[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 통신을 사용하여 보안

이 절에서는 기본 httpd.conf 구성 파일을 사용하여 SSL(Secure Sockets Layer)을 설정하는 데 도움이 되는 정보를 제공합니다.

이 태스크 정보

각 가상 호스트에 대해 보안 트랜잭션 중에 사용할 암호 스펙을 설정하십시오. 지정된 암호 스펙은 시스템에 설치된 GSK(Global Security Kit) 툴킷 레벨과 비교하여 유효성을 검증합니다. 암호 스펙이 올바르지 않으면 오류 로그에 오류가 기록됩니다. 요청을 발행하는 클라이언트가 지정된 암호를 지원하지 않으면 요청이 실패하고 클라이언트와의 연결이 닫힙니다.

IBM® HTTP Server에는 SSL(Secure Sockets Layer)을 통해 클라이언트와 통신하는 데 사용할 내장된 암호 스펙 목록이 있습니다. 특정 클라이언트 연결에 사용되는 실제 암호 스펙은 IBM HTTP Server와 클라이언트를 둘 다 지원하는 해당 암호 스펙에서 선택됩니다.

일부 암호 스펙은 다른 암호 스펙보다 약한 보안 레벨을 제공하므로 보안상의 이유로 피해야 할 수도 있습니다. 일부 강한 암호 스펙은 약한 암호 스펙보다 더 많은 계산이 필요하므로 성능상의 이유로 피해야 할 수도 있습니다. 너무 약하거나 너무 많은 계산이 필요한 것으로 간주되는 암호 스펙을 선택하지 않도록 SSLCipherSpec 지시문을 사용하여 웹 서버에서 지원하는 암호 스펙의 사용자 정의 목록을 제공할 수 있습니다.

SSLCipherSpec 지시문을 사용하여 암호 스펙을 지정하지 않는 경우, IBM HTTP Server 버전 8.0 이상은 보수적인 기본 암호 세트를 사용합니다. 기본 암호 세트에서는 SSL 버전 2, 널 암호, 약한 암호를 제외합니다. 약한 암호는 내보내기 등급 암호를 포함합니다. LogLevel debugSSLTrace를 사용하여 런타임 시 오류 로그에서 이러한 기본 암호를 볼 수 있습니다.

프로시저

  1. [AIX Solaris HP-UX Linux Windows]IBM HTTP Server IKEYMAN 유틸리티(그래픽 사용자 인터페이스) 또는 IKEYMAN 유틸리티(명령행)를 사용하여 서버 인증서와 CMS 키 데이터베이스 파일을 작성하십시오.
  2. [z/OS]IBM HTTP Server는 키 관리를 위한 z/OS® gskkyman 도구를 사용하여 CMS 키 데이터베이스 파일, 공용 및 개인 키 쌍, 서버 인증서를 작성합니다. 또는 CMS 키 데이터베이스 파일 대신 SAF 키 링을 작성할 수 있습니다.
  3. IBM HTTP Server httpd.conf 구성 파일에서 SSL 지시문을 사용하십시오.
    1. LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 구성 지시문의 주석을 해제하십시오.
    2. 다음 예제와 지시문을 사용하여 httpd.conf 파일에 SSL 가상 호스트 스탠자를 작성하십시오.
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      이 두 번째 예제에서는 단일 웹 사이트가 SSL을 사용하고 서버 이름이 비SSL(포트 80)에 대해 글로벌 범위에 정의된 서버 이름과 다르다고 가정합니다. 두 호스트 이름 모두 별도의 IP 주소로 DNS(Domain Name Server)에 등록하고 두 IP 주소 모두 로컬 네트워크 인터페이스 카드에 구성해야 합니다.

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      이 세 번째 예제에서는 여러 웹 사이트가 SSL을 사용한다고 가정합니다. 모든 호스트 이름은 별도의 IP 주소로 DNS(Domain Name Server)에 등록해야 합니다. 또한 모든 IP 주소를 로컬 네트워크 인터페이스 카드에 구성해야 합니다. SSLServerCert 지시문을 사용하여 각 웹 사이트에 대한 SSL 핸드쉐이크 중에 클라이언트 브라우저로 전달되는 키 데이터베이스 파일의 개인 서버 인증서를 식별하십시오. SSLServerCert 지시문을 정의하지 않은 경우, IBM HTTP Server는 키 데이터베이스 파일에서 "기본 키"로 표시된(*) 인증서를 전달합니다.
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupssl
파일 이름:tihs_setupssl.html