[AIX Solaris HP-UX Linux Windows][z/OS]

IBM HTTP Server 관리 서버와 배치 관리자 간에 SSL 구성

WebSphere® Application Server용 배치 관리자와 IBM® HTTP Server 관리 서버(adminctl) 간에 SSL(Secure Sockets Layer)을 구성하십시오.

이 태스크 정보

Application Server에는 IBM HTTP Server가 SSL 요청에 연결하려면 올바로 관리해야 하는 새 SSL 관리 기능이 있습니다. 이전 릴리스에서는 SSL 연결에서 IBM HTTP Server와 Application Server 간에 교환된 기본 더미 인증서를 사용했습니다. WebSphere Application Server에서는 IBM HTTP Server에서 자체 서명된 인증서를 승인하도록 Application Server를 구성해야 SSL 연결이 허용되어 트랜잭션이 완료됩니다.

Application Server와 IBM HTTP Server 관리 서버가 올바로 구성되지 않은 경우, Application Server는 배치 관리자의 로그 파일에 수신된 오류를 표시합니다. IBM HTTP Server 관리 서버가 SSL을 통해 연결을 시도하고 Application Server가 구성되지 않은 상황에서는 다음 메시지와 유사한 오류를 수신합니다.
-CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with
SubjectDN "CN=localhost" was sent from target host:port "null:null".
The signer may need to be added to local trust store "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12" 
located in SSL configuration alias "CellDefaultSSLSettings"
 loaded from SSL configuration file "security.xml".  
The extended error message from the SSL handshake
 exception is: "No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h: No trusted certificate found

프로시저

  1. 서버 인증서를 확보하십시오. 자체 서명된 새 인증서를 생성하거나 IBM HTTP Server 웹 서버 플러그인의 기존 인증서를 사용할 수 있습니다.
    • IBM HTTP Server 웹 서버 플러그인의 자체 서명된 기존 인증서를 사용하십시오.
    • CMS 키 데이터베이스 파일과 자체 서명된 서버 인증서를 작성하십시오. 분산 운영 체제의 경우 iKeyman 유틸리티를, z/OS® 운영 체제의 경우 gskkyman 도구를 사용하십시오. 이 단계와 이후 단계에서는 iKeyman 유틸리티를 사용한다고 가정합니다.
      • [AIX Solaris HP-UX Linux Windows]IBM HTTP Server iKeyman 유틸리티 그래픽 사용자 인터페이스 또는 명령행을 사용하여 CMS 키 데이터베이스 파일과 자체 서명된 서버 인증서를 작성하십시오.
        iKeyman 유틸리티를 사용하여 IBM HTTP Server 관리 서버용 자체 서명된 인증서를 작성하고 인증서를 /conf/admin.kdb로 저장하십시오.
        우수 사례 우수 사례: 비밀번호를 적어두고 비밀번호를 파일에 숨김을 선택하십시오.bprac
        인증서에 필요한 필드는 다음과 같습니다.
        레이블
        adminselfSigned
        공통 이름
        fully_qualified_host_name
      • [z/OS]IBM HTTP Server는 키 관리를 위한 z/OS gskkyman 도구를 사용하여 CMS 키 데이터베이스 파일, 공용 및 개인 키 쌍, 자체 서명된 인증서를 작성합니다. 또는 CMS 키 데이터베이스 파일 대신 SAF 키 링을 작성할 수 있습니다.
        • gskkyman에 대한 정보는 기본 z/OS 키 데이터베이스를 사용한 키 관리를 참조하십시오.
        • SAF 키 링 작성에 대한 정보는 IBM HTTP Server에서 SAF를 사용한 인증 및 SSL keyfile 지시문을 참조하십시오.
  2. iKeyman 유틸리티를 사용하여 인증서를 파일로 추출하십시오.
    1. 1단계에서 작성한 인증서(예: adminselfSigned)를 선택하십시오.
    2. 인증서 추출을 클릭하십시오. 추출을 위한 권장 파일 이름은 C:\Program Files\IBM\HTTPServer\conf\cert.arm입니다.
      문제점 방지 문제점 방지: 데이터 유형을 변경하지 마십시오.gotcha
  3. 관리 서버 구성 파일(admin.conf)을 수정하십시오.
    1. IBM SSL 모듈을 로드하도록 파일을 구성하십시오. 다음 행의 주석을 해제하십시오.
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. SSL을 사용할 수 있게 하고 사용할 키 파일을 정의하십시오. 다음 행의 주석을 해제하여 SSL을 사용할 수 있게 하고 사용할 키 파일을 정의하십시오.
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      문제점 방지 문제점 방지: 다음 사항에 유의하십시오.
      • 키 파일 지시문은 시스템에 설치된 올바른 키 파일의 이름 및 위치와 일치해야 합니다.
      • 이를 작동하려면 IBM SSL 지원이 설치되어 있어야 합니다.
      • SSLServerCert의 "default"는 plugin-key.kdb 파일이 작성될 때 작성된 자체 서명된 인증서의 레이블 또는 이름입니다.
      • plugin-key.kdb의 자체 서명된 기본 인증서가 기본 인증서로 플래그 지정되어 있지 않기 때문에 이전 예제에서는 SSLServerCert를 사용합니다.
      gotcha
  4. IBM HTTP Server 관리 서버를 시작하십시오. 로그 파일에 GSKIT 오류가 포함되어 있지 않은지 확인하십시오.
  5. WebSphere Application Server를 구성하십시오.
    1. Application Server 관리 콘솔에 로그인하고 배치 관리자를 시작하십시오.
    2. 보안 > SSL 인증서 및 키 관리를 선택하십시오.
    3. 엔드포인트 보안 구성 관리를 선택하십시오. 인바운드 및 아웃바운드 엔드포인트 목록이 표시됩니다.
    4. 아웃바운드 셀(cellDefaultSSLSettings,null)을 선택하십시오. 이 설정에서 Application Server 관리 콘솔은 클라이언트이고 IBM HTTP Server 관리 서버는 서버이므로 아웃바운드 셀을 선택하십시오.
      문제점 방지 문제점 방지: 이 설정은 IBM HTTP Server 플러그인 및 Application Server를 사용한 SSL 설정의 구성과 반대입니다. gotcha
    5. 관련 항목 섹션에서 키 저장소 및 인증서를 클릭하십시오.
    6. CellDefaultTrustStore를 클릭하십시오.
    7. 추가 특성 섹션에서 서명자 인증서를 클릭하십시오.
    8. Application Server로 인증서 파일을 FTP하십시오. 데이터 유형을 변경하지 마십시오.
    9. 서명자 인증서의 콜렉션 패널에서 추가를 클릭하십시오. 필드에 다음 정보를 입력하십시오.
      표 1. 서명자 인증서 정보
      이름
      별명 adminselfSigned
      파일 이름 file_name
      예를 들어, 다음을 입력하십시오.
      c:\program files\ibm\httpserver\conf\cert.arm
    10. 관리 콘솔에 구성 변경사항을 저장하십시오.
    11. 배치 관리자를 중지하십시오.
    12. 배치 관리자를 시작하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
파일 이름:tihs_setupsslwithwas.html