합체에 대한 동적 라우팅 인증서가 plugin-cfg.xml 파일에서 제어기에 대한 <Connector> 요소의 <Property name="keyring" value=…/> XML 요소로 참조되는 .kdb 파일에 있어야 합니다. 다음 예를 참조하십시오.
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  5. 동적 라우팅 인증서의 인증서 주제가 다음 옵션 중 하나입니다.
    • “DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
    • [17.0.0.1 and later]집합체에서 제어기의 server.xml 파일에 있는 <dynamicRouting> XML 요소의 certificateSubject 속성 값
    • 집합체에서 관리자 역할이 지정된 사용자(권장되지 않음)

주제의 유형을 표시하는 아이콘 개념 주제

파일 이름: cwlp_wve_dynroute_cert.html